Manuel Delgado
autor
Contacto
Chapuza criptográfica en Linux
17.05.08 @ 10:04:58. Archivado en Miscelánea
Al ver la noticia en Kriptópolis, todo se confirmó: una enorme vulnerabilidad afecta al componente OpenSSL de Linux Debian y sus derivados, como Ubuntu (y sus derivados, valga la redundancia, Kubuntu, Xubuntu y Edubuntu). Otros lo llaman debilidad, pero en Kriptópolis lo llaman chapuza y, a decir verdad, estoy muy de acuerdo con el término. Es un asunto de enorme gravedad provocado por una falta absoluta de controles de calidad, tanto en OpenSSL como en Debian: un desarrollador de Debian consultó a OpenSSL si era posible comentar un par de líneas de código que disparaban advertencias al depurar y, desde OpenSSL, se le contestó que no había mayor problema. Sólo que esas dos líneas de código son las que dotaban de robustez a las claves generadas; sin ellas, las claves eran tan robustas como la voluntad de un niño ante una bolsa de caramelos. Y nadie se dio cuenta durante un año y medio. Por tanto, una chapuza.
