Los servicios de Google con HTTPS incluyen una técnica de codificación especial para evitar futuros ataques de recuperación de claves.
Google ha modificado el método de cifrado usado por sus servicios con HTTPS (como Gmail, Google Docs y Google+) con el fin de evitar que el tráfico actual pueda ser descifrado en el futuro.
La mayoría de las implementaciones HTTPS actuales utilizan una clave privada conocida sólo por el propietario del dominio para generar claves de sesión que se utilizan posteriormente para cifrar el tráfico entre los servidores y sus clientes.
Este enfoque expone las conexiones a los llamados ataques de descifrado retrospectivos. "Dentro de diez años, cuando los ordenadores sean mucho más rápidos, un adversario podría romper la clave privada del servidor y, de forma retrospectiva, descifrar tráfico del correo electrónico de hoy", explica Adam Langley, un miembro del equipo de seguridad de Google, en un blog.
Con el fin de minimizar este riesgo de seguridad, bajo pero real, Google ha puesto en marcha un sistema de cifrado propio, lo que implica el uso de diferentes claves privadas para cifrar las sesiones y su eliminación después de un período de tiempo.
De esta manera, un atacante que consiga romper o robar una clave no podrá recuperar una cantidad significativa de tráfico de correo electrónico, explica Langley. De hecho, asegura que ni siquiera el administrador del servidor será capaz de descifrar el tráfico HTTPS con carácter retroactivo
La mayoría de las implementaciones HTTPS actuales utilizan una clave privada conocida sólo por el propietario del dominio para generar claves de sesión que se utilizan posteriormente para cifrar el tráfico entre los servidores y sus clientes.
Este enfoque expone las conexiones a los llamados ataques de descifrado retrospectivos. "Dentro de diez años, cuando los ordenadores sean mucho más rápidos, un adversario podría romper la clave privada del servidor y, de forma retrospectiva, descifrar tráfico del correo electrónico de hoy", explica Adam Langley, un miembro del equipo de seguridad de Google, en un blog.
Con el fin de minimizar este riesgo de seguridad, bajo pero real, Google ha puesto en marcha un sistema de cifrado propio, lo que implica el uso de diferentes claves privadas para cifrar las sesiones y su eliminación después de un período de tiempo.
De esta manera, un atacante que consiga romper o robar una clave no podrá recuperar una cantidad significativa de tráfico de correo electrónico, explica Langley. De hecho, asegura que ni siquiera el administrador del servidor será capaz de descifrar el tráfico HTTPS con carácter retroactivo
0 comentarios :
Publicar un comentario