क्रिप्टो कुंजी कमजोरता लाखों लोगों को प्रभावित कर सकती है

एक क्रिप्टोग्राफिक दोष जो पहली बार तीन सप्ताह पहले खुलासा किया गया था, वह पहले सोचा की तुलना में बहुत खराब है। दोष हैकर्स को लाखों की एन्क्रिप्शन कुंजियों को तोड़ने की अनुमति देता है - संभवतः लाखों लोगों की भी - सुरक्षित सेवाओं की। नवीनतम शोध करने वाले क्रिप्टोग्राफर्स के अनुसार, शोषण का मतलब है कि पहले सुरक्षित मानी जाने वाली कई उच्च-स्तरीय सुरक्षा सेवाओं को अब जोखिम में जाना जाता है.

एस्टोनियाई सरकार द्वारा अपने राष्ट्रीय आईडी कार्ड के उपयोग को निलंबित करने के फैसले की घोषणा के तुरंत बाद किया गया है। उस कार्ड का उपयोग लगभग 760,000 नागरिकों द्वारा संवेदनशील दस्तावेजों को एन्क्रिप्ट करने, मतदान करने और करों को दर्ज करने जैसी गतिविधियों के लिए किया जाता है। आईडी कार्ड को यह महसूस होने के बाद निलंबित कर दिया गया है कि शुरुआती दावे - कि दोष बड़े पैमाने पर शोषण करने के लिए बहुत महंगा है - गलत था.

बड़े पैमाने पर भेद्यता

विनाशकारी सुरक्षा भेद्यता की खोज मैसूर विश्वविद्यालय के चेक गणराज्य, ब्रिटेन में एनिग्मा ब्रिज और इटली में सीए 'फोसारी विश्वविद्यालय के शोधकर्ताओं ने की थी। यह कई महत्वपूर्ण सुरक्षा सेटिंग्स में उपयोग किए जाने वाले लोकप्रिय कोड लाइब्रेरी के दोष के कारण होता है। इनमें न केवल राष्ट्रीय पहचान पत्र, बल्कि सॉफ्टवेयर और एप्लिकेशन साइनिंग, और महत्वपूर्ण सरकार और कॉरपोरेट सिस्टम पर विश्वसनीय प्लेटफ़ॉर्म मॉड्यूल शामिल हैं (Microsoft सहित).

दोष हैकर्स को कुंजी के संबंधित सार्वजनिक भाग का विश्लेषण करके निजी कुंजी का पता लगाने की अनुमति देता है। मूल शोध को अंजाम देने वाले शोधकर्ताओं के अनुसार, हैकर्स लगभग 25 मिनट में (औसत वाणिज्यिक क्लाउड-आधारित सर्वर का उपयोग करके) $ 38 में 1024-बिट कुंजी दर्ज कर सकते हैं। वह खर्च काफी बढ़ गया - $ 20,000 और नौ दिनों के लिए - 2048-बिट कुंजी को डिक्रिप्ट करने के लिए.

गलत प्रारंभिक रिपोर्ट

इस प्रारंभिक रिपोर्ट के परिणामस्वरूप उद्योग की व्यापकता कमजोर हो गई। एस्टोनियाई सरकार ने घोषणा की कि दोष किसी भी वास्तविक चिंता का कारण महंगा था:

निजी कुंजी उत्पन्न करने के लिए आवश्यक लागत और कंप्यूटिंग शक्ति के कारण बड़े पैमाने पर वोट धोखाधड़ी की संभावना नहीं है.

यह दावा अन्य वाणिज्यिक और निजी संगठनों द्वारा गूंज रहा था, ताकि वे इस प्रकार की कुंजियों का उपयोग करके अपने सिस्टम को सुरक्षित कर सकें। उदाहरण के लिए, नीदरलैंड स्थित स्मार्ट-कार्ड निर्माता जेमल्टो, उन फर्मों में से एक थी जिन्होंने स्वीकार किया कि यह "प्रभावित हो सकती है", लेकिन कोई भी शुरुआती संकेत नहीं दिखा जो चिंता का कारण था।.

अब, हालांकि, सप्ताहांत में प्रकाशित माध्यमिक शोध से पता चला है कि वे प्रारंभिक आँकड़े गलत थे। शोधकर्ता डैनियल जे बर्नस्टीन और तंजा लंगे के अनुसार, उन्होंने लगभग 25% तक हमले की दक्षता में सुधार करने में कामयाबी हासिल की है। इससे घबराहट हुई है कि हमले की दक्षता को और बढ़ाना संभव हो सकता है.

यह एक बड़ी चिंता का विषय है क्योंकि यह दोष करीब पांच साल से है (कोड लाइब्रेरी जर्मन चिपमेकर इनफिनन द्वारा विकसित की गई थी और 2012 में नवीनतम पर जारी की गई थी)। इसके अलावा, विचाराधीन क्रिप्टोग्राफिक कुंजी वर्तमान में दो अंतरराष्ट्रीय स्तर पर मान्यता प्राप्त सुरक्षा प्रमाणन मानकों द्वारा उपयोग की जाती है.

तत्काल चिंता

नए खुलासे ने एस्टोनिया को अपने डेटाबेस (जिसमें सार्वजनिक कुंजी शामिल है) तक न केवल पहुंच के लिए मजबूर किया है, बल्कि 2014 के बाद से जारी किए गए किसी भी पहचान पत्र के उपयोग को निलंबित करने के लिए मजबूर किया है। जो Microsoft कर्मचारियों और कई अन्य फर्मों को दो-कारक प्रमाणीकरण प्रदान करने के लिए उपयोग किया जाता है - शुरू में सोचा की तुलना में अधिक असुरक्षित हो सकता है.

मूल रिपोर्ट, क्रिप्टोग्राफी और सुरक्षा पर अनुसंधान के लिए केंद्र के एक सक्रिय सदस्य, पेट्र स्वेंडा सहित शोधकर्ताओं द्वारा प्रकाशित किया गया था, जो कारक के हमले के उद्देश्यपूर्ण रूप से छोड़े गए विवरण हैं। यह आशा की जा रही थी कि इससे हैकरों की भेद्यता में दरार डालने के लिए आवश्यक समय बढ़ जाएगा.

बर्नस्टीन और लैंगे द्वारा प्रकाशित नए शोध, हालांकि, यह दर्शाता है कि शोधकर्ता पहले से ही प्रारंभिक हमले में सुधार करने के लिए प्रबंध कर रहे हैं। यह बड़े पैमाने पर अनिश्चितता पैदा करता है और यह चिंता पैदा करता है कि हैकर्स और साइबर क्रिमिनल भी एन्क्रिप्शन हैक करने में सक्षम हो सकते हैं.

बर्नस्टीन और लैंग का मानना ​​है कि 2048-बिट कुंजी को क्रैक करने की लागत को केवल $ 2,000 तक लाने के लिए फास्ट ग्राफिक्स कार्ड का उपयोग करना संभव हो सकता है। यह शुरुआत में 20,000 डॉलर की तुलना में बहुत छोटा योग है। एनिग्मा ब्रिज (मूल शोध को आगे बढ़ाने में मदद करने वाली फर्मों में से एक) के डैन क्वेरेस्क भी अपनी चिंताओं को व्यक्त करने के लिए आगे आए हैं। उनका मानना ​​है कि पहले प्रकाशित किए गए लोगों की तुलना में बहुत तेज और कम महंगे हमले वास्तव में संभव हैं:

मेरी धारणा है कि मूल शोध में उद्धृत समय और लागत अनुमान काफी रूढ़िवादी रहे हैं। मुझे यकीन नहीं है कि कोई आज के रूप में $ 1,000 से नीचे एक कुंजी की लागत को कम कर सकता है, लेकिन मैं निश्चित रूप से इसे एक संभावना के रूप में देखता हूं.

अपने शोध में, बर्नस्टीन और लैंग ने इस संभावना का भी उल्लेख किया है कि अन्य समर्पित तकनीक (जो एक कारक हमले के गणितीय कार्य को संभालने के लिए अच्छी तरह से सुसज्जित है) का उपयोग हमलावरों द्वारा लागत और समय को एक हमले में शामिल करने के लिए भी किया जा सकता है। इनमें से, शोधकर्ताओं ने "समर्पित कंप्यूटर गियर का उपयोग करने का सुझाव दिया, संभवतः जीपीयू, फील्ड प्रोग्रामेबल गेट ऐरे, और एप्लिकेशन-विशिष्ट एकीकृत चिप से लैस।"

कौन प्रभावित हुआ है??

यद्यपि केवल एस्टोनिया ने अब तक अपने पहचान पत्रों का उपयोग निलंबित कर दिया है, लेकिन यह माना जाता है कि स्लोवाकिया सहित कई अन्य देशों के प्रभावित होने की संभावना है। वास्तव में, Ars Technica को रिपोर्ट मिली है कि एक यूरोपीय राष्ट्र का पहचान पत्र भी प्रभावित हो सकता है। अभी के लिए, हालांकि, अरस ने यह खुलासा नहीं किया है कि कौन सा देश है.

निजी संगठनों के संदर्भ में, यह माना जाता है कि कर्मचारियों के लाखों (यदि करोड़ों नहीं तो सैकड़ों) के आईडी कार्ड इस दोष से प्रभावित हो सकते हैं। इसमें शीर्ष बैंकों और अन्य बड़े पैमाने पर अंतर्राष्ट्रीय निगमों में सुरक्षा शामिल है, जो पांच और दस वर्षों के बीच किसी भी चीज़ के लिए असुरक्षित हो सकते थे.

इस संभावना के रूप में कि इस दोष का उपयोग चुनाव के परिणाम को महत्वपूर्ण रूप से बदलने के लिए किया जा सकता है, यह निर्णायक साबित होता है। हालांकि, वास्तविकता यह है कि निकट चुनावों में दूसरे तरीके से चुनाव लड़ने के लिए मतदाताओं के एक छोटे अनुपात (शायद केवल 5%) को हैक करना आवश्यक हो सकता है। यदि आरओसीए हमले को अधिक तेज़ी और सस्ते में माउंट करना संभव हो जाता है, तो यह एक वास्तविक चिंता का विषय बन सकता है.

राय लेखक के अपने हैं.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me