19 ago 2014

PASOS PARA MIGRAR DE 1024-BIT A LONGITUDES DE CLAVES MÁS FUERTES EN CERTIFICADOS SSL

Cómo nos comenta Symantec en su guía, tienen como objetivo ayudar a educar e informar a los usuarios de los certificados TLS / SSL sobre el próximo cambio en la longitud de las claves y nos aconseja sobre el manejo de su transición al uso de los certificados SSL más fuertes. 



Hasta hace poco, el algoritmo RSA, primero públicamente descrito en 1977 fue el único algoritmo disponible para la firma de certificados digitales comerciales. Sigue siendo el estándar de facto, aunque ahora los certificados comerciales basados en la criptografía de curva elíptica (ECC), están disponibles. Cuanto mayor es la clave en un certificado RSA más difícil es para comprometer la encriptación. Sin embargo, como aumenta el poder de computación en bruto, con el tiempo se hace posible crackear claves RSA de menor tamaño. Diecisiete cambios se han producido en los  tamaños de clave RSA desde 1991. Más recientemente, la industria se estandarizó en los certificados con claves RSA de 1024 bits. Sin embargo, expertos de la industria advierten que él tantas veces utilizado algoritmo de 1024 bits tamaño de la clave RSA es susceptible de verse comprometido por hackers.

Como medida preventiva, el NIST ha recomendado que los certificados RSA de 1024 bits se reemplacen  con claves de 2048 bits o más fuertes. Como resultado de la recomendación del NIST, la Autoridad de Certificación / Browser Forum (CA / B), creada para desarrollar mejor 
prácticas dentro de la industria de SSL / TLS, crearon un mandato para para poner fin a la vida el 31 de diciembre de 2013 a claves de 1024 bits. 

Los propietarios de certificados RSA de entidad final de 1024 bits se dividen en dos categorías: 

Los primeros tienen certificados que expiran antes del plazo de mandato. En este caso, los nuevos certificados expedidos este año deben estar basados en un algoritmo de tamaño de clave más fuerte, como de 2048 bits RSA, DSA de 2048 bits o 256 bits ECC. 

El segundo grupo tiene certificados con claves de 1024 bits que expiran después del 31 de diciembre 2013 fecha límite. Estos titulares de certificados deben revocar y reemplazar sus certificados con certificados basados en claves más fuertes. 

Duplicar el tamaño de la clave de un certificado afectará el rendimiento del sistema. No es una tecnología SSL alternativa disponible. Symantec ahora ofrece certificados SSL basado en el algoritmo de criptografía de curva elíptica (ECC). Estos certificados basados ECC utilizan una clave de 256 bits, por lo que requieren menos recursos de la CPU, menos ancho de banda y ofrecer tiempos de respuesta más rápidos. Symantec comenzó a trabajar en ECC en 2005 cuando comenzó a lanzar criptográficos de curva elíptica (ECC) raíces en los principales navegadores. 

Pasos que Symantec nos recomienda tomar:

  1. Comprueba  su sistema con un certificado de prueba válida con una clave de 2048 bits para asegurar que tu sistema puede manejar un tamaño de clave más grande (algunos entornos más antiguos no pueden). Puede descargar un certificado de prueba en go.symantec.com/ssl.
  2. Busque todos los certificados de 1024 bits dentro de su entorno. Si tiene un entorno complejo con muchos certificados SSL, es posible que desee considerar el uso de una solución de gestión. Con el “Symantec’s Certificate Intelligence Center” puede ayudar a descubrir y gestionar todos los certificados independientemente de quien haya emitido el certificado. Además también se puede automatizar la transferencia de certificados en certificados SSL de Symantec. Para los clientes que sólo manejan unos pocos dominios / servidores también pueden comprobar dominios individuales garantizados por Symantec, GeoTrust, Thawte o certificados RapidSSL con el “Symantec Certificate Checker”.
  3. Identificar el período de validez de su certificado para crear su plan de acción. Los certificados que se vencen en 2013 tendrán que ser actualizados durante el proceso de renovación normal. Usted tendrá que revocar y reemplazar los certificados que expiran después del final del año. Asegúrese de hacer esto antes de que su CA ponga fin a los certificados. 
  4. Generar una nueva solicitud de firma de certificado, (Certificate Signing Request (CSR)) para tamaño de clave de 2048 bits RSA. 
  5. Si usted tiene un certificado que expira en 2014 o más tarde tendrá que revocar y reemplazar ese certificado ante el CA / B. La fecha límite establecida fue el 31 de diciembre de 2013  pero también puede hacerlo cuando la entidad emisora tenga programado la revocación de certificados que expiran en 2014 o más tarde. 
  6. Una vez que su nuevo certificado ha sido emitido, instalar el certificado de entidad final y todos los certificados intermedios adicionales en su servidor. Usted puede obtener instrucciones adicionales y vídeos sobre la instalación en el sitio de información de Symantec de 1024 bits. 
  7. Por último, probar su sitio web o vincular para asegurarse de tener una conexión segura y cifrada. Hay una buena utilidad de prueba disponible aquí


(Lógicamente “barren para casa”, ;) , aconsejándonos a usar sus productos).

SYMANTEC PDF IR



15 ago 2014

EDWARD SNOWDEN Y STRANGELOVIAN, NOMBRE EN CLAVE, MONSTERMIND

Edward Snowden, con sólo 31 años de edad, ha cumplido el sueño de muchos expertos en informática, salir en la portada de la revista WIRED, dónde se le observa abrazando la bandera americana desde su exilio en Rusia. Pese a todo afirma que "ama" a su pais.


Snowden comenta en la extensa entrevista concedida a la citada revista, que mientras recopilaba información sobre las técnicas de espionaje masivo por parte de la NSA, dejó pistas a cada paso que daba, dice que dejó "migas de pan" para así cubrirse las espaldas y según él, obligar al gobierno de los EEUU a cambiar su política exterior. Lo más llamativo es que de ser cierto esto, les está resultando complicado a la agencia norteamericana el localizarlas.

Centro de Datos de la NSA en Utah. Vista de la guarida física de Monstermind, fotografiado desde un dirigible Electronic Frontier Foundation Parker Higgins, Electronic Frontier Foundation.


Una de las revelaciones que más ha llamado la atención ha sido el sistema automático de "strike-back", llamado MONSTERMIND. Éste programa automatizaría el proceso de caza de los comienzos de un ciberataque extranjero, estando constantemente buscando patrones de tráfico conocidos o sospechosos. 

Cuando Monstermind detecta un ataque por parte de un país extranjero, bloquea la entrada, lo que se conoce como "kill". Cómo Monstermind siempre han existido programas durante décadas, pero la novedad de éste es la capacidad de actuar automáticamente.

Entrevista en WIRED, VER.


14 ago 2014

USB TYPE-C, EL NUEVO ESTANDAR USB 3.1

Type-C, ese es el nombre con que "USB Promoter Group" ha bautizado el nuevo conector USB, el cual será parte del estándar USB 3.1, orientado a dispositivos más pequeños y delgados. Aún siendo más compacto, la tasa de transferencia anunciada es de 10 Gbps. Medirá 8.4 mm de ancho por 2.6 mm de alto, con hasta 100 watts de potencia y una durabilidad de 10.000 ciclos. Además será reversible, es decir, podremos conectarlo de un lado u otro, sin tener que rotarlo. Cuantas veces nos ha pasado que no conectamos el USB convencional a la primera, verdad ;) .


El nuevo USB Type-C será "tan robusto como para ser utilizado en notebooksy tables", y "lo suficientemente pequeño para teléfono moviles". 



WEB USB: IR.

13 ago 2014

DISPONIBLE EL MATERIAL DE LA BLACKHAT USA 2014


Como todo el mundo sabe, ya esta en marcha la edición 2014 de la BlackHat USA, una de las concentraciones de seguridad más importantes a nivel mundial. Para el disfrute de todos nosotros ya está disponible el material de esta conferencia. Entre un montón de ponencias, charlas e incluso polémicas podemos disfrutar de un amplio abanico de actividades, (para el que pueda pagarlo y el que tenga tiempo para viajar hasta alli ;) ). 


BlackHat USA 2014, IR.