تشفير مفتاح الضعف قد يؤثر على مئات الملايين

تم الكشف عن خطأ تشفير تم الكشف عنه لأول مرة قبل ثلاثة أسابيع ليكون أسوأ بكثير مما كان يعتقد في البداية. يتيح الخلل للمتسللين كسر مفاتيح التشفير الخاصة بالملايين - وربما حتى مئات الملايين - من الخدمات الآمنة. وفقًا لمصوري التشفير الذين أجروا أحدث الأبحاث ، فإن الاستغلال يعني أن العديد من خدمات الأمان عالية المخاطر التي كان يُعتقد في السابق أنها آمنة أصبحت الآن في خطر.


وقد تبع هذا الإعلان بسرعة قرار الحكومة الإستونية بتعليق استخدام بطاقة الهوية الوطنية. يتم استخدام هذه البطاقة من قِبل حوالي 760،000 مواطن للقيام بأنشطة مثل تشفير المستندات الحساسة والتصويت وضرائب الإيداع. تم تعليق بطاقة الهوية بعد أن تبين أن الادعاءات الأولية - أن الخلل مكلف للغاية لاستغلاله على نطاق واسع - كانت غير صحيحة.

هشاشة

اكتشف باحثون من جامعة Masaryk في جمهورية التشيك وجسر Enigma Bridge في المملكة المتحدة وجامعة Ca 'Foscari في إيطاليا الثغرة الأمنية الكارثية. ينتج عن خلل في مكتبة الرموز الشائعة المستخدمة في العديد من إعدادات الأمان الهامة. لا يشمل ذلك بطاقات الهوية الوطنية فحسب ، بل يشمل أيضًا توقيع البرامج والتطبيقات ، والأمان على الوحدات النمطية للنظام الأساسي الموثوق به على الأنظمة الحكومية والشركات الحيوية (بما في ذلك Microsoft).

يسمح الخلل للمتسللين بالتحقق من المفاتيح الخاصة ببساطة عن طريق تحليل الجزء العام المقابل من المفتاح. وفقًا للباحثين الذين أجروا البحث الأصلي ، يمكن للمتسللين اختراق مفتاح 1024 بت مقابل 38 دولارًا في حوالي 25 دقيقة (باستخدام خادم تجاري متوسط ​​الحجم قائم على السحابة). ارتفعت هذه النفقات إلى حد كبير - إلى 20،000 دولار وتسعة أيام - لفك تشفير مفتاح 2048 بت.

تقرير أولي غير صحيح

أدى هذا التقرير الأولي إلى تقليل مستوى الضعف على مستوى الصناعة. أعلنت الحكومة الإستونية أن الخلل كان باهظ الثمن بحيث لا يسبب أي قلق حقيقي:

لا يمكن تصور تزوير الأصوات على نطاق واسع نظرًا للتكلفة الكبيرة وقوة الحوسبة اللازمة لإنشاء مفتاح خاص.

وقد ردد هذا الادعاء من قبل المنظمات التجارية والخاصة الأخرى التي تستخدم هذه الأنواع من المفاتيح لتأمين أنظمتها. على سبيل المثال ، كانت شركة Gemalto التي تتخذ من هولندا مقراً لها ، من بين الشركات التي اعترفت بأنها "قد تتأثر" ، لكنها لم تظهر أي علامات مبدئية على وجود سبب للقلق..

الآن ، ومع ذلك ، فقد كشفت البحوث الثانوية التي نشرت في عطلة نهاية الأسبوع أن تلك الإحصاءات الأولية كانت خاطئة. وفقًا للباحثين دانييل ج. بيرنشتاين وتانجا لانج ، فقد تمكنوا من تحسين كفاءة الهجوم بنسبة 25٪ تقريبًا. وقد تسبب هذا في حالة من الذعر لأنه قد يكون من الممكن زيادة كفاءة الهجوم.

هذا مصدر قلق كبير لأن الخلل كان موجودًا منذ خمس سنوات (طورت مكتبة الرموز من قبل شركة صناعة شرائح اللحم الألمانية انفينيون وأصدرت على أبعد تقدير في عام 2012). بالإضافة إلى ذلك ، يتم استخدام مفاتيح التشفير المعنية حاليًا من قِبل اثنين من معايير شهادات الأمان المعترف بها دوليًا.

قلق فوري

لقد دفعت الكشفات الجديدة إستونيا إلى عدم الوصول فقط إلى الوصول إلى قاعدة بياناتها (التي تحتوي على مفاتيح عمومية) ولكن أيضًا تعليق استخدام أي بطاقات هوية تم إصدارها منذ عام 2014. بالإضافة إلى ذلك ، فهذا يعني أن البطاقات الذكية مثل IDPrime.NET من Gemalto - الذي يستخدم لتوفير مصادقة ثنائية لموظفي Microsoft والعديد من الشركات الأخرى - قد يكون أكثر عرضة للخطر مما كان يعتقد في البداية.

التقرير الأصلي ، الذي نشره باحثون من بينهم بيتر سفيندا ، وهو عضو نشط في مركز أبحاث التشفير والأمان ، أغفل عن قصد تفاصيل هجوم العوامل. وكان من المأمول أن يزيد هذا من الوقت اللازم للمتسللين في البرية للقضاء على الثغرة الأمنية.

يوضح البحث الجديد الذي نشره بيرنشتاين ولانغ أن الباحثين يديرون بالفعل تحسين الهجوم الأولي. هذا يخلق حالة من عدم اليقين الهائل ويثير القلق من أن المتسللين ومجرمي الإنترنت قد يكونوا قادرين أيضًا على اختراق التشفير.

يعتقد برنشتاين ولانغ أنه قد يكون من الممكن استخدام بطاقات الرسومات السريعة لخفض تكاليف تكسير المفتاح 2048 بت إلى 2000 دولار فقط. هذا هو مبلغ أصغر بكثير من المبلغ الذي تم الإبلاغ عنه في البداية والذي يبلغ 20.000 دولار دان Cvrcek ، الرئيس التنفيذي لشركة Enigma Bridge (إحدى الشركات التي ساعدت في إجراء البحث الأصلي) ، تقدم أيضًا للتعبير عن مخاوفه. إنه يعتقد أن الهجمات الأسرع والأقل تكلفة من الهجمات التي نشرت لأول مرة ممكنة بالفعل:

انطباعي هو أن تقديرات الوقت والتكلفة المذكورة في البحث الأصلي كانت متحفظة إلى حد ما. لست متأكدًا مما إذا كان شخص ما يمكنه خفض تكلفة مفتاح واحد أقل من 1000 دولار اعتبارًا من اليوم ، لكنني بالتأكيد أراه ممكنًا.

في بحثهم ، ذكر بيرنشتاين ولانغ أيضًا إمكانية استخدام تقنية مخصصة أخرى (مجهزة تجهيزًا جيدًا للتعامل مع المهمة الرياضية المتمثلة في الهجوم على العوامل) من قبل المهاجمين لخفض التكاليف والوقت الذي ينطوي عليه الهجوم. من بين هؤلاء ، اقترح الباحثون استخدام "معدات الكمبيوتر المخصصة ، وربما مجهزة GPU ، صفيف بوابة للبرمجة المجال ، ورقائق الدوائر المتكاملة الخاصة بالتطبيقات."

من المتأثر?

على الرغم من أن إستونيا هي الوحيدة التي أوقفت حتى الآن استخدام بطاقات هويتها ، يُعتقد أن عددًا من الدول الأخرى ، بما في ذلك سلوفاكيا ، من المحتمل أن تتأثر. في الواقع ، تلقت Ars Technica تقارير تفيد بأن بطاقة هوية دولة أوروبية قد تتأثر أيضًا. في الوقت الحالي ، ومع ذلك ، لم يكشف آراس عن أي بلد هو.

فيما يتعلق بالمؤسسات الخاصة ، يُعتقد أن بطاقات هوية الملايين (إن لم يكن مئات الملايين) من الموظفين قد تتأثر بهذا الخلل. وهذا يشمل الأمن في البنوك الكبرى وغيرها من الشركات الدولية الضخمة ، والتي كان يمكن أن تكون عرضة لأي شيء بين خمس وعشر سنوات.

أما فيما يتعلق بإمكانية استخدام هذا الخلل لتغيير نتيجة الانتخابات بشكل كبير ، فلا يزال يتعين إثبات ذلك بشكل قاطع. لكن الواقع هو أنه في انتخابات قريبة قد يكون من الضروري فقط اختراق نسبة صغيرة من الناخبين (ربما 5٪ فقط) من أجل تأجيل الانتخابات في الاتجاه الآخر. إذا أصبح من الممكن شن هجوم ROCA بسرعة أكبر وبتكلفة منخفضة ، فقد يصبح هذا مصدر قلق حقيقي.

الآراء هي الكاتب الخاص.

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me