Kriptografi upozoravaju: Mnogi javni ključevi ne garantuju bezbednost

Vesti, 17.02.2012, 01:15 AM

Prema tvrdnjama tima evropskih i američkih istraživača koje je predvodio EFF (Electronic Frontier Foundation), enkripcija koja se koristi za zaštitu online bankarskih transakcija, elektronske trgovine, emailova i drugih poverljvih podataka nije sigurna kako se verovalo. Istraživanje je trebalo da bude objavljeno kasnije ove godine ali je Njujork Tajms ovu priču objavio ove nedelje.

Istraživači su pregledali milione javnih ključeva koje koriste veb sajtovi za enkripciju online transakcija i otkrili da mali ali ne i beznačajni broj njih može biti kompromitovan. U većini slučajeva problem je u načinu na koji su ovi ključevi generisani. Brojevi koji su povezani sa ovim ključevima nisu uvek nasumični kao što bi trebalo, pokazalo je istraživanje. Tako bi se moglo dogoditi da napadači koriste javne ključeve da bi pretpostavili odgovarajuće privatne ključeve koji se koriste za dekripciju podataka.

Radi se dakle o veoma ozbiljnoj kriptografskoj ranjivosti čiji razlog leži u nedovoljnoj nasumičnosti izabranih brojeva prilikom generisanja privatnih ključeva za HTTPS, SSL i TSL servere.

Sada istraživački tim obaveštava one čiji su ključevi ranjivi kao i sertfikacione organe koji izdaju sertifikate za njih da moraju generisati nove ključeve i da sporni sertifikati moraju biti povučeni.

Kriptografija javnog ključa je sistem enkripcije koji se koristi za zaštitu transakcija na internetu. On uključuje javni ključ za enkripciju podataka koji je povezan sa privatnim ključem za dekripciju.

Primera radi, kada se korisnik prijavljuje na sajt banke transakcije su šifrovane javnim ključem. Podaci mogu biti dešifrovani samo uz pomoć odgovarajućeg privatnog ključa koji ima vlasnik sajta.

Javni ključevi su obično deo digitalnih sertifikata koje objavljuju sertifikaciona tela za digitalne sertifikate. Do sada se verovalo da je nemoguće pretpostaviti privatni ključ i da ne postoje dva para javnih i privatnih ključeva koja su ista.

Otkriće tima stručnjaka za kriptografiju je uzdrmalo ovu pretpostavku. Od 6,6 miliona javnih ključeva koje su pregledali istraživači, generisanih uz pomoć RSA algoritma, 12,720 njih nisu sigurni uopšte a 27000 su ranjivi. Ključevi koje su pregledali istraživači prikupljeni su iz nekoliko javnih baza podataka.

Komentarišući otkriće poznati kriptograf Brus Šnajer kaže za Computer World da je ono značajno ali da je potrebno više informacija o tome. “To je kao kad kažete da 10000 ljudi ima loše brave ali ne pružite podatke o tome kome pripadaju te brave ili gde se nalaze,” kaže Šnajer.