Reino: Security Features

La seguridad de un software no es un software de seguridad. Nos preocupamos de cuestiones como la autenticación, el control de acceso, la confidencialidad, la criptografía y la gestión de privilegios.

Weak Cryptographic Signature: User-Controlled Key Size

Abstract

No debe pasarse un valor de tamaño de clave contaminado a las funciones de firma criptográfica que toman un parámetro de tamaño de clave.

Explanation

Permitir que un valor controlado por el usuario determine el tamaño de la clave podría permitir que el usuario malintencionado especifique una clave vacía, lo que habilitaría la modificación de una firma criptográfica que garantice la integridad de los datos cifrados. Incluso si se requiere un valor distinto de cero, el usuario malintencionado podría especificar igual el valor de tamaño de clave más bajo posible y así reducir la integridad de los datos cifrados.

Los problemas de Hash criptográfico débil: tamaño de clave controlado por el usuario se producen cuando:

1. Los datos entran en un programa a través de un origen que no es de confianza.

2. Dentro de una función de firma criptográfica, los datos controlados por el usuario se usan como todo el parámetro de tamaño de clave, o como una parte del mismo.

Al igual que muchas vulnerabilidades de seguridad de software, Hash criptográfico débil: tamaño de clave controlado por el usuario es un medio para lograr un fin, no un fin en sí mismo. En su raíz, la vulnerabilidad es sencilla: un usuario malintencionado transfiere datos malintencionados a una aplicación y, a continuación, esos datos se usan como valor de tamaño de clave, o como parte de dicho valor, al realizar el cifrado.

Las instrucciones de criptografía actuales sugieren usar longitudes de claves de 2048 bits como mínimo con los algoritmos RSA y DSA. Sin embargo, los avances en la capacidad de cálculo y en las técnicas de factorización [1] hacen inevitables los futuros aumentos en el tamaño de clave recomendado. Incluso si la entrada del usuario se usa como tamaño de clave parcial, podría debilitar enormemente la seguridad de la firma y, por lo tanto, la integridad de los datos cifrados.

Ejemplo 1: el siguiente código genera una clave de firma de DSA con un parámetro de tamaño de clave controlado por el usuario:


...
DSA dsa1 = new DSACryptoServiceProvider(Convert.ToInt32(TextBox1.Text));
...

Hay pocos casos de uso en los que los usuarios deben poder determinar key_len e incluso en esos casos debe existir una protección adecuada para comprobar que sea un valor numérico y que esté dentro de un rango de valores adecuado para un tamaño de clave. En la mayoría de los casos de uso, este debe ser un número con codificación rígida lo suficientemente alta.

References

[1] J. Cheng 307-digit key crack endangers 1024-bit RSA

[2] Elaine Barker and Allen Roginsky NIST Special Publication 800-131A: Transitions: Recommendation for Transitioning the Use of Cryptographic Algorithms and Key Lengths. NIST

[3] B. Chess and J. West, Secure Programming with Static Analysis. Boston, MA: Addison-Wesley, 2007.

[4] Standards Mapping - Common Weakness Enumeration CWE ID 326

[5] Standards Mapping - DISA Control Correlation Identifier Version 2 CCI-001188, CCI-002450

[6] Standards Mapping - FIPS200 MP

[7] Standards Mapping - General Data Protection Regulation (GDPR) Insufficient Data Protection

[8] Standards Mapping - NIST Special Publication 800-53 Revision 4 AU-10 Non-Repudiation (P2), SC-12 Cryptographic Key Establishment and Management (P1), SC-13 Cryptographic Protection (P1), SC-23 Session Authenticity (P1)

[9] Standards Mapping - NIST Special Publication 800-53 Revision 5 AU-10 Non-Repudiation, SC-12 Cryptographic Key Establishment and Management, SC-13 Cryptographic Protection, SC-23 Session Authenticity

[10] Standards Mapping - OWASP Application Security Verification Standard 4.0 2.6.3 Look-up Secret Verifier Requirements (L2 L3), 2.8.3 Single or Multi Factor One Time Verifier Requirements (L2 L3), 6.2.1 Algorithms (L1 L2 L3), 6.2.3 Algorithms (L2 L3), 6.2.4 Algorithms (L2 L3), 6.2.5 Algorithms (L2 L3), 6.2.6 Algorithms (L2 L3), 6.2.7 Algorithms (L3), 9.1.2 Communications Security Requirements (L1 L2 L3), 9.1.3 Communications Security Requirements (L1 L2 L3)

[11] Standards Mapping - OWASP Mobile 2014 M6 Broken Cryptography

[12] Standards Mapping - OWASP Mobile 2024 M10 Insufficient Cryptography

[13] Standards Mapping - OWASP Mobile Application Security Verification Standard 2.0 MASVS-CRYPTO-1

[14] Standards Mapping - OWASP Top 10 2004 A8 Insecure Storage

[15] Standards Mapping - OWASP Top 10 2007 A8 Insecure Cryptographic Storage

[16] Standards Mapping - OWASP Top 10 2010 A7 Insecure Cryptographic Storage

[17] Standards Mapping - OWASP Top 10 2013 A6 Sensitive Data Exposure

[18] Standards Mapping - OWASP Top 10 2017 A3 Sensitive Data Exposure

[19] Standards Mapping - OWASP Top 10 2021 A02 Cryptographic Failures

[20] Standards Mapping - Payment Card Industry Data Security Standard Version 1.1 Requirement 3.6.1, Requirement 6.5.8

[21] Standards Mapping - Payment Card Industry Data Security Standard Version 1.2 Requirement 3.6.1, Requirement 6.3.1.3, Requirement 6.5.8

[22] Standards Mapping - Payment Card Industry Data Security Standard Version 2.0 Requirement 3.6.1, Requirement 6.5.3

[23] Standards Mapping - Payment Card Industry Data Security Standard Version 3.0 Requirement 3.6.1, Requirement 6.5.3

[24] Standards Mapping - Payment Card Industry Data Security Standard Version 3.1 Requirement 3.6.1, Requirement 6.5.3

[25] Standards Mapping - Payment Card Industry Data Security Standard Version 3.2 Requirement 3.6.1, Requirement 6.5.3

[26] Standards Mapping - Payment Card Industry Data Security Standard Version 3.2.1 Requirement 3.6.1, Requirement 6.5.3

[27] Standards Mapping - Payment Card Industry Data Security Standard Version 4.0 Requirement 3.6.1, Requirement 6.2.4

[28] Standards Mapping - Payment Card Industry Software Security Framework 1.0 Control Objective 7.2 - Use of Cryptography

[29] Standards Mapping - Payment Card Industry Software Security Framework 1.1 Control Objective 7.2 - Use of Cryptography, Control Objective B.2.3 - Terminal Software Design

[30] Standards Mapping - Payment Card Industry Software Security Framework 1.2 Control Objective 7.2 - Use of Cryptography, Control Objective B.2.3 - Terminal Software Design

[31] Standards Mapping - Security Technical Implementation Guide Version 3.1 APP3150.1 CAT II

[32] Standards Mapping - Security Technical Implementation Guide Version 3.4 APP3150.1 CAT II

[33] Standards Mapping - Security Technical Implementation Guide Version 3.5 APP3150.1 CAT II

[34] Standards Mapping - Security Technical Implementation Guide Version 3.6 APP3150.1 CAT II

[35] Standards Mapping - Security Technical Implementation Guide Version 3.7 APP3150.1 CAT II

[36] Standards Mapping - Security Technical Implementation Guide Version 3.9 APP3150.1 CAT II

[37] Standards Mapping - Security Technical Implementation Guide Version 3.10 APP3150.1 CAT II

[38] Standards Mapping - Security Technical Implementation Guide Version 4.2 APSC-DV-002010 CAT II, APSC-DV-002020 CAT II

[39] Standards Mapping - Security Technical Implementation Guide Version 4.3 APSC-DV-002010 CAT II, APSC-DV-002020 CAT II

[40] Standards Mapping - Security Technical Implementation Guide Version 4.4 APSC-DV-002010 CAT II, APSC-DV-002020 CAT II

[41] Standards Mapping - Security Technical Implementation Guide Version 4.5 APSC-DV-002010 CAT II, APSC-DV-002020 CAT II

[42] Standards Mapping - Security Technical Implementation Guide Version 4.6 APSC-DV-002010 CAT II, APSC-DV-002020 CAT II

[43] Standards Mapping - Security Technical Implementation Guide Version 4.7 APSC-DV-002010 CAT II, APSC-DV-002020 CAT II

[44] Standards Mapping - Security Technical Implementation Guide Version 4.8 APSC-DV-002010 CAT II, APSC-DV-002020 CAT II

[45] Standards Mapping - Security Technical Implementation Guide Version 4.9 APSC-DV-002010 CAT II, APSC-DV-002020 CAT II

[46] Standards Mapping - Security Technical Implementation Guide Version 4.10 APSC-DV-002010 CAT II, APSC-DV-002020 CAT II

[47] Standards Mapping - Security Technical Implementation Guide Version 4.11 APSC-DV-002010 CAT II, APSC-DV-002020 CAT II

[48] Standards Mapping - Security Technical Implementation Guide Version 4.1 APSC-DV-002010 CAT II, APSC-DV-002020 CAT II

[49] Standards Mapping - Security Technical Implementation Guide Version 5.1 APSC-DV-002010 CAT II, APSC-DV-002020 CAT II

[50] Standards Mapping - Security Technical Implementation Guide Version 5.2 APSC-DV-002010 CAT II, APSC-DV-002020 CAT II

[51] Standards Mapping - Security Technical Implementation Guide Version 5.3 APSC-DV-000590 CAT II, APSC-DV-002010 CAT II, APSC-DV-002020 CAT II, APSC-DV-002290 CAT II

[52] Standards Mapping - Security Technical Implementation Guide Version 6.1 APSC-DV-000590 CAT II, APSC-DV-002010 CAT II, APSC-DV-002020 CAT II, APSC-DV-002290 CAT II

desc.dataflow.dotnet.weak_cryptographic_signature_user_controlled_key_size

Abstract

Las funciones de firma criptográfica que toman un tamaño de clave pueden recibir un valor de tamaño de clave contaminado.

Explanation

Al permitir que un valor controlado por el usuario determine el tamaño de clave, un atacante puede especificar una clave vacía, lo que habilita la modificación de una firma criptográfica que garantiza la integridad de los datos cifrados. Incluso si se requiere un valor distinto de cero, el atacante podría especificar igual el valor de tamaño de clave más bajo posible y así reducir la integridad de los datos cifrados.

Firma criptográfica débil: tamaño de clave controlado por el usuario se producen cuando ocurre lo siguiente:

1. Los datos entran en un programa a través de un origen que no es de confianza.

2. Dentro de una función de firma criptográfica, los datos controlados por el usuario se utilizan como todo el parámetro de tamaño de clave o como una parte de este.

Al igual que muchas vulnerabilidades de seguridad de software, Firma criptográfica débil: tamaño de clave controlado por el usuario es un medio para lograr un fin, no un fin en sí mismo. En su raíz, la vulnerabilidad es sencilla: un atacante pasa datos malintencionados a una aplicación y, a continuación, esos datos se utilizan como valor completo del tamaño de clave o como parte de este para realizar el cifrado.

Las instrucciones de criptografía actuales sugieren utilizar una longitud de clave de 2.048 bits como mínimo con los algoritmos RSA y DSA. Sin embargo, los avances en la capacidad de cálculo y en las técnicas de factorización [1] hacen inevitables los futuros aumentos en el tamaño de clave recomendado. Incluso si la entrada del usuario se utiliza como tamaño de clave parcial, puede debilitar la seguridad de la firma y, por lo tanto, la integridad de los datos cifrados.

Ejemplo 1: El código siguiente genera una clave de firma DSA con un parámetro de tamaño de clave controlado por el usuario:


...
dsa.GenerateParameters(params, rand.Reader, key_len)
privatekey := new(dsa.PrivateKey)
privatekey.PublicKey.Parameters = *params
dsa.GenerateKey(privatekey, rand.Reader)
...

No es habitual que los usuarios requieran la capacidad de especificar key_len. En estos casos, debe verificar tanto que sea un valor numérico como que se encuentre en un intervalo de valores adecuado para el tamaño de clave. Para la mayoría de los casos de uso, seleccione un tamaño de clave codificada de forma rígida lo suficientemente grande.