Kelemahan kriptografi yang pertama kali diungkapkan tiga minggu lalu telah terungkap jauh lebih buruk daripada yang dipikirkan sebelumnya. Kelemahan ini memungkinkan peretas untuk memecahkan kunci enkripsi jutaan - bahkan mungkin ratusan juta - layanan yang aman. Menurut cryptographers yang melakukan penelitian terbaru, eksploitasi itu berarti bahwa banyak layanan keamanan tingkat tinggi yang sebelumnya dianggap aman kini diketahui berisiko..


Pengumuman ini dengan cepat ditindaklanjuti dengan keputusan pemerintah Estonia untuk menangguhkan penggunaan kartu ID nasionalnya. Kartu itu digunakan oleh sekitar 760.000 warga untuk kegiatan seperti mengenkripsi dokumen sensitif, memberikan suara, dan mengajukan pajak. Kartu ID telah ditangguhkan setelah disadari bahwa klaim awal - bahwa cacatnya terlalu mahal untuk dieksploitasi dalam skala besar - tidak benar.

Kerentanan Masif

Kerentanan keamanan bencana ditemukan oleh para peneliti dari Universitas Masaryk di Republik Ceko, Jembatan Enigma di Inggris, dan Universitas Ca 'Foscari di Italia. Hal ini disebabkan oleh kelemahan dalam pustaka kode populer yang digunakan dalam banyak pengaturan keamanan penting. Ini termasuk tidak hanya kartu identitas nasional tetapi juga perangkat lunak dan penandatanganan aplikasi, dan keamanan Modul Platform Tepercaya pada sistem vital pemerintah dan perusahaan (termasuk Microsoft).

Cacat ini memungkinkan peretas untuk memastikan kunci privat hanya dengan menganalisis bagian publik terkait dari kunci tersebut. Menurut para peneliti yang melakukan penelitian asli, peretas dapat menembus kunci 1024-bit untuk $ 38 dalam waktu sekitar 25 menit (menggunakan server berbasis cloud komersial rata-rata). Biaya itu naik jauh - menjadi $ 20.000 dan sembilan hari - untuk mendekripsi kunci 2048-bit.

Laporan Awal Tidak Benar

Laporan awal ini menghasilkan kelemahan industri yang luas. Pemerintah Estonia menyatakan bahwa cacat itu terlalu mahal untuk menimbulkan kekhawatiran nyata:

Penipuan suara berskala besar tidak dapat dibayangkan karena biaya yang besar dan daya komputasi yang diperlukan untuk menghasilkan kunci pribadi.

Klaim ini digaungkan oleh organisasi komersial dan swasta lainnya yang menggunakan jenis kunci ini untuk mengamankan sistem mereka. Pembuat kartu pintar yang berbasis di Belanda, Gemalto, misalnya, termasuk di antara perusahaan-perusahaan yang mengakui bahwa itu "mungkin terpengaruh," tetapi tidak menunjukkan tanda-tanda awal bahwa ada alasan untuk khawatir.

Sekarang, bagaimanapun, penelitian sekunder yang diterbitkan pada akhir pekan telah mengungkapkan bahwa statistik awal itu salah. Menurut peneliti Daniel J Bernstein dan Tanja Lange, mereka telah berhasil meningkatkan efisiensi serangan sekitar 25%. Ini telah menyebabkan kepanikan bahwa itu mungkin untuk lebih meningkatkan efisiensi serangan.

Ini adalah masalah besar karena cacat telah ada selama lima tahun (perpustakaan kode dikembangkan oleh pembuat chip Jerman Infineon dan dirilis paling lambat pada tahun 2012). Selain itu, kunci kriptografi yang dimaksud saat ini digunakan oleh dua standar sertifikasi keamanan yang diakui secara internasional.

Kekhawatiran Segera

Pengungkapan baru telah memaksa Estonia untuk tidak hanya menutup akses ke databasenya (yang berisi kunci publik) tetapi juga untuk menangguhkan penggunaan kartu identitas yang dirilis sejak 2014. Selain itu, itu berarti bahwa kartu pintar seperti IDPrime.NET dari Gemalto - yang digunakan untuk menyediakan otentikasi dua faktor kepada karyawan Microsoft dan banyak perusahaan lain - mungkin lebih rentan daripada yang diperkirakan sebelumnya.

Laporan asli, yang diterbitkan oleh para peneliti termasuk Petr Svenda, anggota aktif Pusat Penelitian tentang Kriptografi dan Keamanan, sengaja menghilangkan spesifik dari serangan faktorisasi. Diharapkan bahwa ini akan meningkatkan waktu yang diperlukan bagi peretas di alam liar untuk memecahkan kerentanan.

Namun, penelitian baru yang diterbitkan oleh Bernstein dan Lange menunjukkan bahwa para peneliti sudah berhasil meningkatkan serangan awal. Ini menciptakan ketidakpastian besar dan menimbulkan kekhawatiran bahwa peretas dan penjahat cyber mungkin juga dapat meretas enkripsi.

Bernstein dan Lange percaya bahwa mungkin saja menggunakan kartu grafis cepat untuk menurunkan biaya pemecahan kunci 2048-bit menjadi hanya $ 2.000. Ini adalah jumlah yang jauh lebih kecil daripada yang dilaporkan awal $ 20.000. Dan Cvrcek, CEO Enigma Bridge (salah satu perusahaan yang membantu melakukan penelitian asli), juga telah maju untuk mengungkapkan keprihatinannya. Dia percaya bahwa serangan yang jauh lebih cepat dan lebih murah daripada yang pertama kali diterbitkan memang mungkin:

Kesan saya adalah bahwa perkiraan waktu dan biaya yang dikutip dalam penelitian asli cukup konservatif. Saya tidak yakin apakah seseorang dapat memangkas biaya satu kunci di bawah $ 1.000 pada hari ini, tapi saya tentu melihatnya sebagai suatu kemungkinan.

Dalam penelitian mereka, Bernstein dan Lange juga menyebutkan kemungkinan bahwa teknologi khusus lainnya (yang dilengkapi dengan baik untuk menangani tugas matematika dari serangan faktorisasi) juga dapat digunakan oleh penyerang untuk menurunkan biaya dan waktu yang diperlukan dalam serangan. Di antara ini, para peneliti menyarankan menggunakan "peralatan komputer khusus, mungkin dilengkapi dengan GPU, array gerbang yang dapat diprogram di lapangan, dan chip sirkuit terpadu khusus aplikasi."

Siapa yang Terkena Dampak?

Meskipun hanya Estonia yang sejauh ini menangguhkan penggunaan kartu identitasnya, diyakini bahwa sejumlah negara lain, termasuk Slovakia, kemungkinan akan terpengaruh. Bahkan, Ars Technica telah menerima laporan bahwa kartu identitas negara Eropa juga dapat terpengaruh. Untuk saat ini, bagaimanapun, Ars belum mengungkapkan negara mana.

Dalam hal organisasi swasta, diyakini bahwa kartu identitas jutaan (jika bukan ratusan juta) karyawan dapat dipengaruhi oleh kelemahan ini. Ini termasuk keamanan di bank-bank top dan perusahaan-perusahaan internasional besar lainnya, yang bisa saja rentan untuk apa pun antara lima dan sepuluh tahun.

Adapun kemungkinan bahwa cacat ini dapat digunakan untuk mengubah hasil pemilu secara signifikan, ini masih harus dibuktikan secara meyakinkan. Kenyataannya, bagaimanapun, adalah bahwa dalam pemilihan umum yang dekat, mungkin hanya perlu untuk meretas sebagian kecil pemilih (mungkin hanya 5%) untuk menggoyang pemilu dengan cara lain. Jika menjadi mungkin untuk memasang serangan ROCA lebih cepat dan murah, maka ini dapat menjadi perhatian nyata.

Pendapat adalah milik penulis sendiri.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me