Kriptografinė yda, pirmą kartą atskleista prieš tris savaites, buvo atskleista daug blogiau, nei manyta iš pradžių. Ši yda leidžia įsilaužėliams sugadinti milijonų - galbūt net šimtų milijonų - saugių paslaugų šifravimo raktus. Pasak kriptografų, kurie atliko naujausius tyrimus, išnaudojimas reiškia, kad dabar žinoma, kad daugeliui aukšto lygio saugumo tarnybų, kurios anksčiau buvo laikomos saugiomis, gresia pavojus.

Pranešimą greitai įgyvendino Estijos vyriausybės sprendimas sustabdyti jos nacionalinės asmens tapatybės kortelės naudojimą. Šia kortele naudojasi maždaug 760 000 piliečių tokiai veiklai kaip slaptų dokumentų šifravimas, balsavimas ir mokesčių deklaravimas. Asmens tapatybės kortelės galiojimas buvo sustabdytas supratus, kad pirminiai teiginiai - kad trūkumas yra per brangus, norint jį panaudoti dideliu mastu - buvo neteisingi.

Masinis pažeidžiamumas

Pražūtingą saugumo pažeidžiamumą atrado tyrėjai iš Masaryko universiteto Čekijoje, Enigma tilto JK ir Ca 'Foscari universiteto Italijoje. Tai lemia populiarios kodų bibliotekos, naudojamos daugelyje svarbių saugos parametrų, trūkumas. Tai apima ne tik nacionalines asmens tapatybės korteles, bet ir programinės įrangos bei programų pasirašymą bei patikimų platformos modulių saugumą gyvybiškai svarbiose vyriausybės ir įmonių sistemose (įskaitant „Microsoft“)..

Ši yda leidžia įsilaužėliams išsiaiškinti privačius raktus tiesiog išanalizavus atitinkamą viešą rakto dalį. Anot tyrėjų, atlikusių originalų tyrimą, įsilaužėliai galėjo įsiskverbti į 1024 bitų raktą už 38 USD per maždaug 25 minutes (naudodamiesi vidutiniu komerciniu debesies pagrindu veikiančiu serveriu). Šios išlaidos žymiai išaugo - iki 20 000 USD ir devynias dienas - už 2048 bitų rakto iššifravimą.


Neteisinga pradinė ataskaita

Ši pradinė ataskaita lėmė tai, kad pažeidžiamumas buvo pašalintas visos pramonės mastu. Estijos vyriausybė paskelbė, kad trūkumas yra per brangus, kad kiltų tikras rūpestis:

Didelio masto sukčiavimas balsavimu neįsivaizduojamas dėl didelių išlaidų ir skaičiavimo galios, reikalingos asmeniniam raktui sugeneruoti.

Šį teiginį pakartojo kitos komercinės ir privačios organizacijos, naudodamos tokio tipo raktus savo sistemoms apsaugoti. Pavyzdžiui, Nyderlanduose įsikūręs intelektualiųjų kortelių gamintojas „Gemalto“ buvo vienas iš įmonių, kurios pripažino, kad tai gali būti paveikta, tačiau neparodė jokių pradinių požymių, kad yra pagrindo nerimauti..

Tačiau dabar savaitgalį paskelbti antriniai tyrimai atskleidė, kad ta pradinė statistika buvo neteisinga. Tyrėjų Danieliaus J Bernsteino ir Tanja Lange teigimu, jiems pavyko pagerinti išpuolio efektyvumą maždaug 25%. Tai sukėlė paniką, kad gali būti įmanoma dar labiau padidinti išpuolio efektyvumą.

Tai kelia didžiulį susirūpinimą, nes trūkumas egzistuoja jau penkerius metus (kodų biblioteką sukūrė vokiečių mikroschemų gamintojas „Infineon“ ir išleido vėliausiai 2012 m.). Be to, aptariami kriptografiniai raktai šiuo metu naudojami dviem tarptautiniu mastu pripažintais saugumo sertifikavimo standartais.

Tiesioginis susirūpinimas

Nauji atskleidimai privertė Estiją ne tik uždaryti prieigą prie savo duomenų bazės (kurioje yra viešieji raktai), bet ir sustabdyti bet kokių asmens tapatybės kortelių, išleistų nuo 2014 m., Naudojimą. Be to, tai reiškia, kad intelektualiosios kortelės, tokios kaip „Gemalto“ IDPrime.NET - kuri naudojama dviejų faktorių autentifikavimui „Microsoft“ darbuotojams ir daugeliui kitų firmų - gali būti labiau pažeidžiama, nei manyta iš pradžių.

Originalioje ataskaitoje, kurią paskelbė tyrėjai, įskaitant Petrą Svenda, aktyvų kriptografijos ir saugumo tyrimų centro narį, tikslingai buvo praleistos faktorizacijos atakos specifikos. Tikėtasi, kad tai padidins laukinių įsilaužėlių laiką, reikalingą pažeidžiamumui nulaužti.

Naujas Bernsteino ir Lange'o paskelbtas tyrimas rodo, kad tyrėjams jau pavyksta patobulinti pradinę ataką. Tai sukuria didžiulį netikrumą ir kelia susirūpinimą, kad įsilaužėliai ir elektroniniai nusikaltėliai taip pat gali sugebėti nulaužti šifravimą.

Bernsteinas ir Lange'as mano, kad gali būti įmanoma naudoti greitas grafikos korteles, kad 2048 bitų rakto nulaužimo išlaidos sumažėtų iki 2000 USD. Tai yra daug mažesnė suma nei iš pradžių pranešta 20 000 USD. Savo susirūpinimą pareiškė ir „Enigma Bridge“ (vienos iš firmų, padėjusių atlikti originalų tyrimą) generalinis direktorius Danas Cvrcekas. Jis mano, kad iš tikrųjų yra įmanoma daug greitesnių ir pigesnių išpuolių nei tie, kurie buvo paskelbti pirmą kartą:

Mano įspūdis, kad pradiniame tyrime cituojami laiko ir išlaidų įvertinimai buvo gana konservatyvūs. Nesu tikras, ar šiandien gali kas nors sumažinti vieno rakto kainą, mažesnę nei 1 000 USD, tačiau tikrai matau tai kaip galimybę.

Savo tyrimuose Bernsteinas ir Lange'as taip pat mini galimybę, kad užpuolikai taip pat galėtų panaudoti kitas specialias technologijas (kurios yra gerai įrengtos, kad būtų galima atlikti matematinę faktorizacijos atakos užduotį), kad sumažintų išpuolio išlaidas ir laiką. Tarp jų mokslininkai pasiūlė naudoti „specialią kompiuterinę pavarą, galbūt aprūpintą GPU, lauke programuojamą vartų matricą ir konkrečiai programai skirtus integruotos grandinės lustus“.

Kas yra paveiktas?

Nors iki šiol tik Estija yra sustabdžiusi asmens tapatybės kortelių naudojimą, manoma, kad tai gali paveikti daugelį kitų tautų, įskaitant Slovakiją. Iš tikrųjų „Ars Technica“ gavo pranešimų, kad taip pat gali būti paveikta Europos tautos asmens tapatybės kortelė. Tačiau kol kas „Ars“ neatskleidė, kuri šalis tai yra.

Manoma, kad dėl šios ydos gali nukentėti milijonų (jei ne šimtai milijonų) darbuotojų asmens tapatybės kortelės. Tai apima saugumą aukščiausiuose bankuose ir kitose didžiulėse tarptautinėse korporacijose, kurios galėjo būti pažeidžiamos nuo penkerių iki dešimties metų.

Kalbant apie galimybę, kad ši yda gali būti panaudota reikšmingai pakeitus rinkimų rezultatą, tai dar reikia neabejotinai įrodyti. Tačiau realybė yra tokia, kad uždaruose rinkimuose gali reikėti nulaužti tik nedidelę dalį rinkėjų (gal tik 5%), kad rinkimai pasisuktų kitu būdu. Jei tampa įmanoma greičiau ir pigiau įrengti ROCA ataką, tai gali tapti rimtu rūpesčiu.

Nuomonės yra pačios rašytojos.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me