ВС:Бухгалтерия 6.3 Печенье с предсказаниями fortune-cookies ru п... (от Печенье с предсказаниями)
Ученые вскрыли защиту аппаратного ключа за 15 минут
Способ атаки на жетоны RSA SecurID 800 будет официально
представлен на конференции CRYPTO 2012 а августе текущего года. Стоит заметить,
что существует еще целый ряд устройств, частично подверженных аналогичной
атаке, но на данный момент все они пока успешно выдерживают атаки –
скомпрометированы лишь аппараты с технологией SecurID от компании RSA. Эксперты
по безопасности уже давно говорят о риске, связанном с хранением ключей, пусть
и в защищенном виде, на общедоступных компьютерах, серверах и «флэшках». Но теперь
эта проблема приобретает реальные очертания.
Описать принцип атаки на жетоны SecurID 800 можно с помощью
аналогии. Если сам жетон представить, как банковское хранилище, то его
криптоконтейнер (cryptographic wrapper) можно сравнить с бронеавтомобилем. Все
ключи из хранилища предоставляют клиентам только внутри этого криптоконтейнера,
который, теоретически, никак нельзя снять до попадания к авторизованному
адресату. Тем не менее, ученые предлагают последовательно использовать мелкие
слабости контейнера, пока все его содержимое не превратится в исходный текст
ключа. Для атаки пришлось немного модифицировать алгоритм Блейхенбахера —
вместо 215 000 запросов по принципу «оракула с набивкой криптоконтейнера»
удалось решить задачу по восстановлению ключа всего за 9 400 запросов. Фактически,
на каждом шаге выполняется «угадывание» очередного бита в ключе за счет
сопоставления специального текста и результатов его шифрования.
Теоретически, новая атака может применяться против любых
приборов, использующих закрытые ключи с программным интерфейсом PKCS#11. В
частности, потенциальная угроза нависла над такими массовыми жетонами
авторизации, как eTokenPro компании Aladdin, iKey 2032 компании SafeNet,
CyberFlex компании Gemalto и CardOS компании Siemens. Кроме работ
Блейхенбахера, авторы новой атаки частично применили способы атаки типа
«циклическая набивка шифротекста заполнителями для извлечения симметричных
ключей»(CBC padding to extract symmetric keys): эту атаку на RSA-ключи успешно
продемонстрировал французский криптограф Серж Воденэ (Serge Vaudenay) в 2002
году.
Как указывают авторы статьи, Ромэн Барду (Romain Bardou),
Риккардо Фокарди (Riccardo Focardi), Юсуке Кавамото (Yusuke Kawamoto), Лоренцо
Симионато (Lorenzo Simionato), Грэхем Стил (Graham Steel) и Джо-Кай Цай
(Joe-Kai Tsay), официальные лица компании RSA уже знают о проблеме и работы над
ее устранением ведутся непрерывно. Удивляет лишь реакция эстонского
правительства, которое не признает опасность крупномасштабного взлома
электронных удостоверений буквально для всех своих дееспособных граждан.
Оставьте Ваш комментарий или мнение о новости: Ученые вскрыли защиту аппаратного ключа за 15 минут Просим Вас оставлять сообщения по теме и уважать своих собеседников и авторов новостного сообщения.
.gif){kind=small}
.gif){kind=small}
