Dos populares bibliotecas de cifrado AES, aes-js y pyaes, han sido criticadas por Trail of Bits por incluir un Vector de Inicialización (IV) predeterminado en su API AES-CTR, lo que facilita la reutilización de claves/IV y crea vulnerabilidades de seguridad en miles de proyectos. Esta práctica, junto con la falta de soporte para modos de cifrado modernos como AES-GCM y problemas de rendimiento y seguridad (como ataques de canal lateral), ha sido calificada como una falta de “artesanía” en el desarrollo de software. Mientras que un proveedor afectado, StrongSwan, respondió de manera constructiva a la identificación de un error, el mantenedor de aes-js/pyaes minimizó el problema. Trail of Bits señala que la reutilización de claves/IV es un error grave que puede comprometer la seguridad de los datos, incluso permitiendo la recuperación de información sensible. La falta de actualizaciones en estas bibliotecas desde 2017 y 2018, respectivamente, agrava la situación, dejando a los usuarios expuestos a riesgos significativos. El incidente subraya la importancia de la responsabilidad de los desarrolladores al crear herramientas criptográficas y la necesidad de abordar los errores de diseño de manera proactiva.
Noticias agregadas con IA