Pirmą kartą šifravimo raktai, apsaugantys SSH ryšius, buvo pavogti naujoje atakoje

Pirmą kartą mokslininkai įrodė, kad didelė dalis šifravimo raktų, naudojamų duomenims apsaugoti SSH sraute iš kompiuterio į serverį, yra Atsižvelgiant į visišką atsiskaitymą Kai užmezgant ryšį natūraliai atsiranda aritmetinių klaidų. Ars Technica: Siekdami pabrėžti savo atradimo svarbą, mokslininkai panaudojo savo išvadas, kad apskaičiuotų beveik 200 unikalių SSH raktų privačią dalį, kurią jie pastebėjo per pastaruosius septynerius metus atliktų viešųjų interneto nuskaitymų. Tyrėjai įtaria, kad IPsec komunikacijose naudojami raktai gali susilaukti tokio pat likimo. SSH yra šifravimo protokolas, naudojamas saugiems apvalkalo ryšiams, leidžiantis kompiuteriams nuotoliniu būdu pasiekti serverius, paprastai saugumui jautriose įmonės aplinkose. IPsec yra virtualių privačių tinklų naudojamas protokolas, nukreipiantis srautą per šifruotą tunelį.

Pažeidžiamumas atsiranda, kai generuojant parašą atsiranda klaidų, kai klientas ir serveris užmezga ryšį. Tai paveikia tik raktus, kuriuose naudojamas RSA šifravimo algoritmas, kurį mokslininkai rado beveik trečdalyje ištirtų SSH parašų. Tai reiškia maždaug vieną milijardą parašų iš 3,2 milijardo patikrintų parašų. Iš maždaug vieno milijardo RSA parašų maždaug vienas iš milijono atskleidžia pagrindinio kompiuterio privatųjį raktą. Nors procentas yra labai mažas, rezultatas stebina dėl kelių priežasčių – visų pirma dėl to, kad dauguma naudojamų SSH programų dešimtmečius taiko atsakomąją priemonę, kuri prieš siųsdama parašą internetu patikrina, ar nėra parašo klaidų. Kita nuostabos priežastis yra ta, kad iki šiol mokslininkai mano, kad pasirašymo klaidos atskleidė tik RSA raktus, naudojamus TLS (arba Transport Layer Security) protokole, kuris šifruoja žiniatinklio ir el. pašto ryšius. Jie manė, kad SSH srautas buvo atsparus tokioms atakoms, nes pasyvūs užpuolikai, ty priešai, kurie stebi srautą, kai jis eina per klaidą, negalėjo matyti kai kurios reikiamos informacijos.

READ  Atsitiktinis: Šis vaikinas, žaidžiantis OLED jungiklius savo pasaže, vairuoja socialinę žiniasklaidą

Parašykite komentarą

El. pašto adresas nebus skelbiamas. Būtini laukeliai pažymėti *