Fallo criptográfico en la implementación de ECDSA en Java
Fecha de publicación 05/05/2022
El algoritmo ECDSA (Elliptic Curve Digital Signature Algorithm), utilizado en Java y Oracle para para firmar digitalmente mensajes y datos, con el fin de verificar la autenticidad y la integridad de los contenidos, es vulnerable debido a un fallo en la verificación de la firma, que podría permitir que las descargas maliciosas pasaran por contenido benigno.
Este error criptográfico, denominado Psychic Signatures, se origina por la falta de validación de los valores (R,S) utilizados por ECDSA, ya que si ambos valores son (0,0), la verificación siempre sería válida independientemente del resto de valores.
Referencias
-
21/04/2022jfrog.com
-
20/04/2022nakedsecurity.sophos.com
Etiquetas