İlk olarak üç hafta önce açıklanan kriptografik bir kusurun ilk düşünceden çok daha kötü olduğu ortaya çıktı. Kusur, bilgisayar korsanlarının milyonlarca (hatta yüz milyonlarca) güvenli hizmetin şifreleme anahtarlarını kırmasına izin verir. En son araştırmayı yapan kriptograflara göre, istismar, daha önce güvenli olduğu düşünülen birçok yüksek güvenlikli güvenlik hizmetinin artık risk altında olduğu biliniyor.


Duyuru, Estonya hükümetinin ulusal kimlik kartının kullanımını askıya alma kararı ile hızla takip edildi. Bu kart, yaklaşık 760.000 vatandaş tarafından hassas belgelerin şifrelenmesi, oylama ve vergi beyanı gibi faaliyetler için kullanılmaktadır. Kimlik kartı, ilk iddiaların - kusurun büyük çapta sömürülmek için çok maliyetli olduğu - yanlış olduğunu fark edildikten sonra askıya alındı.

Devasa Güvenlik Açığı

Güvenlik açığı, Çek Cumhuriyeti'ndeki Masaryk Üniversitesi, İngiltere'deki Enigma Köprüsü ve İtalya'daki Ca 'Foscari Üniversitesi'nden araştırmacılar tarafından keşfedildi. Bu, birçok önemli güvenlik ayarında kullanılan popüler bir kod kitaplığındaki bir kusurdan kaynaklanır. Bunlar yalnızca ulusal kimlik kartlarını değil, aynı zamanda hayati hükümet ve kurumsal sistemlerde (Microsoft dahil) Güvenilir Platform Modüllerinde güvenlik ve yazılım ve uygulama imzalamayı içerir..

Kusur, bilgisayar korsanlarının yalnızca anahtarın ilgili kamusal bölümünü analiz ederek özel anahtarları tespit etmesini sağlar. Orijinal araştırmayı yapan araştırmacılara göre, bilgisayar korsanları yaklaşık 25 dakikada 1024 bitlik bir anahtara 38 $ 'a girebilir (ortalama bir ticari bulut tabanlı sunucu kullanarak). Bu masraf, 2048 bitlik bir anahtarın şifresini çözmek için önemli ölçüde arttı - 20.000 ve dokuz güne kadar.

Yanlış İlk Rapor

Bu ilk rapor, güvenlik açığının sektör genelinde önemsiz gösterilmesine neden oldu. Estonya hükümeti, kusurun gerçek bir endişeye neden olmayacak kadar pahalı olduğunu açıkladı:

Büyük ölçekli oy sahtekarlığı, özel bir anahtar oluşturmak için gereken önemli maliyet ve hesaplama gücü nedeniyle düşünülemez..

Bu iddia, sistemlerini güvence altına almak için bu tür anahtarları kullanan diğer ticari ve özel kuruluşlar tarafından tekrarlanmıştır. Örneğin, Hollanda merkezli akıllı kart üreticisi Gemalto, “etkilenebileceğini” kabul eden ancak endişe nedeni olduğuna dair herhangi bir başlangıç ​​belirtisi göstermeyen firmalar arasındaydı..

Ancak, hafta sonu yayınlanan ikincil araştırmalar, bu ilk istatistiklerin yanlış olduğunu ortaya koydu. Araştırmacılar Daniel J Bernstein ve Tanja Lange'e göre, saldırının verimliliğini yaklaşık% 25 oranında artırmayı başardılar. Bu, saldırının verimliliğini daha da arttırmanın mümkün olabileceği paniğine neden oldu.

Bu büyük bir endişe çünkü kusur beş yıldır var (kod kütüphanesi Alman chipmaker Infineon tarafından geliştirildi ve en geç 2012'de yayınlandı). Ayrıca, söz konusu şifreleme anahtarları şu anda uluslararası kabul görmüş iki güvenlik sertifikası standardı tarafından kullanılmaktadır..

Anında Endişe

Yeni vahiyler Estonya'yı sadece veritabanına (genel anahtarlar içeren) yakın erişimi değil, aynı zamanda 2014'ten beri piyasaya sürülen kimlik kartlarının kullanımını askıya almaya zorladı. Buna ek olarak, Gemalto'nun IDPrime.NET gibi akıllı kartlarının Microsoft çalışanlarına ve diğer pek çok firmaya iki faktörlü kimlik doğrulama sağlamak için kullanılan - başlangıçta düşünülenden daha savunmasız olabilir.

Kriptografi ve Güvenlik Araştırma Merkezi'nin aktif bir üyesi olan Petr Svenda da dahil olmak üzere araştırmacılar tarafından yayınlanan orijinal rapor, çarpanlara ayırma saldırısının özelliklerini atlamıştır. Bunun, vahşi doğada bilgisayar korsanlarının kırılganlığı kırması için gereken süreyi artıracağı umuluyordu..

Bununla birlikte, Bernstein ve Lange tarafından yayınlanan yeni araştırma, araştırmacıların ilk saldırıyı iyileştirmeyi zaten başardığını gösteriyor. Bu büyük bir belirsizlik yaratır ve bilgisayar korsanlarının ve siber suçluların da şifrelemeyi hackleyebileceği endişesini artırır.

Bernstein ve Lange, 2048 bitlik anahtarı sadece 2.000 dolara düşürmenin maliyetlerini düşürmek için hızlı grafik kartları kullanmanın mümkün olabileceğine inanıyorlar. Bu, başlangıçta bildirilen 20.000 $ 'dan çok daha küçük bir tutar. Enigma Köprüsü'nün (orijinal araştırmanın yapılmasına yardımcı olan firmalardan biri) CEO'su Dan Cvrcek de endişelerini dile getirdi. İlk yayınlananlardan çok daha hızlı ve daha ucuz saldırıların gerçekten mümkün olduğuna inanıyor:

Benim izlenimim, orijinal araştırmada belirtilen zaman ve maliyet tahminlerinin oldukça muhafazakar olduğudur. Birinin bugün itibariyle bir anahtarın maliyetini 1000 doların altına düşürüp düşüremeyeceğinden emin değilim, ama kesinlikle bir olasılık olarak görüyorum.

Bernstein ve Lange, araştırmalarında, diğer özel teknolojilerin (bir çarpanlara ayırma saldırısının matematiksel görevini idare etmek için iyi donanımlı), saldırganlar tarafından bir saldırının maliyetini ve süresini azaltmak için de kullanılabileceğinden bahsetmektedir. Bunlar arasında araştırmacılar “muhtemelen GPU, alana programlanabilir kapı dizisi ve uygulamaya özel entegre devre yongaları ile donatılmış özel bilgisayar donanımı” önermişlerdir.

Kim etkilendi?

Her ne kadar sadece Estonya kimlik kartlarını kullanmayı askıya almış olsa da, Slovakya da dahil olmak üzere diğer bazı ülkelerin de etkileneceğine inanılmaktadır. Aslında, Ars Technica bir Avrupa ulusunun kimlik kartının da etkilenebileceğine dair raporlar aldı. Ancak şimdilik Ars hangi ülkeyi.

Özel kuruluşlar açısından, milyonlarca çalışanın (yüz milyonlarca olmasa da) kimlik kartlarının bu kusurdan etkilenebileceğine inanılmaktadır. Buna, en iyi bankalarda ve beş ila on yıl arasında herhangi bir şeye karşı savunmasız olabilecek diğer büyük uluslararası şirketlerde güvenlik dahildir.

Bu kusurun bir seçimin sonucunu önemli ölçüde değiştirmek için kullanılabileceği ihtimaline gelince, bu kesin olarak kanıtlanmıştır. Ancak gerçek şu ki, yakın seçimlerde bir seçimi başka bir yoldan sallamak için çok az sayıda seçmen (belki sadece% 5) kesmek gerekiyor olabilir. ROCA saldırısını daha hızlı ve ucuza monte etmek mümkün olursa, bu gerçek bir endişe haline gelebilir.

Görüşler yazarın kendi.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me