Криптографски пропуст који је први пут откривен пре три недеље откривено је да је много горе него што се прво мислило. Пропуст омогућава хакерима да разбију шифриране кључеве милиона - можда чак и стотине милиона - сигурних сервиса. Према криптографима који су спровели најновије истраживање, експлоатација значи да је за многе сигурносне службе високог удела за које се раније мислило да су безбедне, угрожене..


Најава је брзо уследила након одлуке естонске владе да суспендује употребу своје националне личне карте. Ту карту користи око 760.000 грађана за активности као што су шифрирање осетљивих докумената, гласање и подношење пореза. Лична карта је суспендована након што је установљено да су почетне тврдње - да је мана превише скупа за експлоатацију у великом обиму - биле нетачне..

Масивна рањивост

Катастрофалну сигурносну рањивост открили су истраживачи са Масарик универзитета у Чешкој, Енигма Бридге у ​​Великој Британији и Универзитета Ца 'Фосцари у Италији. То је узроковано недостатком популарне библиотеке кодова који се користи у многим важним безбедносним подешавањима. Они укључују не само националне личне карте, већ и потписивање софтвера и апликација и сигурност на модулима поуздане платформе за виталне државне и корпоративне системе (укључујући Мицрософт).

Пропуст омогућава хакерима да утврде приватне кључеве једноставно анализом одговарајућег јавног дела кључа. Према истраживачима који су обавили оригинално истраживање, хакери су могли да продру до 1024-битног кључа за 38 долара за око 25 минута (користећи просечни комерцијални сервер базиран на облаку). Тај трошак је знатно порастао - на 20 000 долара и девет дана - за дешифровање 2048-битног кључа.

Нетачан почетни извештај

Овај почетни извештај резултирао је умањивањем рањивости у целој индустрији. Естонска влада прогласила је да је грешка прескупа да би изазвала било какву стварну забринутост:

Широка превара у гласању није могућа због значајних трошкова и рачунарске снаге потребне за генерисање приватног кључа.

Ова тврдња је поновила и друге комерцијалне и приватне организације које користе ове врсте кључева како би осигурале своје системе. На пример, холандски произвођач паметних картица Гемалто био је међу фирмама које су признале да би „могло бити погођено“, али нису показале почетне знакове да постоји разлог за забринутост..

Међутим, секундарно истраживање објављено током викенда открило је да су те почетне статистике биле погрешне. Према истраживачима Даниела Ј Бернстеина и Тање Ланге, успели су да побољшају ефикасност напада за око 25%. То је изазвало панику да би могло бити могуће повећати ефикасност напада.

Ово је велика брига, јер је недостатак већ пет година (библиотеку кодова развио је немачки произвођач чипова Инфинеон и издао најкасније 2012.). Поред тога, дотични криптографски кључеви тренутно се користе два међународно призната стандарда сертификата о безбедности.

Непосредна забринутост

Нова открића су приморала Естонију да не само затвори приступ својој бази података (која садржи јавне кључеве), већ и да суспендује употребу било каквих личних карата објављених од 2014. Поред тога, то значи да ће паметне картице попут Гемалтове ИДПриме.НЕТ - који се користи за пружање двофакторске аутентификације запосленима Мицрософта и многим другим фирмама - можда је рањивији него што се у почетку мислило.

Оригинални извештај, који су објавили истраживачи укључујући Петра Свенда, активног члана Центра за истраживање криптографије и безбедности, намерно је изоставио специфичности напада факторизације. Надала се да ће то повећати време потребно хакерима у дивљини да разбију рањивост.

Ново истраживање које су објавили Бернстеин и Ланге, међутим, показује да истраживачи већ успевају да се побољшају у почетном нападу. То ствара огромну несигурност и изазива забринутост да би хакери и сајбер криминалци такође могли да хакују шифровање.

Бернстеин и Ланге верују да би било могуће користити брзе графичке картице како би се трошкови пробијања 2048-битног кључа смањили на само 2000 долара. То је много мања сума од првобитно пријављених 20 000 долара. Дан Цврчек, извршни директор компаније Енигма Бридге (једне од фирми која је помогла у спровођењу оригиналног истраживања) такође је изразио забринутост. Верује да су напади много бржи и јефтинији од оних који су први пут објављени:

Мој утисак је да су процене времена и трошкова које су наведене у оригиналном истраживању биле прилично конзервативне. Нисам сигуран да ли неко може смањити трошкове једног кључа испод 1.000 долара од данас, али свакако то видим као могућност.

Бернстеин и Ланге у својим истраживањима такође помињу могућност да нападачи могу користити и другу наменску технологију (која је добро опремљена за математички задатак напада факторизације) како би умањили трошкове и време у нападу. Међу њима, истраживачи су предложили употребу „наменске рачунарске опреме, евентуално опремљене ГПУ-ом, пољем програмирајућих поља и апликационим чиповима интегрисаних кругова“.

Ко је погођен?

Иако је само Естонија до сада суспендовала употребу својих личних карата, верује се да ће вероватно бити погођен и велики број других нација, укључујући Словачку. У ствари, Арс Тецхница је добила извештаје да лична карта европске нације такође може бити угрожена. За сада, међутим, Арс није обелоданио која је то земља.

У погледу приватних организација, верује се да на ове пропусте може утицати лична карта милиона (ако не и стотина милиона) запослених. То укључује сигурност у врхунским банкама и другим огромним међународним корпорацијама, које би могле бити рањиве за било шта између пет и десет година.

Што се тиче могућности да се овај промашај искористи за значајну промену резултата избора, то остаје да се непобитно докаже. Реалност је, међутим, да ће на блиским изборима бити потребно само хаковање малог дела гласача (можда само 5%) да би се избори преокренули на други начин. Ако постане могуће брже и јефтиније извршити напад РОЦА, то би могло постати велика брига.

Мишљења су писца сопствена.

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me