RSA SecurID взломали за 13 минут

image

Теги: взлом, криптография

Обнаруженная исследователями уязвимость позволяет скомпрометировать криптографические устройства, работающие на основе стандарта PKCS#11.

Исследователи Ромен Бардоу (Romain Bardou), Лоренцо Симионато (Lorenzo Simionato), Грэм Стил (Graham Steel), Джо-Кай Цай (Joe-Kai Tsay), Риккардо Фокарди (Riccardo Focardi) и Юсуке Кавамото (Yusuke Kawamoto) опубликовали свой доклад «Efficient padding oracle attacks on cryptographic hardware», в котором описали уязвимость, позволяющую раскрывать импортированные ключи из различных криптографических устройств, которые работают на основе стандарта PKCS#11.

Данный стандарт используется среди прочего и в токенах RSA SecurID от компании EMC, являющейся одним из крупнейших производителей в данной сфере. Крупные корпорации, государственные учреждения и малый бизнес приобретают эти брелоки для своих сотрудников, чтобы они могли безопасно проходить авторизацию на своих системах.

Экспертам удалось разработать метод взлома, требующий всего 13 минут для компрометации криптографического устройства. Представитель EMC Кевин Кемпски (Kevin Kempskie), в свою очередь, прокомментировал отчет, заявив, что их собственные эксперты изучили его, что бы проверить «является ли данное исследование правдивым».

По словам Кемпски, исследователям удалось сократить среднестатистическое количество запросов, необходимых для взлома 1024-битного ключа с 215 тысяч до 9,4 тысяч. Данная статистика, по мнению представителя EMC, свидетельствует о том, что эта атака «достаточно эффективна, чтобы быть практичной».

Группа исследователей также отметила, что их метод взлома применим к таким продуктам как Aladdin eTokenPro, Siemens CardOS и Gemalto CyberFlex. Кроме того, аналогичная уязвимость содержится в эстонских идентификационных смарт-картах, которые сопоставимы с паспортом.

Ознакомиться с отчетом исследователей можно  здесь .  

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

comments powered by Disqus