Por primera vez, los investigadores han demostrado que una parte importante de las claves de cifrado utilizadas para proteger los datos en el tráfico SSH de computadora a servidor son Sujeto a liquidación total Cuando ocurren naturalmente errores aritméticos durante el establecimiento de la conexión. Ars Técnica: Para subrayar la importancia de su descubrimiento, los investigadores utilizaron sus hallazgos para calcular la parte privada de casi 200 claves SSH únicas que observaron en escaneos públicos de Internet realizados durante los últimos siete años. Los investigadores sospechan que las claves utilizadas en las comunicaciones IPsec podrían correr la misma suerte. SSH es el protocolo de cifrado utilizado en conexiones de shell seguras que permite a las computadoras acceder de forma remota a servidores, generalmente en entornos empresariales sensibles a la seguridad. IPsec es un protocolo utilizado por redes privadas virtuales que enruta el tráfico a través de un túnel cifrado.
La vulnerabilidad ocurre cuando ocurren errores durante la generación de firmas cuando el cliente y el servidor establecen una conexión. Sólo afecta a las claves que utilizan el algoritmo de cifrado RSA, que los investigadores encontraron en casi un tercio de las firmas SSH que examinaron. Esto significa aproximadamente mil millones de firmas de los 3,2 mil millones de firmas examinadas. De los aproximadamente mil millones de firmas RSA, aproximadamente una de cada millón expone la clave privada del host. Aunque el porcentaje es muy pequeño, el resultado es sorprendente por varias razones, en particular porque la mayoría de los programas SSH en uso han implementado una contramedida durante décadas que verifica si hay errores de firma antes de enviarla a través de Internet. Otro motivo de la sorpresa es que hasta ahora, los investigadores creen que los errores de firma solo revelaban las claves RSA utilizadas en el protocolo TLS (o Transport Layer Security) que cifra las comunicaciones web y de correo electrónico. Creían que el tráfico SSH era inmune a tales ataques porque los atacantes pasivos (es decir, los adversarios que monitorean el tráfico a medida que pasa) no podían ver parte de la información necesaria cuando ocurrían errores.
