Ataques de Entropía: Explotación de Fallas en la Generación de Números Aleatorios
Una publicación del blog cr.yp.to revela una vulnerabilidad crítica en la generación de números aleatorios: los ataques de entropía. La creencia generalizada es que aplicar una función hash a múltiples fuentes de entropía mejora la aleatoriedad, pero el autor demuestra que si una sola fuente está comprometida, los atacantes pueden manipular la salida del hash y controlar los números aleatorios generados. Esto representa una amenaza significativa para los sistemas criptográficos que dependen de la aleatoriedad, como DSA y ECDSA, permitiendo a los atacantes robar claves privadas. EdDSA, debido a su generación de firmas determinista, ofrece una mayor resistencia. El artículo aboga por minimizar las fuentes de entropía y emplear enfoques criptográficos deterministas para mitigar los riesgos asociados a la adición constante de nueva entropía.