Estonia casi al descubierto por quebrantar el cifrado RSA-2048

Estonia

Para el año 2003 el gobierno de Estonia ha puesto en marcha un programa que buscaba digitalizar el país y lograr evitar la burocracia existente, dicho programa llevaba por nombre e-Estonia State Portal. Un país que se ha convertido un gran ejemplo digital, ofreciendo ventajas como residencia electrónica, o la digitalización de documentos de identidad. El problema es que un fallo en la seguridad logró poner en peligro la identidad de casi toda una nación.

Cifrado que ha dejado al descubierto a casi una nación completa de Estonia y algunos otros países

Un cifrado RSA-2048 el cual es usado por varias plataformas de identificación en la nación. Tales como documentos de identidad, firmas, accesos a entornos del gobierno, entre otros. Una modalidad nueva que se esta implementado por parte de los piratas de la información que permite vulnerar a los usuarios donde los atacantes usurpan la identidad que dispongan con el cifrado RSA-2048 y tengan uso de la librería Infineon.

Un cifrado RSA consiste en un sistema criptográfico de clave pública; lo que consiste en dos claves: una privada y la otra pública. Cuando se requiere hacer una autenticación el usuario 1 busca que el usuario 2 le de acceso a la clave pública, luego cifra la información y la envía al usuario 2 para que la descifre por medio de la clave privada. Algunos investigadores han logrado encontrar la clave privada, unicamente con obtener la clave pública del usuario.

Este cifrado logra cifrar el mensaje en números, que luego son descifrados por medio de la utilización de  números primos. Dichos números primos son elegidos al azar.

Los investigadores que se han interesado en el tema, han realizado diversas pruebas, que hacen uso de este sistema. Donde se ha denotado que han sido afectados diversos documentos de identidad en varios países. Además han descubierto que esto sucede cuando hacen uso de la librería Infinieon.

Estonia hace un mes atrás, advirtió que 750.000 identificaciones repartidas durante el año 2014, se consideran vulnerables a cualquier ataque.  El gobierno ha decidido cerrar la base de datos de claves públicas. Por lo que se han cancelado hasta los momentos la realización de alguna firma digital.