Меню
Поиск

Онлайновое шифрование не всегда безопасно

16 февраль, 2012 - 12:25

Коллектив европейских и американских математиков и криптографов обнаружил неожиданную слабость системы защиты онлайновых покупок, банковских операций, электронной почты и других сетевых сервисов, призванных быть безопасными.

Дефект распространяется на небольшой процент, составляющий, впрочем, вполне значительное количество случаев. Он связан со способом генерирования случайных чисел, используемых для того, чтобы сделать расшифровку цифровых сообщений практически невозможной для постороннего.

Для того, чтобы шифрование с публичным ключом было безопасно, важно, чтобы секретные простые числа выбирались произвольно. Исследователи выявили ряд условий, в которых система генерирования случайных чисел работает некорректно.

Они провели проверку 7,1 млн публичных ключей в базах данных MIT и Electronic Frontier Foundation. К ним применили эвклидов алгоритм — эффективный метод нахождения наибольшего общего знаменателя двух целых чисел. В ходе эксперимента было выявлено почти 27 тыс. незащищенных секретных ключей.

Ученые отмечают, что не смогли найти причину, по которой генераторы случайных чисел иногда дают сбой. Тем не менее, удалось установить, что проблема не ограничивается программными решениями какого-либо одного разработчика.

Потенциальная опасность, по мнению авторов, прежде всего в прецеденте, снижающем доверие к алгоритму защиты, на котором всецело основана современная система онлайновой коммерции. Простота и очевидность использованной методики, наводит на мысль о том, что её вполне возможно уже применяют в преступных целях.

Результаты изложены в статье для конференции по криптографии, которая пройдёт в августе в Санта-Барабаре (штат Калифорния). Однако, учитывая важность открытия для операторов защищенных веб-серверов, о нем было решено сообщить немедленно.

Проблемы безопасности, связанные с генератором случайных чисел, возникают достаточно регулярно. Так, в 1995 г. была обнаружена брешь в защите браузера Netscape, а в прошлом году это позволило группе хакеров взломать алгоритм защиты цифрового контента и персональной информации в PlayStation 3.