Utilizamos cookies en nuestro sitio web para personalizar el contenido y los anuncios, para proporcionar funciones de redes sociales y para analizar el tráfico a nuestro sitio web. Para brindarte una experiencia en línea conveniente y mejorar nuestras comunicaciones, haz clic en "ACEPTAR TODO". Al hacerlo, aceptas el procesamiento y el intercambio de tu información con nuestros socios de redes sociales, publicidad y análisis. Puedes revocar stu consentimiento en cualquier momento en la Configuración de Privacidad de datos​.
Política de privacidad I Términos y condiciones
Configuración

La importancia de las fuentes de entropía en criptografía y seguridad de la información

Autor: Agustín Sánchez

22 feb 2024 Ciberseguridad

Generando confianza en la era digital

Las fuentes de entropía son piedras angulares en el mundo de la criptografía y la seguridad de la información, desempeñando un papel crítico en la salvaguarda contra el acceso no autorizado a comunicaciones privadas y la suplantación de identidad.

En este artículo descubrimos por qué las fuentes de entropía son cruciales y cómo su aplicación práctica juega un papel vital en la protección contra amenazas digitales. ¿Cómo los estándares gubernamentales regulan estas fuentes para mantener la integridad de la seguridad?

Lecciones de incidentes pasados

En el año 2012, un equipo liderado por Nadia Heninger llevó a cabo un exhaustivo escaneo de la red, identificando claves públicas con similitudes notables. A través de un ataque meticulosamente diseñado, lograron recuperar las claves privadas de una buena parte de los servidores analizados. Un estudio detallado reveló que ciertos dispositivos de red, operando bajo sistemas basados en Linux, tendían a generar los mismos números primos para la creación de dichas claves. En total, recuperaron más de 64,000 claves privadas de servidores TLS y 108,000 de servidores SSH, lo que potencialmente podria comprometer el acceso a servidores donde se almacenaban datos sensibles de usuarios.
Un incidente similar ocurrió en 2013, cuando el sistema de certificados del gobierno de Taiwán fue comprometido. Investigadores, liderados por D. Bernstein, lograron exponer las claves privadas de 184 certificados distintos. Este hecho hubiera permitido a posibles atacantes suplantar identidades y realizar operaciones fraudulentas en nombre de terceros. El estudio reveló que el generador de números aleatorios de las tarjetas no funcionaba correctamente.
Estos incidentes subrayan la importancia crítica de contar con fuentes de entropía robustas y seguras para la generación de números aleatorios, evitando así que los atacantes puedan predecir o replicar los procesos de generación de claves.

La importancia de contar con estándares de calidad

Ante esta necesidad, tanto entidades gubernamentales como organizaciones privadas han reconocido la importancia de establecer y mantener estándares de calidad para la generación de números aleatorios. Estos estándares, en muchos casos, son obligatorios para la comercialización de productos y servicios en sus respectivas jurisdicciones.

Estándares de calidad y regulación gubernamental

Profundizamos en los estándares establecidos por entidades como el Instituto Nacional de Estándares y Tecnología (NIST) de Estados Unidos y la Oficina Federal de Seguridad de la Información (BSI) de Alemania. ¿Cómo la SP 800-90B del NIST y el AIS 20/31 del BSI garantizan la calidad en la generación de números aleatorios?

SP 800-90B del NIST: Estimando y asegurando la entropía

La SP 800-90B del NIST es una guía crucial para el diseño y la implementación de sistemas criptográficos seguros al proporcionar recomendaciones sobre la estimación de la entropía de fuentes de números aleatorios. La entropía adecuada garantiza la imprevisibilidad de los números generados, crucial en criptografía.
El estándar se centra en evaluar las fuentes de entropía, asegurando su calidad y funcionamiento, y en métodos para estimar la entropía generada, considerando la predictibilidad y aleatoridad de los datos. Es esencial para desarrolladores de seguridad, fabricantes de hardware y organismos gubernamentales que buscan garantizar la integridad y confidencialidad de la información.

AIS 20/31 del BSI Alemán: Directrices para números aleatorios de calidad

El AIS 20/31 del BSI Alemán son directrices fundamentales para la generación y prueba de números aleatorios. Dividido en AIS 20 y AIS 31, el AIS 20 ofrece recomendaciones para la generación y prueba de números aleatorios de calidad, estableciendo requisitos mínimos para los generadores de números aleatorios en aplicaciones criptográficas. Por su parte, el AIS 31 se centra en los generadores de números aleatorios físicos, proporcionando un marco para evaluar su seguridad y eficacia. Estos documentos son cruciales para asegurar la calidad y seguridad de los sistemas criptográficos al proporcionar pautas detalladas para la evaluación y certificación de los generadores de números aleatorios.

Conclusión: Construyendo un futuro seguro

La implementación de estándares como la SP 800-90B y el AIS 20/31 es esencial para proteger la integridad y confidencialidad de la información en nuestra era digital. Más allá de prevenir ataques, estos estándares establecen un sólido marco de confianza para el desarrollo de tecnologías seguras en el futuro. ¡Aseguremos la confianza digital!
En DEKRA, somos un laboratorio acreditado para evaluar la calidad e implementación de fuentes de entropía. Nuestra larga trayectoria con el NIST, asegura un proceso rápido y eficiente en la certificación acorde a la SP 800-90B.
Sobre el autor

Agustín Sánchez

Ingeniero Electrónico Industrial en el campo de la seguridad informática y con más de 5 años de experiencia en auditoría y certificación de productos criptográficos.
Mostrar todos los artículos