Zagrożenie dla internetowego szyfrowania

Aby można było bezpiecznie przesyłać przez Internet poufne informacje, takie jak dane finansowe, numery kart kredytowych, czy dane osobowe, stosuje się szyfrowanie za pomocą technologii SSL/TLS. Teraz dwóch badaczy, Billy Bob Brumley i Nicola Tuveri z fińskiego Aalto University School of Science odkryło, jak można wykradać używane przez SSL klucze szyfrujące.

Badacze nie znależli luki w matematycznych zasadach rządzących szyfrowaniem, posłużyli się sztuczką pozwalającą podejść do problemu z zupełni innej strony, wykorzystującą fakt, że szyfrowanie jest operacją logiczno-matematyczną, która zajmuje komputerowi czas. Wykorzystując informacje o czasie przeliczania parametrów szyfrowania wykorzystywanego w SSL, badacze byli w stanie odgadnąć klucz szyfrowy serwera, co umożliwia podsłuchiwanie szyfrowanych transmisji odbieranych i wysyłanych przez ten serwer.

Zagrożenie dotyczy szyfrowania wykorzystującego matematyczne własności tzw krzywych eliptycznych, czyli szyfrowania ECC (Eliptic Curve Cryptography). Na razie jest to praca teoretyczna, nie ma narzędzi pozwalających na jego praktyczne wykorzystanie. Rzeczywisty Internet wprowadza też pewne opóźnienia w transmisji zakłócające zebrane dane o czasie ale nie czyniące niemożliwym przeprowadzenie takiego ataku.

 

[za Threat Post]