Microsoft ha anunciado que las claves RSA de menos de 2048 bits pronto
quedarán obsoletas en Windows Transport Layer Security (TLS) para proporcionar
una mayor seguridad.
Rivest-Shamir-Adleman (RSA) es un sistema de criptografía asimétrica que
utiliza pares de claves públicas y privadas para cifrar datos, cuya potencia
está directamente relacionada con la longitud de la clave. Cuanto más largas
sean estas claves, más difíciles serán de descifrar.
La compatibilidad con certificados que utilizan claves RSA con longitudes
de clave inferiores a 2048 bits quedará obsoleta.
Los estándares de Internet y
los organismos reguladores prohibieron el uso de claves de 1024 bits en
2013, recomendando específicamente que las claves RSA tuvieran una longitud de
clave de 2048 bits o más.
Las claves RSA de 1024 bits tienen aproximadamente 80 bits de seguridad,
mientras que la clave de 2048 bits tiene aproximadamente 112 bits, lo que hace
que estas últimas sean cuatro mil millones de veces más largas de factorizar.
Los expertos en la materia consideran que las
claves de 2048 bits son seguras al menos hasta 2030.
Las claves RSA se utilizan en Windows para varios propósitos, incluida la
autenticación del servidor, el cifrado de datos y garantizar la integridad de
las comunicaciones.
La decisión de Microsoft de trasladar el requisito mínimo de claves RSA a 2048
bits o más para los certificados utilizados en la autenticación del servidor
TLS es importante para proteger a las organizaciones de un cifrado débil.
«El soporte para certificados que utilizan claves RSA con longitudes de
clave inferiores a 2048 bits quedará obsoleto», se lee en la nueva entrada en la
lista de obsolescencias de Microsoft.
«Los estándares de Internet y los organismos reguladores prohibieron el uso
de claves de 1024 bits en 2013, recomendando específicamente que las claves
RSA tuvieran una longitud de clave de 2048 bits o más. Esta
desaprobación se centra en garantizar que todos los certificados RSA
utilizados para la autenticación del servidor TLS deben tener longitudes de
clave mayores o iguales a 2048 bits para que Windows los considere
válidos».
Desafortunadamente,
esta medida probablemente afectará a las organizaciones que utilizan
software y dispositivos conectados a la red más antiguos,
como impresoras, que utilizan claves RSA de 1024 bits, lo que les impide
autenticarse en servidores Windows.
Si bien Microsoft no ha especificado con precisión cuándo comenzará la
desaprobación, es probable que implique un anuncio formal seguido de un
período de gracia, como vimos con la
desaprobación de claves de menos de 1024 bits en 2012.
Durante este período de gracia, los administradores de Windows pueden
configurar el registro para determinar qué dispositivos están intentando
conectarse usando claves más antiguas y se verán afectados por este cambio.
Para minimizar los problemas, Microsoft ha decidido limitar el alcance del
impacto para no afectar los certificados TLS emitidos por empresas o
autoridades de certificación de pruebas.
Sin embargo, el gigante tecnológico recomienda encarecidamente que las
organizaciones realicen la transición de claves RSA de 2048 bits o más lo
antes posible como parte del seguimiento de las mejores prácticas de
seguridad.
Fuente:
BC
