Recientemente se ha detectado un error grave en los cifrados del OpenSSL que afecta la seguridad en internet. OpenSSL es un cifrado usado desde conexiones SSL hasta webs con HTTPS.

OpenSSL genera claves de hasta 4096 bits, haciendo que un ataque por fuerza bruta se considere inviable por el coste de tiempo, pero este error detectado reduce la cantidad a tan solo 16 bits (32768 combinaciones ). Esto significa que un PC personal necesite menos de media hora para realizar el ataque.

Al parecer, este bug se ha producido en una corrección del código de OpenSSL hecha en el 2006. Debian ha sacado ya un nuevo paquete para SSH (ssh_4.3p2-9etch1), llamado "openssh-blacklist". Esta actualización para el servidor SSH, que rechazará las claves de la serie comprometida dentro de los16 bits, lo que obliga a cambiar las claves generadas desde 2006.

Se recomienda actualizar los sistemas y cambiar las contraseñas para securizar de nuevo el sistema.

Fuentes:

Debian Security Advisory
http://www.debian.org/security/2008/dsa-1571

Debian OpenSSL Package Random Number Generator Weakness
http://www.securityfocus.com/bid/29179