El fallo en la generación de claves SSL en Debian no afecta a GPG

Jueves, 15 May 2008 @ 14:35

Archivado en

Hace un par de días supimos que se había descubierto una «debilidad criptográfica» en la herramienta encargada de generar pares de claves para servicios SSL de Debian. Por supuesto, sistemas basados/derivados en Debian también estarían afectados. Habló de ello mucha gente y yo me quedo con la historia en Barrapunto, que ha hecho un buen seguimiento del asunto.

Dejando al lado la semántica minimalista de la «debilidad criptográfica» (si esto le sucede a Microsoft estaríamos hablando de un «agujero de seguridad crítico») yo lo primero que pensé, por la parte que me toca, es que soy usuario de Ubuntu (distro basada en Debian) y que quizá GnuPG estaría afectado por este problema que reduce las claves posibles desde 2¹⁰²⁴ a 2¹⁵ (unas 30.000 posibilidades que serían asaltables en poco rato usando fuerza bruta, como cuenta kriptopolis).

La buena noticia es que GnuPG no está afectado por este problema.

Así que en el caso de que hayas generado tus claves de cifrado GPG usando GnuPG no tienes nada que temer. Ese debería ser el caso de la mayoría de usuarios de GNU/Linux, ya que GnuPG es la herramienta de cifrado asimétrico que viene instalada de base en la mayoría (¿todos?) de sistemas de este tipo.

*** Relacionado:

menos mal

Submitted by des (no verificado) on Lun, 2008-05-19 14:36.

algo es algo, no todo iba a ser vulnerable... pero aún así el fallo es de impresión. Un saludo.

responder

Hoy se ha hecho eco de la noticia en "El País"

Submitted by Beldarr on Jue, 2008-05-29 21:47.

Me comenta mi madre (asidua lectora de El País)alarmada que nos quitemos el ubuntu ese por que dicen en el país que han cometido un error en el código de debian que no se puede arreglar y que desde hace dos años te pueden entrar en el ordenador, robarte las claves y vaciar tu cuenta bancaria (pobreta).

El caso es que es la impresión que genera en aquellos lectores que tienen poca idea sobre informática es precisamente esa, de que no hay que usar GNU/Linux porque te pueden vaciar la cuenta del banco.

Presto he entrado en la página de este periódico y he visto que lo que comentaban era esto.

Os dejo el enlace por si alguien tiene curiosidad en saber como presenta la noticia un periódico de masas en el que la gran mayoría de sus lectores no saben de que están hablando.

http://www.elpais.com/articulo/red/fallo/distribucion/Linux/pone/peligro/millones/maquinas/Internet/elpeputeccib/20080529elpcibenr_2/Tes

PD: Viva la prensa sensacionalista!

responder

Joder, yo lo leí también

Submitted by versvs on Jue, 2008-05-29 23:44.

Joder, yo lo leí también pero no he tenido tiempo para bloguear. Y me quedé así de perplejo: ya desde el titular «vulnerabilidad en linux pone en peligro millones de máquinas en la red». Vale que lo de SSL ha sido una pifia grande, pero ¿acaso se hacen eco de los bugs de Microsoft? No, y cualquier malware para Windows te roba los datos del banco y lo que es peor: no se entera nadie porque nadie verá el código... nunca.

PD: ¡Mierda de prensa sensacionalista! ;)