یک نقص رمزنگاری که برای اولین بار از سه هفته قبل فاش شد ، نشان داد که بسیار بدتر از آن است که ابتدا تصور شود. این نقص به هکرها امکان می دهد کلیدهای رمزنگاری میلیون ها - احتمالاً حتی صدها میلیون نفر - خدمات ایمن را بشکنند. طبق گفته رمزنگاری هایی که آخرین تحقیقات را انجام داده اند ، این سوءاستفاده به این معنی است که بسیاری از سرویس های امنیتی پرمخاطره که قبلاً به نظر امن بوده اند ، اکنون در معرض خطر هستند..


این اعلامیه به سرعت با تصمیم دولت استونی مبنی بر تعلیق استفاده از کارت شناسایی ملی آن دنبال شد. این کارت توسط حدود 760،000 شهروند برای فعالیتهایی مانند رمزگذاری اسناد حساس ، رای گیری و تشکیل پرونده مالیاتی استفاده می شود. شناسه شناسه پس از فهمیدن ادعاهای اولیه - مبنی بر اینکه نقص برای بهره برداری در مقیاس بزرگ بسیار گران است - به حالت تعلیق در آمده است. نادرست بود.

آسیب پذیری گسترده

این آسیب پذیری امنیتی فاجعه بار توسط محققان دانشگاه ماساریک در جمهوری چک ، پل انیگما در انگلستان و دانشگاه Ca 'Foscari در ایتالیا کشف شد. این یک نقص در یک کتابخانه کد محبوب است که در بسیاری از تنظیمات امنیتی مهم مورد استفاده قرار می گیرد. اینها شامل نه تنها شناسنامه های ملی بلکه همچنین امضای نرم افزار و برنامه ها ، و امنیت در ماژول های بستر های نرم افزاری قابل اعتماد در سیستم های حیاتی دولت و شرکت ها (از جمله مایکروسافت) است..

این نقص به هکرها اجازه می دهد که با تجزیه و تحلیل قسمت عمومی مربوط به کلید ، کلیدهای خصوصی را مشخص کنند. طبق گفته محققانی که تحقیق اصلی را انجام داده اند ، هکرها می توانند در حدود 25 دقیقه (با استفاده از یک سرور تجاری مبتنی بر ابر تجاری) به یک کلید 1024 بیتی با 38 دلار نفوذ کنند. این هزینه به میزان قابل توجهی - به 20،000 دلار و نه روز - برای رمزگشایی یک کلید 2048 بیتی افزایش یافت.

گزارش اولیه نادرست

این گزارش اولیه منجر به پایین آمدن سطح آسیب پذیری در صنعت شد. دولت استونی اعلام كرد كه این نقص برای ایجاد نگرانی واقعی بسیار گران است:

تقلب در مقیاس بزرگ به دلیل هزینه قابل توجه و قدرت محاسباتی لازم برای تولید یک کلید خصوصی قابل تصور نیست.

این ادعا توسط سایر سازمانهای تجاری و خصوصی که از این نوع کلیدها برای تأمین امنیت سیستمهای خود استفاده می کنند ، تکرار شد. به عنوان مثال ، تولیدکننده کارت هوشمند هوشمند مستقر در هلند ، Gemalto ، از جمله شرکت هایی بود که اعتراف کرد که "ممکن است تحت تأثیر قرار گیرد" ، اما هیچ نشانه اولیه ای نشان نداد که دلیل نگرانی وجود دارد.

با این حال ، اکنون ، تحقیقات ثانویه منتشر شده در آخر هفته نشان داد که این آمار اولیه اشتباه بوده است. به گفته محققان دانیل ج برنشتاین و تانجا لانژ ، آنها موفق شده اند تا حدود 25٪ کارایی این حمله را بهبود بخشند. این امر باعث وحشت شده است که می توان بیشتر کارایی حمله را افزایش داد.

این نگرانی گسترده ای است زیرا این نقص به مدت پنج سال است که وجود دارد (کتابخانه کد توسط Chipmaker آلمانی Infineon ساخته شده و حداکثر در سال 2012 منتشر شده است). علاوه بر این ، کلیدهای رمزنگاری موردنظر در حال حاضر توسط دو استاندارد صدور گواهینامه امنیتی بین المللی شناخته شده استفاده می شوند.

نگرانی فوری

افشاگری های جدید استونی را مجبور کرده است که نه تنها به پایگاه داده خود (که شامل کلیدهای عمومی است) دسترسی نزدیک داشته باشد ، بلکه استفاده از هرگونه کارت شناسایی را نیز که از سال 2014 منتشر شده است ، به حالت تعلیق درآورد. علاوه بر این ، این بدان معنی است که کارتهای هوشمند مانند IDPrime.NET از Gemalto - که برای تأیید هویت دو عاملی به کارمندان مایکروسافت و بسیاری از بنگاه های دیگر استفاده می شود - ممکن است آسیب پذیرتر از آنچه در ابتدا تصور می شد باشد.

گزارش اصلی که توسط محققان از جمله پترو سوندا ، عضو فعال مرکز تحقیقات رمزنگاری و امنیت منتشر شده است ، به طور هدفمندانه ویژگی های حمله به عامل را حذف نکرده است. امید بود که این امر باعث افزایش زمان لازم برای هکرها در طبیعت شود تا آسیب پذیری را برطرف کنند.

با این حال ، تحقیقات جدید منتشر شده توسط Bernstein و Lange نشان می دهد که محققان در حال حاضر در حال پیشرفت برای حمله اولیه هستند. این عدم اطمینان گسترده را ایجاد می کند و این نگرانی را ایجاد می کند که ممکن است هکرها و مجرمان سایبری نیز قادر به هک کردن رمزگذاری باشند.

برنشتاین و لنگ معتقدند كه ممكن است استفاده از كارتهای گرافیك سریع برای كاهش هزینه های كلید كلید 2048 بیتی فقط به 2000 دلار برسد. این مبلغ بسیار کمتری از مبلغ 20،000 دلار است که در ابتدا گزارش شده است. Dan Cvrcek ، مدیر عامل شرکت Enigma Bridge (یکی از شرکتهایی که به انجام تحقیقات اصلی کمک کرده است) نیز برای بیان نگرانی های خود آمده است. او معتقد است که حملات بسیار سریعتر و ارزانتر از آنچه در ابتدا منتشر شده اند ، واقعاً امکان پذیر است:

تصور من این است که زمان و هزینه برآورد شده در تحقیقات اصلی نسبتاً محافظه کار بوده است. من مطمئن نیستم که آیا کسی می تواند هزینه امروز یک کلید زیر 1000 دلار را کاهش دهد ، اما من مطمئناً آن را یک احتمال می دانم.

در تحقیق خود ، برنشتاین و لانژ همچنین به این احتمال اشاره دارند كه دیگر فناوری اختصاصی (كه به خوبی مجهز به انجام وظیفه ریاضی یك حمله فاكتورسازی باشد) نیز می تواند توسط مهاجمین برای پایین آوردن هزینه ها و زمان درگیر شدن در حمله مورد استفاده قرار گیرد. در بین اینها ، محققان استفاده از "دنده رایانه اختصاصی ، احتمالاً مجهز به GPU ، آرایه دروازه قابل برنامه ریزی درست و تراشه های مدار مجتمع ویژه برنامه" را پیشنهاد کردند.

چه کسی تحت تأثیر قرار می گیرد?

اگرچه فقط استونی تاکنون استفاده از شناسنامه های خود را به حالت تعلیق در آورده است ، اما اعتقاد بر این است که شماری از ملل دیگر از جمله اسلواکی نیز ممکن است تحت تأثیر قرار بگیرند. در واقع ، آرس تکنیکا گزارش هایی دریافت کرده است که نشان می دهد شناسنامه یک ملت اروپایی نیز ممکن است تحت تأثیر قرار گیرد. در حال حاضر ، با این حال ، ارس اعلام نکرده است که کشور آن کشور است.

از نظر سازمان های خصوصی ، اعتقاد بر این است که کارتهای شناسایی میلیونها کارگر (اگر نه صدها میلیون نفر) از کارکنان ممکن است تحت تأثیر این نقص قرار گیرند. این شامل امنیت در بانکهای برتر و سایر شرکتهای بزرگ بین المللی است که ممکن است بین هر 5 تا 10 سال آسیب پذیر باشد.

درمورد احتمال اینکه این نقص بتواند نتیجه انتخابات را تغییر دهد ، این مسئله هنوز ثابت است. واقعیت این است که در انتخابات نزدیک فقط لازم است که بخش کوچکی از رای دهندگان (شاید تنها 5٪) هک شوند تا از راه دیگر انتخابات را تغییر دهند. اگر امکان نصب سریعتر و ارزانتر حمله ROCA فراهم شود ، ممکن است این مسئله به یک نگرانی واقعی تبدیل شود.

عقاید خود نویسنده است.

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me