compiling.ru

Новая уязвимость в OpenSSL уничтожает всю безопасность ключей шифрования

Ученые говорят, что нашли «серьезную уязвимость» в одном из самых распространенных программных пакетов для шифрования, которая позволяет получить секретный ключ.

Ученые университета обнаружили, что они могут вычислить отдельные части ключа, внося небольшие искажения в блок питания устройства так, будто бы обрабатывалось защищенное сообщение. В течении чуть больше, чем 100 часов, они смогли вызвать у устройства достаточно «кратковременных ошибок», чтобы собрать полный 1024-битный ключ.

Эта атака удалась из-за того, что ученные описали как «серьезная уязвимость» внутренних деталей OpenSSL, которые проходят проверку, основанную на алгоритмах открытого RSA-ключа. Она находится в так называемом экспоненциальном алгоритме фиксированного окна открытой библиотеки, которое она использует при возникновении ошибки. Инициируя однобитные ошибки в операции умножения, ученные принудили OpenSSL выдавать по 4 бита секретного ключа.

Собрав около 8800 сообщений, они внесли данные в кластер, состоящий из 81 машины на базе процессоров Pentium 4 с частотой 2,4 ГГц, работающий по специально разработанному алгоритму. Они применили эту технологию к встроенному устройству на базе процессора Sparc, работающему под Linux и смогли извлечь 1024-битный ключ за 104 часа.

http://www.theregister.co.uk/2010/03/04/severe_openssl_vulnerability/

Popularity: 1%

Похожие посты: