Полпроцента используемых в Web ключей RSA испытывают проблемы с безопасностью

17.02.2012 21:26

Команда математиков из Европы и Америки провела исследование более 11 миллионов публичных ключей, в ходе которого выяснилось, что 12 тысяч публичных ключей легко могут быть взломаны. Другое аналогичное исследование показало, что для около 0.4% всех используемых web-сайтами публичных RSA-ключей реально за несколько часов подобрать секретный RSA-ключ, при помощи которого можно имитировать защищённый проблемным ключом сайт или расшифровать трафик к нему (при активной MITM-атаке). Основным источником проблемы является использование некорректного генератора случайных чисел при создании ключа, генерирующего предсказуемые "случайные" числа, которые временами повторяются.

Из 6 185 372 проанализированных сертификатов X.509 исследователям удалось выявить 266 729 открытых ключей, при генерации которых были использованы одинаковые цикличные коэффициенты (модуль), а это значит, что их секретные ключи подобны. Более того, выяснилось, что один и тот же модуль выявлен 16 489 раз, что позволяет одному из владельцев подобных сертификатов подделать сертификаты остальных 16 488 организаций. Дальнейшие исследования с помощью поиска наибольшего общего делителя модулей показали, что для 12 720 публичных ключей можно достаточно просто получить приватный ключ с помощью факторизации.

Дополнительно было исследовано около 5 миллионов ключей OpenPGP, в которых не было выявлено подобных проблем. Также проблем не было найдено в реализациях алгоритмов на базе протокола Diffie-Hellman, таких как (EC)DSA и ElGamal.

Как сообщает в своем блоге Надя Хэнингер (Nadia Heninger), проводившая похожее исследование в прошлом, существование подобной проблемы связано с очень плохой реализацией генераторов случайных чисел в различных маршрутизаторах, VPN-шлюзах и другой встраиваемой технике, использующей SSL. Это значит что проблема не столь значительна, какой могла бы быть и не затрагивает крупные веб-сайты. Примечательно, что 4.6% из всех изученных устройств поставлялись с типовым SSL-ключом, предустановленным производителем и одинаковым для всей серии.

исправить +2 +/–

Главная ссылка к новости (https://www.eff.org/deeplinks/...)

Автор новости: Evgeny Zobnin

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/33119-ssl

Ключевые слова: ssl, rsa, crypt

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (23)

1.1, KaE (ok), 22:33, 17/02/2012 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Списки в студию плиз:-)

2.8, Аноним (-), 01:06, 18/02/2012 [^] [^^] [^^^] [ответить]	+/–
http://code.google.com/p/littleblackbox/

1.2, Нанобот (?), 22:36, 17/02/2012 [ответить] [﹢﹢﹢] [ · · · ]	+/–
>существование подобной проблемы связано с очень плохой реализацией генераторов случайных чисел в различных маршрутизаторах, VPN-шлюзах и другой встраиваемой технике, использующей SSL т.е. они проверяли ssl-сертификаты роутеров?

2.5, Af. (?), 23:22, 17/02/2012 [^] [^^] [^^^] [ответить]

+/–

> т.е. они проверяли ssl-сертификаты роутеров?

Отчего нет? Давно известно, что иногда у них в прошивке одинаковые ключи для всех устройств этой модели. Это косвенный признак, что там ещё чего-нибудь можно обнаружить и описать.

1.3, arisu (ok), 22:36, 17/02/2012 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
а всё потому, что dumbasses видят волшебные буквы SSL и считают, что больше ничего знать не надо. надеюсь, когда они начнут маяться нездоровьем, их будут лечить врачи, которые считают, что кроме названия учебника ничего знать не надо.

2.14, myhand (ok), 13:34, 18/02/2012 [^] [^^] [^^^] [ответить]

+1 +/–

> а всё потому, что dumbasses видят волшебные буквы SSL и считают, что
> больше ничего знать не надо.

И это правильно, идея именно в этом.

Более того, я фактически уверен, что и вы не сильно больше знаете. Гораздо меньше, чем те же авторы браузера, который используете.

3.15, arisu (ok), 13:36, 18/02/2012 [^] [^^] [^^^] [ответить]

–1 +/–

>> а всё потому, что dumbasses видят волшебные буквы SSL и считают, что
>> больше ничего знать не надо.
> И это правильно, идея именно в этом.

тогда она ещё более неработоспособна.

> Более того, я фактически уверен, что и вы не сильно больше знаете.
> Гораздо меньше, чем те же авторы браузера, который используете.

на здоровье.

4.17, myhand (ok), 14:39, 18/02/2012 [^] [^^] [^^^] [ответить]

+/–

>> И это правильно, идея именно в этом.
> тогда она ещё более неработоспособна.

Очень даже работоспособна. Точно также, как и офисному планктону за рулем - ровно ничего не нужно знать о ДВС.

Вот так и с SSL: горит желтая кнопочка в углу браузера - значит все в порядке. О том что под капотом - позаботятся знающие люди.

5.20, arisu (ok), 15:58, 18/02/2012 [^] [^^] [^^^] [ответить]

+1 +/–

> Очень даже работоспособна. Точно также, как и офисному планктону за рулем

…не нужно знать правил движения, ага.

> Вот так и с SSL: горит желтая кнопочка в углу браузера —
> значит все в порядке. О том что под капотом —
> позаботятся знающие люди.

угу. diginotar, verisign.

6.22, XoRe (ok), 21:54, 21/02/2012 [^] [^^] [^^^] [ответить]	+/–
> угу. diginotar, verisign. Ну, это нарушение договора со стороны удостоверяющего центра. Тут уже не технический момент.

7.23, arisu (ok), 22:05, 21/02/2012 [^] [^^] [^^^] [ответить]	+/–
>> угу. diginotar, verisign. > Ну, это нарушение договора со стороны удостоверяющего центра. > Тут уже не технический момент. юзеру, без сомнения, должно сильно полегчать от того, что «так быть не должно».

1.4, Аноним (-), 23:17, 17/02/2012 [ответить] [﹢﹢﹢] [ · · · ]	+2 +/–
Мне одному кажется что на RSA под каким-то влиянием "невидимая рука" ?

2.7, Андрей (??), 00:20, 18/02/2012 [^] [^^] [^^^] [ответить]	+/–
Вы это о чем?

2.9, Anon100500 (?), 01:39, 18/02/2012 [^] [^^] [^^^] [ответить]	+/–
Не поделитесь травкой? Ну или на худой конец телефончиком поставщика?

2.10, Аноним (-), 05:33, 18/02/2012 [^] [^^] [^^^] [ответить]	+1 +/–
Кажется не одному. Но, пока знакомые пишут про возросший интерес заинтересованных товарищей, к RSA в частности и общему методу решета числового поля в общем.. другие товарищи будут вопить про наркотики и телефоны. Конечно, математики из первого примера лузеры, зато эпичный Anon100500 - это запредельно авторитетный чувак, сорвавший покровы с 100500 других проблем: ищите его прочие подвиги по нику.

1.6, Аноним (-), 23:56, 17/02/2012 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
> а это значит, что их секретный ключ совпадает. Секретный ключ совпадающий у 200К бакланов - такой секретный.

2.11, Аноним (-), 05:36, 18/02/2012 [^] [^^] [^^^] [ответить]	+/–
> Секретный ключ совпадающий у 200К бакланов - такой секретный. Да-да, а потом рассказывают про ботнеты на дримбоксах.

1.13, the joker (ok), 12:42, 18/02/2012 [ответить] [﹢﹢﹢] [ · · · ]

–1 +/–

Не хочу показаться занудой, но не слишком ли "жёлтый" заголовок новости?

Ибо:
> ... among the 4.7 million distinct 1024-bit RSA moduli that we had
> originally collected, 12720 have a single large prime factor in common.

12720/4700000 = 0.002706383 ~ 2.7%

> In our current collection3 of 11.4 million RSA moduli 26965 are
> vulnerable, including ten 2048-bit ones.

26965/11400000 = 0.0023653509 ~ 2.4%

2.16, the joker (ok), 14:17, 18/02/2012 [^] [^^] [^^^] [ответить]	+/–
Упс... Конечно, 0.27% и 0.24% соответственно.

2.18, Аноним (-), 14:40, 18/02/2012 [^] [^^] [^^^] [ответить]

+/–

> 26965/11400000 = 0.0023653509 ~ 2.4%

11 миллионов - это включая 5 миллионов заведомо надёжных ключей OpenPGP.

26965/6185372 = 0.00435 = 0.435%

1.19, segoon (ok), 15:08, 18/02/2012 [ответить] [﹢﹢﹢] [ · · · ]	+3 +/–
Вот ссылка вдогонку, от Брюса Шнайера: http://www.schneier.com/blog/archives/2012/02/lousy_random_nu.html

1.21, menraen (?), 22:49, 19/02/2012 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
Вот что бывает когда за такой мегасложный и богатый нюансами вопрос как криптография, который по-зубам не каждому учёному-математику, берутся "обычные" программисты. Стойкость современных криптоалгоритмов смягчается дыбильностью софтверной реализации.

1.24, Мирон (?), 22:17, 13/01/2018 [ответить] [﹢﹢﹢] [ · · · ]

+/–

Не уверен. На моем проекте китаец зарубил укрепление защиты под предлогом "мы так делаем" и "так дешевле", а корпорации, в которой он занимает позицию старшего научного сотрудника, пришлось нанять отдельную структуру по охране данных.

В основном причины проблем это ведомственные интересы, где защита данных пользователя, при всем газетном гвалте, занимает место ниже последнего, и не имеет существенного влияния ни на распределение фондов ( а с ними приоритетов ) ни на определение веса внесенного в командную копилку.

В конечном итоге, этот подход продолжает усиливать командные позиции команды у которой больше денег и тел, которыми можно закидать амбразуры, будь то в войне или в прессе, над более умными. В принципе по человечески понятно, и для Запада, его не прекращающимися волнами геноцида конкурирующих наций, приемлемо, но для России несколько дороговатое удовольствие.

2.25, arisu (ok), 22:23, 13/01/2018 [^] [^^] [^^^] [ответить]	+/–
как тебя занесло сюда, о, путник? в эту безжизненную пустыню, где ветер плачет над высохшими останками старых комментариев, и много лет не было ни одной живой души…

игнорирование участников | лог модерирования

Добавить комментарий

Текст: