Дослідники зламали систему шифрування банківських транзакцій

admin Новини ІТ-безпеки

Дослідники зламали систему шифрування банківських транзакційЗа результатами дослідження стало очевидно, що багато з відкритих ключів не забезпечують належний захист онлайн-транзакцій.

Згідно з доповіддю, підготовленою спільно європейськими та американськими дослідниками, метод онлайн шифрування, що користується популярністю у таких сервісів як електронна комерція, інтернет-банкінг та електронна пошта, не настільки безпечний, як передбачається.

Дослідники протестували кілька мільйонів відкритих ключів, які використовуються web-сайтами для шифрування онлайн-транзакцій, і виявили, що багато з них легко скомпрометувати. У більшості випадків вразливість полягала в тому, що числа, використовувані в ключах, створювалися передбачуваним чином. Використовуючи цю особливість, вчені могли вгадати закритий ключ.

«Це дуже серйозна криптографічний помилка. Виявлений недолік безпеки технології викликаний тим, що при генерації закритих ключів для HTTPS, SSL і TSL серверів числа створюються не випадковим чином», - пояснив дослідник Пітер Екерслі (Peter Eckersley) з Electronic Frontier Foundation. Учений також відзначив, що група поінформувала центри сертифікації та інші організації, які використовують уразливі ключі.

У своїх тестах дослідники використовували 6600000 відкритих ключів, згенерованих за допомогою алгоритму RSA. З них 12,720 були абсолютно не захищені і ще 27 000 були уразливі.

Екерслі також підкреслив, що зловмисники можуть відносно легко зібрати базу даних відкритих ключів, аналогічну тій, що зробили дослідники, і визначити, які ключі вразливі.