COMUNICACIÓN TÉCNICA SafeNet / Gemalto

COMUNICACIÓN TÉCNICA

Para clientes de dispositivos criptográficos de SafeNet / Gemalto

Objeto de esta comunicación

Siendo que su empresa es cliente de CertiSur S.A. a través de la compra de dispositivos criptográficos de SafeNet/Gemalto en formato token o smartcard, le informamos que la aplicación SafeNet Authentication Client a partir de la versión 10.5 tendrá como opción por defecto, la firma bajo el algoritmo SHA2 quedando deshabilitado el algoritmo SHA1. En caso de que su aplicación este configurada para generar firmas con el algoritmo SHA1, recibirá un mensaje de error.

Este cambio es mandatorio por políticas de seguridad preestablecidas y por medio de esta comunicación le transmitimos las acciones que se deben tener en cuenta y como mitigar esta situación.

Introducción

Existe un movimiento significativo en toda la industria que está forzando rápidamente el final del algoritmo SHA-128 (SHA-1) para ajustar los controles de seguridad. Una combinación de directrices de NIST (National Institute of Standards & Technology de USA), el Windows® Root Certificate Program de Microsoft, el

CAB/Forum formado por las Autoridades Certificantes y los Navegadores, el estándar de seguridad de datos de la industria de tarjetas de pago (PCI DSS) y el análisis propio de Gemalto del entorno criptográfico en evolución está impulsando estos cambios.

A modo de ejemplo, ninguna autoridad certificante pública, puede emitir un certificado de servidor cuyo algoritmo de firma sea SHA1.

En la actualidad, SHA-1 continúa siendo un algoritmo seguro y no se han informado incumplimientos críticos conocidos con certificados que usan SHA-1. Sin embargo, los expertos en criptografía de todo el mundo consideran que el uso del algoritmo SHA-1 podría ser vulnerable a ataques en un futuro no tan lejano. Esa es la razón principal para pasar a un algoritmo más fuerte.

Es por eso por lo que a partir de la versión 10.5 del SafeNet Authentication Client (SAC) el algoritmo por defecto será SHA-256 y el algoritmo SHA1 aparecerá deshabilitado. Mas allá de esta opción por defecto, será posible habilitar el algoritmo SHA1 mediante el agregado de una clave en el Editor de Registros de Microsoft[1]

[HKEY_LOCAL_MACHINE\SOFTWARE\SafeNet\Authentication\SAC\Crypto]

“Disable-Crypto”=”None”

Adicionalmente se detalla una lista de algoritmos y características criptográficas restringidas y obsoletas:

MD5                                                   RC2

RC4                                                    DES

2DES                                                   GenericSecret<112

RSA-RAW                                           RSA<2048

ECC<224                                            ECB

Sign-SHA1

La lista predeterminada de algoritmos y características criptográficas en desuso puede variar para cumplir con los requisitos de NIST en futuras versiones. Es su responsabilidad verificar que sea compatible con las aplicaciones de terceros.

Es importante que aproveche este aviso anticipado para evaluar sus aplicaciones tanto del lado cliente como servidor, para determinar qué pasos se deben tomar para que pueda firmar digitalmente con el algoritmo SHA2. Por ejemplo, si su población de usuarios consiste en Internet Explorer® 7 (y superior) en Windows Vista SP2 (y superior), todos sus usuarios podrán manejar SHA-2.

Si utiliza aplicaciones patentadas u otros dispositivos de hardware, consulte su documentación o póngase en contacto con el proveedor para tomar una determinación. Su análisis cuidadoso y un plan de actualización estructurado garantizarán que sus usuarios experimenten una interrupción mínima durante estas transiciones de vital importancia.

La aplicación PTA (Personal Trust Agent) solo permite firmar con el algoritmo SHA1 por lo tanto si su certificado se encuentra instalado en un dispositivo criptográfico, utiliza SafeNet Authentication Client 10.5 o superior e intenta firmar con PTA recibirá un mensaje de error.

El aplicativo desarrollado por CertiSur, Alison SDK; para firmar transacciones desde cualquier navegador, permite definir indistintamente el algoritmo de firma SHA1 o SHA2 al momento de incorporar en su sitio, la capacidad de firma.

Asimismo, Debbie, la herramienta de verificación de firmas desarrollada por CertiSur soporta la validación de firmas realizadas con SHA1 o SHA2.

Soporte Técnico

Si tiene alguna pregunta o inquietud, contáctese con el Soporte de CertiSur a través de este link: https://www.certisur.com/soporte

[1] Mas información en el documento SafeNet Authentication Client 10.6 Administrator Guide Windows Rev_B.pdf página 114-Security Settings