Исследователи взломали систему шифрования банковских транзакций

По результатам исследования стало очевидно, что многие из открытых ключей не предоставляют надежную защиту онлайн-транзакций.

Согласно докладу, подготовленному совместно европейскими и американскими исследователями, метод онлайн шифрования, пользующийся популярностью у таких сервисов как электронная коммерция, интернет-банкинг и электронная почта, не настолько безопасен, как предполагается.

Исследователи протестировали несколько миллионов открытых ключей, которые используются web-сайтами для шифрования онлайн-транзакций, и обнаружили, что множество из них легко скомпрометировать. В большинстве случаев уязвимость заключалась в том, что числа, используемые в ключах, создавались предсказуемым образом. Используя эту особенность, ученые могли угадать закрытый ключ.

«Это очень серьезная криптографическая ошибка. Обнаруженная уязвимость вызвана тем, что при генерации закрытых ключей для HTTPS, SSL и TSL серверов числа создаются не случайным образом», - пояснил исследователь Питер Экерсли (Peter Eckersley) из Electronic Frontier Foundation. Ученый также отметил, что группа проинформировала центры сертификации и прочие организации, использующие уязвимые ключи.

В своих тестах исследователи использовали 6,6 миллионов открытых ключей, сгенерированных при помощи алгоритма RSA. Из них 12,720 были совершенно не защищены и еще 27 тысяч были уязвимы.

Экерсли также подчеркнул, что злоумышленники могут относительно легко собрать базу данных открытых ключей, аналогичную той, что сделали исследователи, и определить, какие ключи уязвимы.

Более подробно ознакомиться с докладом исследователей можно  здесь