Το ευπάθεια Crypto Key μπορεί να επηρεάσει εκατοντάδες εκατομμύρια

Ένα κρυπτογραφικό ελάττωμα που αποκαλύφθηκε για πρώτη φορά πριν από τρεις εβδομάδες αποκαλύφθηκε ότι ήταν πολύ χειρότερο από ό, τι πίστευε πρώτα. Το ελάττωμα επιτρέπει στους χάκερς να σπάσουν τα κλειδιά κρυπτογράφησης εκατομμυρίων - ενδεχομένως εκατοντάδων εκατομμυρίων - ασφαλών υπηρεσιών. Σύμφωνα με τους κρυπτογράφους που πραγματοποίησαν την πιο πρόσφατη έρευνα, η εκμετάλλευση σημαίνει ότι πολλές υπηρεσίες ασφαλείας υψηλού κινδύνου που θεωρούσαν προηγουμένως ασφαλείς είναι πλέον γνωστές ότι κινδυνεύουν.


Η ανακοίνωση ακολούθησε γρήγορα η απόφαση της εσθονικής κυβέρνησης να αναστείλει τη χρήση της εθνικής ταυτότητάς της. Η κάρτα αυτή χρησιμοποιείται από περίπου 760.000 πολίτες για δραστηριότητες όπως η κρυπτογράφηση ευαίσθητων εγγράφων, η ψηφοφορία και η καταβολή φόρων. Η ταυτότητα αναστέλλεται αφού διαπιστώθηκε ότι οι αρχικοί ισχυρισμοί - ότι το ελάττωμα είναι υπερβολικά δαπανηρό για εκμετάλλευση σε μεγάλη κλίμακα - δεν ήταν σωστές.

Μαζική ευπάθεια

Η καταστροφική ευπάθεια ασφαλείας διαπιστώθηκε από ερευνητές από το Πανεπιστήμιο Masaryk στην Τσεχική Δημοκρατία, τη γέφυρα Enigma στο Ηνωμένο Βασίλειο και το πανεπιστήμιο Ca 'Foscari στην Ιταλία. Προκαλείται από ένα ελάττωμα σε μια δημοφιλής βιβλιοθήκη κωδικών που χρησιμοποιείται σε πολλές σημαντικές ρυθμίσεις ασφαλείας. Αυτά περιλαμβάνουν όχι μόνο τα εθνικά δελτία ταυτότητας αλλά και την υπογραφή λογισμικού και εφαρμογών και την ασφάλεια σε Modules Trusted Platform για ζωτικά κυβερνητικά και εταιρικά συστήματα (συμπεριλαμβανομένης της Microsoft).

Το ελάττωμα επιτρέπει στους hackers να εξακριβώνουν τα ιδιωτικά κλειδιά απλά αναλύοντας το αντίστοιχο δημόσιο τμήμα του κλειδιού. Σύμφωνα με τους ερευνητές που πραγματοποίησαν την αρχική έρευνα, οι χάκερ θα μπορούσαν να εισχωρήσουν σε ένα κλειδί 1024-bit για $ 38 σε περίπου 25 λεπτά (χρησιμοποιώντας έναν μέσο διακομιστή βασισμένο στο cloud). Αυτά τα έξοδα αυξήθηκαν σημαντικά - σε $ 20.000 και εννέα ημέρες - για την αποκρυπτογράφηση ενός κλειδιού 2048-bit.

Λανθασμένη αρχική αναφορά

Αυτή η αρχική έκθεση είχε ως αποτέλεσμα την υποβάθμιση της ευπάθειας σε ολόκληρο τον κλάδο. Η κυβέρνηση της Εσθονίας δήλωσε ότι το ελάττωμα ήταν υπερβολικά δαπανηρό για να προκαλέσει πραγματική ανησυχία:

Η απάτη μεγάλης κλίμακας των ψηφοφοριών δεν είναι λογική λόγω του σημαντικού κόστους και της υπολογιστικής ισχύος που απαιτείται για τη δημιουργία ιδιωτικού κλειδιού.

Αυτός ο ισχυρισμός επαναλήφθηκε από άλλους εμπορικούς και ιδιωτικούς οργανισμούς που χρησιμοποιούν αυτά τα είδη κλειδιών για να εξασφαλίσουν τα συστήματά τους. Ο κατασκευαστής έξυπνων καρτών της Ολλανδίας, Gemalto, για παράδειγμα, ήταν μεταξύ των επιχειρήσεων που παραδέχθηκαν ότι «μπορεί να επηρεαστεί», αλλά δεν παρουσίασε αρχικά σημάδια ότι υπήρχε λόγος ανησυχίας.

Τώρα, ωστόσο, η δευτερογενής έρευνα που δημοσιεύθηκε το Σαββατοκύριακο αποκάλυψε ότι αυτές οι αρχικές στατιστικές ήταν λανθασμένες. Σύμφωνα με τους ερευνητές Daniel J Bernstein και Tanja Lange, κατάφεραν να βελτιώσουν την αποτελεσματικότητα της επίθεσης κατά περίπου 25%. Αυτό έχει προκαλέσει πανικό που θα μπορούσε να είναι δυνατή η περαιτέρω αύξηση της αποτελεσματικότητας της επίθεσης.

Πρόκειται για μια τεράστια ανησυχία, διότι το ελάττωμα υπήρξε εδώ και πέντε χρόνια (η βιβλιοθήκη κώδικα αναπτύχθηκε από τη γερμανική τσιμεντοποιία Infineon και κυκλοφόρησε το αργότερο το 2012). Επιπλέον, τα εν λόγω κρυπτογραφικά κλειδιά χρησιμοποιούνται επί του παρόντος από δύο διεθνώς αναγνωρισμένα πρότυπα πιστοποίησης ασφαλείας.

Άμεση ανησυχία

Οι νέες αποκαλύψεις ανάγκασαν την Εσθονία όχι μόνο να κλείσει την πρόσβαση στη βάση δεδομένων της (η οποία περιέχει δημόσια κλειδιά) αλλά και να αναστείλει τη χρήση τυχόν ταυτότητας που κυκλοφόρησε από το 2014. Επιπλέον, σημαίνει ότι smart-cards όπως το IDPrime.NET της Gemalto - που χρησιμοποιείται για την παροχή ελέγχου ταυτότητας δύο παραγόντων στους υπαλλήλους της Microsoft και σε πολλές άλλες επιχειρήσεις - μπορεί να είναι πιο ευάλωτη από ό, τι είχε αρχικά θεωρηθεί.

Η αρχική έκθεση, που δημοσιεύτηκε από ερευνητές, συμπεριλαμβανομένου του Petr Svenda, ενεργού μέλους του Κέντρου Έρευνας για την κρυπτογραφία και την ασφάλεια, σκόπιμα παραλείπει συγκεκριμένες παραμέτρους της επίθεσης παραγοντοποίησης. Ήταν ελπίδα ότι αυτό θα αυξήσει το χρόνο που απαιτείται για χάκερ στην άγρια ​​φύση για να σπάσει την ευπάθεια.

Η νέα έρευνα που δημοσιεύτηκε από τους Bernstein και Lange, ωστόσο, δείχνει ότι οι ερευνητές ήδη καταφέρνουν να βελτιώσουν την αρχική επίθεση. Αυτό δημιουργεί τεράστια αβεβαιότητα και εγείρει την ανησυχία ότι οι χάκερ και οι εγκληματίες του κυβερνοχώρου θα μπορούσαν επίσης να καταστραφούν την κρυπτογράφηση.

Οι Bernstein και Lange πιστεύουν ότι μπορεί να είναι δυνατή η χρήση γρήγορων καρτών γραφικών για να μειωθεί το κόστος της ράγισσης του κλειδιού 2048-bit σε μόλις $ 2.000. Πρόκειται για ένα πολύ μικρότερο ποσό από το αρχικά αναφερόμενο ποσό των 20.000 δολαρίων. Ο Dan Cvrcek, διευθύνων σύμβουλος της γέφυρας Enigma (μιας από τις επιχειρήσεις που συνέβαλαν στην πραγματοποίηση της αρχικής έρευνας), έχει επίσης εκφράσει τις ανησυχίες του. Πιστεύει ότι είναι πολύ πιο γρήγορες και λιγότερο ακριβές επιθέσεις από αυτές που δημοσιεύθηκαν για πρώτη φορά:

Η εντύπωση μου είναι ότι οι εκτιμήσεις χρόνου και κόστους που αναφέρονται στην αρχική έρευνα ήταν αρκετά συντηρητικές. Δεν είμαι σίγουρος αν κάποιος μπορεί να μειώσει το κόστος ενός κλειδιού κάτω από $ 1.000 από σήμερα, αλλά σίγουρα το βλέπω σαν πιθανότητα.

Στην έρευνά τους, οι Bernstein και Lange αναφέρουν επίσης ότι άλλες ειδικές τεχνολογίες (που είναι καλά εξοπλισμένες για να χειριστούν το μαθηματικό έργο μιας επίθεσης παραγοντοποίησης) θα μπορούσαν επίσης να χρησιμοποιηθούν από τους επιτιθέμενους για να μειώσουν το κόστος και το χρόνο που συνεπάγεται μια επίθεση. Μεταξύ αυτών, οι ερευνητές πρότειναν να χρησιμοποιηθούν "ειδικά ηλεκτρονικά εργαλεία, ενδεχομένως εξοπλισμένα με GPU, προγραμματιζόμενες σειρές πύλης και εφαρμογές ολοκληρωμένων κυκλωμάτων".

Ποιος επηρεάζεται?

Παρόλο που μόνο η Εσθονία έχει αναστείλει μέχρι στιγμής τη χρήση των δελτίων ταυτότητάς της, πιστεύεται ότι ενδέχεται να επηρεαστούν και άλλα έθνη, συμπεριλαμβανομένης της Σλοβακίας. Στην πραγματικότητα, η Ars Technica έχει λάβει αναφορές ότι μπορεί να επηρεαστεί και η ταυτότητα ενός ευρωπαϊκού έθνους. Προς το παρόν, ωστόσο, ο Ars δεν έχει αποκαλύψει ποια χώρα είναι.

Όσον αφορά τους ιδιωτικούς οργανισμούς, πιστεύεται ότι τα δελτία ταυτότητας εκατομμυρίων (αν όχι εκατοντάδων εκατομμυρίων) εργαζομένων ενδέχεται να επηρεαστούν από αυτό το ελάττωμα. Αυτό περιλαμβάνει την ασφάλεια στις κορυφαίες τράπεζες και άλλες τεράστιες διεθνείς εταιρείες, οι οποίες θα μπορούσαν να είναι ευάλωτες για οτιδήποτε μεταξύ πέντε και δέκα ετών.

Όσον αφορά την πιθανότητα ότι το ελάττωμα αυτό θα μπορούσε να χρησιμοποιηθεί για να μεταβάλει σημαντικά το αποτέλεσμα των εκλογών, αυτό παραμένει οριστικά αποδεδειγμένο. Η πραγματικότητα, ωστόσο, είναι ότι σε σύντομες εκλογές μπορεί να χρειαστεί να χαράξουμε μόνο ένα μικρό ποσοστό των ψηφοφόρων (ίσως μόνο το 5%), προκειμένου να προχωρήσουμε σε εκλογές με τον άλλο τρόπο. Αν καταστεί δυνατή η ταχύτερη και φθηνότερη επίθεση του ROCA, αυτό μπορεί να αποτελέσει πραγματική ανησυχία.

Οι απόψεις είναι οι δικές του συγγραφείς.

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me