Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Guía de Microsoft para la omisión de características de seguridad de cifrado simétrico de CBC
Publicado: 12 de junio de 2018
Versión: 1.0
Información general
Resumen ejecutivo
Microsoft anuncia instrucciones mejoradas sobre el uso del modo Cifrado encadenamiento de bloques (CBC) con cifrado simétrico. Una vulnerabilidad de omisión de características de seguridad "oráculo de relleno" puede existir en determinadas circunstancias si se usan cifrados de bloques CBC rellenados sin comprobaciones de integridad de datos adicionales. Esto podría permitir que un atacante descifre y manipule los datos cifrados sin conocer la clave de cifrado. Esta vulnerabilidad se puede usar tanto localmente como en ataques basados en red.
La vulnerabilidad se deriva de la forma en que se codifica el cifrado y no se puede identificar mediante programación sin una alta tasa de falsos positivos debido a la naturaleza impredecible de los datos. La vulnerabilidad se basa en tener un "oráculo de relleno" que responde libremente a las consultas sobre si un mensaje se rellena correctamente o no. Un ataque se basa en la capacidad de cambiar los datos cifrados y probar el resultado con el oráculo. La única manera de mitigar completamente el ataque es detectar los cambios en los datos cifrados y rechazar que se hagan acciones en ellos. La manera estándar de hacerlo es crear una firma verificable para los datos y validar esa firma antes de realizar cualquier operación.
El posible problema se puede aplicar a los datos en reposo o a los datos en tránsito, y Microsoft recomienda que los datos que tengan confidencialidad en tránsito se transmitan a través de la seguridad de la capa de transporte (TLS, el sucesor de Capa de sockets seguros (SSL). Se recomienda que las aplicaciones que no puedan cambiar su formato de mensajería, pero que realicen el descifrado CBC no autenticado intenten incorporar mitigaciones. En función de la investigación actual, generalmente se cree que cuando los pasos de autenticación y cifrado se realizan de forma independiente (para los modos que no son AE de cifrado) que autenticar el texto cifrado (cifrar y luego firmar) es la mejor opción general. Sin embargo, no hay ninguna respuesta correcta de un solo tamaño a la criptografía y esta generalización no es tan buena como consejos dirigidos de un criptográfico profesional.
En resumen, para usar cifrados de bloques CBC rellenados de forma segura, debe combinarlos con un código de autenticación de mensajes hash con clave (HMAC) (u otra comprobación de integridad de datos) que valide mediante una comparación de tiempo constante antes de intentar descifrar los datos. Dado que todos los mensajes modificados tardarán el mismo tiempo en generar una respuesta, se evitará el ataque. Para ayudar a encontrar instancias de esta vulnerabilidad, Microsoft ha publicado instrucciones que indican cómo realizar revisiones de código tal como se describe en el documento actualizado: Vulnerabilidades de tiempo con descifrado simétrico en modo CBC mediante relleno. Se revisaron los productos y servicios de Microsoft y no se ven afectados.
Acciones recomendadas:
- Mantenga actualizadas las aplicaciones de Microsoft.
- Determine si tiene aplicaciones personalizadas que realizan su propio cifrado y descifrado.
- Lea el documento al que se hace referencia para determinar cómo identificar código vulnerable.
Acciones sugeridas adicionales
Proteger su PC
Seguimos animando a los clientes a seguir nuestra guía Proteger su equipo para habilitar un firewall, obtener actualizaciones de software e instalar software antivirus. Para obtener más información, consulte Microsoft Caja fuerte ty & Security Center.Mantener actualizado el software de Microsoft
Los usuarios que ejecutan software de Microsoft deben aplicar las últimas actualizaciones de seguridad de Microsoft para ayudar a asegurarse de que sus equipos estén lo más protegidos posible. Si no está seguro de si el software está actualizado, visite Microsoft Update, examine el equipo para ver las actualizaciones disponibles e instale las actualizaciones de alta prioridad que se le ofrecen. Si tiene habilitada y configurada la actualización automática para proporcionar actualizaciones para los productos de Microsoft, las actualizaciones se le entregan cuando se publican, pero debe comprobar que están instaladas.
Otra información
Programa microsoft Active Protections (MAPP)
Para mejorar las protecciones de seguridad para los clientes, Microsoft proporciona información sobre vulnerabilidades a los principales proveedores de software de seguridad con antelación de cada versión de actualización de seguridad mensual. Después, los proveedores de software de seguridad pueden usar esta información de vulnerabilidad para proporcionar protecciones actualizadas a los clientes a través de su software de seguridad o dispositivos, como antivirus, sistemas de detección de intrusiones basados en red o sistemas de prevención de intrusiones basados en host. Para determinar si las protecciones activas están disponibles en proveedores de software de seguridad, visite los sitios web de protección activa proporcionados por los asociados del programa, enumerados en Asociados del Programa de Protección Activa de Microsoft (MAPP).
Comentarios
- Puede proporcionar comentarios completando el formulario de Ayuda y soporte técnico de Microsoft, Servicio al cliente Póngase en contacto con nosotros.
Soporte técnico
- Los clientes de la Estados Unidos y Canadá pueden recibir soporte técnico del soporte técnico de soporte técnico. Para obtener más información, consulte Ayuda y soporte técnico de Microsoft.
- Los clientes internacionales pueden recibir soporte técnico de sus subsidiarias locales de Microsoft. Para obtener más información, consulte Asistencia internacional.
- Microsoft TechNet Security proporciona información adicional sobre la seguridad en los productos de Microsoft.
Declinación de responsabilidades
La información proporcionada en este aviso se proporciona "tal cual" sin garantía de ningún tipo. Microsoft renuncia a todas las garantías, ya sea expresas o implícitas, incluidas las garantías de comerciabilidad y idoneidad para un propósito determinado. En ningún caso, Microsoft Corporation o sus proveedores serán responsables de cualquier daño, incluyendo daños directos, indirectos, incidentales, consecuentes, pérdida de beneficios empresariales o daños especiales, incluso si Microsoft Corporation o sus proveedores han sido informados de la posibilidad de tales daños. Algunos estados no permiten la exclusión o limitación de responsabilidad por daños consecuenciales o incidentales, por lo que es posible que no se aplique la limitación anterior.
Revisiones
- V1.0 (12 de junio de 2018): Aviso publicado.