msgbartop
“¿Estás seguro de que ESO es aleatorio?” “Ése es el problema con la aleatoriedad: nunca puedes estar seguro”
msgbarbottom

18 may 08 El patinazo de Debian/OpenSSL

Hay que reconocerlo: nadie, ni siquiera los más reputados por su más que demostrado buen hacer, están libres de meter la pata. ¿A qué viene esto? Pues viene a la noticia bomba (más bien hecatombe) que sacudía a los debianitas (y derivados) la semana pasada: una modificación incorrecta de la función encargada de generar la semilla aleatoria necesaria para generar claves en certificados generados con OpenSSL en Debian producía que el espacio de claves disponibles pasara de 2^1024 a un ridículo número de 32768 claves posibles. Y esto, para mas inri, se traducía en que distribuciones derivadas, como Ubuntu o, tirando para casa, Guadalinex, sufrieran del mismo problema. Para más detalles, se puede consultar la excelente página de Kriptópolis: Chapuza criptográfica en Debian, Ubuntu y derivados.

El problema técnico en sí estuvo corregido en pocas horas. Eso sí, después de, ejem, dos años esperando reventarnos en toda la cara. Ello quiere decir que todas las distribuciones Debian a partir de Sarge (ésta es la última libre del problema) están afectadas. En distribuciones derivadas, obviamente, tres cuartos de lo mismo. Pero en este caso el problema va más allá de lo técnico, porque es preciso regenerar todos los certificados generados en máquinas afectadas, dado que son ridículamente inseguras.

Esto ha vuelto a producir, dicho sea de paso, una guerra más entre los defensores del código abierto y el código cerrado. ¿Mi opinión? Personalmente creo que es mejor para todos la existencia y uso de códigos abiertos, pero ello no es por sí solo garantía -obviamente- de software de mayor calidad. Lo único que nos garantiza es que va a poder ser sometido a auditoría por mayor número de personas, y por ello mismo el que lo escriba va a estar mejor predispuesto a evitar chapuzas. Pero sigue siendo necesaria esa auditoría, porque si no luego pasan cosas como estas. En cuanto al software cerrado, ¿qué nos garantiza que algo así no haya sucedido, y se haya corregido (¿después de cuánto tiempo?) corriendo un tupido velo para que nadie se entere?

VN:F [1.9.20_1166]
Rating: 0.0/10 (0 votes cast)
Comparte este artículo:
  • Twitter
  • Facebook
  • email
  • StumbleUpon
  • Delicious
  • Google Reader
  • LinkedIn
  • BlinkList

Deje un comentario







8 − siete =