Microsoft ha anunciado que las claves RSA inferiores a 2048 bits se eliminarán en breve del sistema de seguridad de la capa de transporte (TLS) de Windows con el fin de reforzar la seguridad.
Rivest-Shamir-Adleman (RSA) es un sistema de criptografía asimétrica que utiliza pares de claves pública y privada para cifrar datos, cuya fuerza está directamente relacionada con la longitud de la clave. Cuanto más largas sean las claves, más difícil será descifrarlas.
Las claves RSA de 1024 bits tienen una fuerza de unos 80 bits, mientras que la clave de 2048 bits tiene una fuerza de unos 112 bits, lo que hace que la clave de 2048 bits sea cuatro mil millones de veces más larga de descifrar. Los expertos en la materia consideran que las claves de 2048 bits son seguras al menos hasta 2030.
Las claves RSA se utilizan en Windows para diversos fines, como autenticar servidores, cifrar datos y garantizar la integridad de las comunicaciones.
La decisión de Microsoft de aumentar el requisito mínimo de las claves RSA a 2048 bits o más para los certificados utilizados en la autenticación de servidores TLS es importante para proteger a las organizaciones de un cifrado débil.
«La compatibilidad con certificados que utilicen claves RSA inferiores a 2048 bits quedará obsoleta», reza la nueva entrada de la lista de obsoletos de Microsoft.
«Los estándares de Internet y los organismos reguladores prohibieron el uso de claves de 1024 bits en 2013, recomendando específicamente que las claves RSA tengan una longitud de clave de 2048 bits o superior.»
«Esta depreciación tiene como objetivo garantizar que todos los certificados RSA utilizados para la autenticación del servidor TLS deben tener una longitud de clave mayor o igual a 2048 bits para ser considerados válidos por Windows.»
Lamentablemente, es probable que esto afecte a las organizaciones que utilizan software antiguo y dispositivos conectados a la red, como impresoras, que utilizan claves RSA de 1024 bits, impidiéndoles autenticarse en servidores Windows.
Aunque Microsoft no ha especificado exactamente cuándo comenzará la depreciación, es probable que implique un anuncio oficial seguido de un período de gracia, como vimos con la depreciación de las claves de menos de 1024 bits en 2012.
Durante este periodo de gracia, los administradores de Windows pueden configurar el registro para determinar qué dispositivos intentan conectarse utilizando claves antiguas y se verán afectados por este cambio.
Para minimizar los problemas, Microsoft ha decidido limitar el alcance del impacto para no afectar a los certificados TLS emitidos por empresas o autoridades de certificación de prueba.
Sin embargo, el gigante tecnológico insta a las organizaciones a cambiar a claves RSA de 2048 bits o superiores lo antes posible, como parte de las mejores prácticas de seguridad.