Fallo criptográfico en la implementación de ECDSA en Java
El algoritmo ECDSA (Elliptic Curve Digital Signature Algorithm), utilizado en Java y Oracle para para firmar digitalmente mensajes y datos, con el fin de verificar la autenticidad y la integridad de los contenidos, es vulnerable debido a un fallo en la verificación de la firma, que podría permitir que las descargas maliciosas pasaran por contenido benigno.
Este error criptográfico, denominado Psychic Signatures, se origina por la falta de validación de los valores (R,S) utilizados por ECDSA, ya que si ambos valores son (0,0), la verificación siempre sería válida independientemente del resto de valores.
Referencias:
- 19/04/2022 neilmadden.blog CVE-2022-21449: Psychic Signatures in Java
- 24/04/2022 unaaldia.hispasec.com ‘El error criptográfico del año’ es para Java
- 26/04/2022 media.cert.europa.eu Oracle Java SE RCE Vulnerability
- 21/04/2022 jfrog.com CVE-2022-21449 “Psychic Signatures”: Analyzing the New Java Crypto Vulnerability
- 21/04/2022 blog.ehcgroup.io FIRMAS DIGITALES «VACÍAS» EN JAVA (PARCHA CVE-2022-21449!)
- 20/04/2022 nakedsecurity.sophos.com Critical cryptographic Java security blunder patched – update now!
- 22/04/2022 thehackernews.com Researcher Releases PoC for Recent Java Cryptographic Vulnerability
Etiquetas: