Esto es todo lo que ha pasado en el mundo de la criptografía en el 2016
La criptografía es la técnica mediante la cual se altera la información para ocultar su contenido original. Con la aparición de la informática, especialmente en los últimos años, este concepto ha ganado una gran importancia ya que cuanto más se utiliza la informática, más problemas de seguridad aparecen y, por ello, es de vital importancia proteger correctamente la información, especialmente la más sensible, para evitar que esta caiga en malas manos.
2016 no ha sido un año donde hayan destacado especialmente los ataques contra los principales algoritmos criptográficos como pasó durante 2015, sin embargo, sí que ha sido un gran año de cara a la seguridad de los algoritmos más modernos que, poco a poco, van completando su diseño y empiezan a abrirse un hueco entre los usuarios de cara a reforzar aún más la seguridad y privacidad de las telecomunicaciones.
Ya se ha finalizado el diseño de TLS 1.3
Probablemente, el logro más importante de 2016 en cuanto a criptografía ha sido, sin duda, la finalización del Transport Layer Security 1.3, conocido como TLS 1.3. Aunque muchos piensan que este nuevo protocolo criptográfico no es más que una actualización menor de la versión anterior 1.2, en realidad supone un rediseño muy importante, casi por completo, que mejora, sobre todo, la velocidad de las conexiones de ida y vuelta.
Esta nueva versión del protocolo también mejora su seguridad y es mucho más simple que antes, evitando que puedan aparecer fallos criptográficos en el código.
Todavía falta tiempo hasta que este se vuelva estándar, sin embargo, su diseño ya se ha finalizado y algunos navegadores web ya empiezan a ser compatibles con él. Ya solo es cuestión de tiempo.
Se ha avanzado en el tema de criptografía cuántica
Desde hace tiempo se lleva trabajando en cambiar los algoritmos que conocemos hoy en día por otros infinitamente más robustos como, por ejemplo, algoritmos generados por informática cuántica.
Desde finales de 2015, el NIST lleva trabajando en este nuevo concepto de seguridad y, durante todo el 2016, se ha avanzado notablemente en dicho concepto. Google, por ejemplo, también está trabajando en conceptos similares de cara a proteger las conexiones de su navegador Google Chrome.
Aunque queda mucho tiempo para ver algoritmos de criptografía basados en informática cuántica, poco a poco este concepto se va haciendo realidad.
Los algoritmos con puertas traseras tienden a desaparecer
Cuando se crearon los primeros algoritmos se incluyeron en estos una serie de puertas traseras que permitieran descifrar el contenido en caso de que fuera necesario. Con el descubrimiento de los espionajes de la NSA, los investigadores han estado trabajando en descubrir posibles puertas traseras en los algoritmos actuales de manera que estos puedan ser considerados como “inseguros” y recomendar el uso de otros protocolos más seguros.
Muchos protocolos, como el Diffie-Hellman, y muchas librerías de seguridad, como OpenSSL y Bouncy Castle, han tenido problemas de seguridad que ha obligado a los responsables a actualizarlas para hacerlas de nuevo seguras, pero, hasta que eso ha ocurrido, han estado exponiendo la seguridad de los clientes y servidores notablemente.
Por ello, a lo largo de 2016, se han investigado muchos protocolos, encontrando puertas traseras en muchos de ellos, y marcándolos como inseguros a favor de aquellos algoritmos criptográficos más modernos y, sobre todo, libres de backdoors.
Nuevos ataques contra la criptografía
A lo largo de este año también hemos podido ver un gran número de ataques informáticos contra los algoritmos criptográficos con el fin de hacerlos inseguros. Entre otros, los más relevantes son:
- HEIST, especialmente pensado para romper los algoritmos de Oracle.
- DROWN, utilizado en ataques TLS/SSL como POODLE o FREAK.
- Sweet32, ataque para romper la seguridad de los cifrados Triple DES y Blowfish.
Además de un gran número de ataques en los que se intentaban explotar vulnerabilidades en la curva pseudo-aleatoria y en los generadores de números.
HTTPS se sigue reforzando poco a poco
Cada vez son más las páginas web que utilizan HTTPS para establecer conexiones seguras, sin embargo, no todas estas conexiones son del todo seguras. Por ejemplo, el algoritmo SHA-1 ha cumplido ya 16 años y, desde hace ya algún tiempo, se recomienda no utilizarlo debido a las vulnerabilidades del mismo.
Por ello, para mejorar la seguridad y fiabilidad de las conexiones HTTPS, a principios de 2017 se va a eliminar el soporte para los algoritmos SHA-1 de los principales navegadores web, se va a promover el uso de certificados transparentes y, además, los nuevos algoritmos van a empezar a utilizar las nuevas curvas elípticas Curve25519 y Curve448 (ya utilizadas en TLS 1.3) para reforzar la seguridad.
Fue originalmente publicado en: Sectorx.com.ar