3 주 전에 처음 공개 된 암호화 결함은 처음 생각한 것보다 훨씬 나쁜 것으로 밝혀졌습니다. 이 결함으로 인해 해커는 수백만 건, 심지어는 수억 건의 보안 서비스의 암호화 키를 깰 수 있습니다. 최신 연구를 수행 한 암호 전문가에 따르면,이 악용은 이전에 안전하다고 여겨 졌던 많은 스테이크 보안 서비스가 이제 위험에 처해 있음을 의미합니다.


이 발표는 에스토니아 정부가 국가 ID 카드 사용을 중단하기로 한 결정에 따라 신속하게 진행되었습니다. 이 카드는 약 760,000 명의 시민이 민감한 문서 암호화, 투표 및 세금 신고와 같은 활동에 사용됩니다. 결함이 대규모로 악용하기에는 너무 비싸다는 최초의 주장이 잘못되었다는 사실을 알게 된 후 ID 카드가 정지되었습니다.

대규모 취약점

이 비참한 보안 취약점은 체코의 Masaryk University, 영국의 Enigma Bridge 및 이탈리아의 Ca 'Foscari University의 연구원들에 의해 발견되었습니다. 많은 중요한 보안 설정에 사용되는 널리 사용되는 코드 라이브러리의 결함으로 인해 발생합니다. 여기에는 국가 신분증뿐만 아니라 소프트웨어 및 응용 프로그램 서명, 중요한 정부 및 기업 시스템 (Microsoft 포함)의 신뢰할 수있는 플랫폼 모듈에 대한 보안이 포함됩니다..

이 결함으로 인해 해커는 해당 키의 공개 부분을 분석하여 개인 키를 확인할 수 있습니다. 최초의 연구를 수행 한 연구자들에 따르면, 해커들은 약 25 분 안에 1024 비트 키를 38 분 동안 뚫을 수 있습니다 (평균 상용 클라우드 기반 서버 사용). 이 비용은 2048 비트 키를 해독하는 데 크게 20,000 달러에서 9 일로 증가했습니다..

잘못된 초기 보고서

이 초기 보고서는 업계 전반에 걸쳐 취약점에 대한 다운 플레이를 야기했습니다. 에스토니아 정부는이 결함이 너무 비싸서 실제적인 우려를 야기 할 수 없다고 선언했습니다.

개인 키를 생성하는 데 필요한 상당한 비용과 컴퓨팅 능력으로 인해 대규모 투표 사기를 생각할 수 없습니다.

이 주장은 시스템을 보호하기 위해 이러한 유형의 키를 사용하는 다른 상업 및 민간 조직에 의해 제기되었습니다. 예를 들어 네덜란드에 기반을 둔 스마트 카드 제조업체 인 Gemalto는“영향을받을 수있다”고 인정했지만 우려 할만한 원인이 있다는 초기 징후는 보이지 않았다.

그러나 주말에 발표 된 이차 연구에 따르면 초기 통계가 잘못되었다고 밝혀졌습니다. 연구원 다니엘 J 번스타인 (Daniel J Bernstein)과 탄자 랑게 (Tanja Lange)에 따르면 공격 효율을 약 25 % 향상 시켰습니다. 이로 인해 공황이 발생하여 공격 효율을 더욱 높일 수있었습니다..

결함이 5 년 동안 존재했기 때문에 큰 우려가됩니다 (코드 라이브러리는 독일 칩 제조업체 인피니언 (Infineon)이 개발하여 2012 년에 최신 버전으로 출시했습니다). 또한, 해당 암호화 키는 현재 국제적으로 인정 된 두 가지 보안 인증 표준에 의해 사용됩니다.

즉각적인 우려

새로운 계시를 통해 에스토니아는 데이터베이스 (공개 키 포함)에 대한 접근을 강요 할뿐만 아니라 2014 년 이후에 출시 된 신분증의 사용을 중단해야했습니다. 또한 이는 Gemalto의 IDPrime.NET- Microsoft 직원 및 기타 여러 회사에 이중 인증을 제공하는 데 사용됩니다. 처음에 생각한 것보다 더 취약 할 수 있습니다..

Cryptography and Security에 대한 연구 센터의 활발한 회원 인 Petr Svenda를 포함한 연구원들이 발표 한 최초의 보고서는 의도적으로 인수 분해 공격의 세부 사항을 생략했습니다. 이것이 야생의 해커가 취약점을 크래킹하는 데 필요한 시간을 늘릴 것으로 기대되었습니다.

그러나 Bernstein과 Lange이 발표 한 새로운 연구는 연구원들이 이미 초기 공격을 개선하기 위해 관리하고 있음을 보여줍니다. 이로 인해 엄청난 불확실성이 발생하고 해커와 사이버 범죄자가 암호화를 해킹 할 수 있다는 우려가 제기됩니다..

Bernstein과 Lange은 빠른 그래픽 카드를 사용하여 2048 비트 키 크래킹 비용을 2,000 달러로 줄일 수 있다고 생각합니다. 이것은 처음보고 된 $ 20,000보다 훨씬 적은 금액입니다. Enigma Bridge의 CEO 인 Dan Cvrcek (원래 연구 수행에 도움을 준 회사 중 하나)도 그의 우려를 표명했습니다. 그는 처음 발표 된 것보다 훨씬 빠르고 저렴한 공격이 실제로 가능하다고 생각합니다.

제 연구에 인용 된 시간과 비용은 상당히 보수적이었습니다. 오늘날 누군가가 한 키의 비용을 $ 1,000 미만으로 줄일 수 있는지 확실하지 않지만 확실하게 가능성으로 간주합니다..

그들의 연구에서 Bernstein과 Lange은 다른 전용 기술 (인수 분해 공격의 수학적 작업을 처리 할 수있는 잘 갖추어 진 기술)을 사용하여 공격과 관련된 비용과 시간을 줄일 수도 있다고 언급했습니다. 이 중 연구원들은 "GPU, 필드 프로그래밍 가능 게이트 어레이 및 애플리케이션 별 집적 회로 칩이 장착 된 전용 컴퓨터 장비"를 사용할 것을 제안했습니다.

영향을받는 사람?

에스토니아 만이 지금까지 신분증 사용을 중단했지만 슬로바키아를 포함한 많은 다른 국가들이 영향을받을 것으로 생각됩니다. 실제로 Ars Technica는 유럽 국가의 신분증에도 영향을 줄 수 있다는보고를 받았습니다. 그러나 현재 Ars는 어느 국가인지 공개하지 않았습니다..

민간 조직의 관점에서 볼 때 수백만 명 (수억 명은 아님)의 신분증이이 결함의 영향을받는 것으로 여겨집니다. 여기에는 5 ~ 10 년 사이에 취약했을 수있는 상위 은행 및 기타 대규모 국제 기업의 보안이 포함됩니다..

이 결점이 선거 결과를 크게 바꾸는 데 사용될 수 있다는 가능성에 대해서는 결정적인 증거로 남아 있습니다. 그러나 실제로는 가까운 선거에서는 다른 방식으로 선거를 진행하기 위해 적은 비율의 유권자 (해당 5 %) 만 해킹해야 할 수도 있습니다. 보다 빠르고 저렴하게 ROCA 공격을 수행 할 수있게되면 이것이 실제 문제가 될 수 있습니다..

의견은 작가 자신의 의견입니다.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me