La autenticación de la identidad digital y el cifrado de datos se están expandiendo exponencialmente con nuestra creciente dependencia de la Internet de las Cosas (IoT). Las empresas recurren a la tecnología para minimizar riesgos, proteger activos y reducir gastos operativos salvaguardando el acceso a la información y los sistemas. En el pasado, los nombres de usuario y las contraseñas solían ser la regla de oro, pero a medida que aprendemos más sobre la seguridad en un mundo hiperconectado, los métodos alternativos basados en la criptografía de clave pública se han hecho muy populares. Como si no fuera lo suficientemente complicado identificar e implementar la combinación adecuada de tecnología de seguridad para un caso de uso específico, CryptoPeak Solutions LLC viene a complicar las cosas.
Permítanme preparar el escenario: Certified Security Solutions (CSS) vive y respira tecnologías de identidad digital, cifrado y firma. Personalmente, me paso prácticamente todas las horas del día investigando los certificados digitales utilizados en SSL/TLS para entender cómo se representa (y a veces se tergiversa) la identidad en la naturaleza. Esta semana, me ha decepcionado leer en Internet una serie de demandas que podrían socavar la confianza depositada en los certificados digitales.
Trolling de patentes de ECC
CryptoPeak Solutions LLC ha demandado a más de 70 grandes empresas por supuesta infracción de la patente estadounidense 6202150B1, que abarca en general cuestiones de gestión de claves en sistemas criptográficos. La afirmación de CryptoPeak parece ser que cualquier sitio web que entregue contenido HTTPS que utilice certificados digitales con claves de criptografía de curva elíptica (ECC) infringe su patente. Este comportamiento ha sido descrito como "trolling de patentes" por un gran número de expertos técnicos y jurídicos, y en general estoy de acuerdo con esa valoración. Sin embargo, lo que me preocupa mucho más que la cuestión jurídica es comprender los posibles efectos dominó que estas demandas podrían tener en el ecosistema SSL/TLS - y en el mundo más amplio de la seguridad IoT - que podrían derivarse de estos procedimientos judiciales.
Nuestro equipo de investigación de CSS ha estado realizando una encuesta de supervisión de certificados escaneando todo Internet con el objetivo de conocer cómo se utilizan los certificados digitales. A partir de los datos recopilados, hemos identificado aproximadamente 2.700 sitios en Internet que utilizan claves ECC en los certificados SSL/TLS para HTTPS. Aunque el número de sitios que utilizan ECC está creciendo, muchos de los sitios pertenecen actualmente sólo a un puñado de entidades corporativas. Por ejemplo, Facebook como empresa representa más de 60 de esos casi 2.700 sitios.
El mayor impacto del trolling de patentes de ECC
Aunque el número de adoptantes de claves ECC sigue siendo relativamente pequeño en comparación con las claves RSA de mayor difusión para SSL/TLS, las demandas de CryptoPeak son preocupantes por su posible impacto negativo en la futura adopción y renovación de certificados digitales con claves ECC. La seguridad en Internet se basa en la confianza, y la confianza se la ganan las organizaciones que adoptan una postura de seguridad firme y eligen claves criptográficas sólidas para los certificados SSL/TLS de sus servidores web. El trolling de patentes en este ámbito es especialmente preocupante porque debilita la confianza depositada en los certificados digitales, lo que pone en peligro las comunicaciones seguras a medida que las organizaciones reconsideran su uso de claves ECC en favor de criptosistemas más débiles para evitar la posibilidad de ser citadas en demandas por infracción.
Además, gran parte de la seguridad de la incipiente Internet de los objetos se basa en claves ECC para proteger las comunicaciones y establecer la identidad. Un gran ejemplo es el desarrollo de los sistemas obligatorios de vehículo a vehículo (V2V) y de vehículo a infraestructura (V2I) del Departamento de Transporte de EE.UU., en los que se prefieren las claves ECC por múltiples razones, entre ellas el menor tamaño de los archivos de certificados, los menores requisitos de energía y una fuerza criptográfica similar en claves de menor tamaño en comparación con las claves RSA. Aunque las demandas de CryptoPeak parecen limitarse actualmente a las aplicaciones para HTTPS, una lectura igualmente amplia del lenguaje de la patente podría hacer que las organizaciones renunciaran a ECC y a sus ventajas en las aplicaciones de IoT para evitar litigios. Esa decisión podría tener un efecto perjudicial en el desarrollo de dispositivos y redes seguras IoT , como los mencionados sistemas V2V y V2I.
Búsqueda mundial de certificados de Internet
Consulte el sitio web de CSS para obtener datos sobre el panorama actual de Internet de SSL/TLS, así como la posibilidad de solicitar un informe personalizado sobre los certificados digitales de su empresa que hemos observado supervisando el uso de SSL/TLS en Internet: https://www.css-security.com/research/.
Para más información sobre la Encuesta de Seguimiento de Certificados y los esfuerzos de CSS Research, póngase en contacto con nosotros en [email protected].