Разработанный британским правительством криптографический протокол содержит уязвимость

image

Теги: ЦПС, уязвимость, шифрование, протокол

Поскольку закрытые ключи обрабатываются на центральном сервере, к ним могут получить доступ злоумышленники.

Разработанный и продвигаемый правительством Великобритании криптографический протокол для зашифрованных голосовых звонков содержит уязвимости, позволяющие третьей стороне расшифровывать данные и осуществлять массовую слежку за пользователями.

Как выяснилось в результате анализа, проведенного экспертом Университетского колледжа Лондона Стивеном Мердоком (Steven Murdoch), протокол MIKEY-SAKKE (Multimedia Internet KEYing-Sakai-KasaharaKey Encryption) предполагает хранение мастер-ключа шифрования у одного центрального органа. Поскольку ключи обрабатываются на центральном сервере, к ним потенциально могут получить доступ злоумышленники.

Проблема заключается в процессе генерирования ключей. «Сквозное шифрование предполагает, что для каждого лица генерируется персональный закрытый ключ, и расшифровать разговор можно только с его помощью. С MIKEY-SAKKE закрытый ключ для каждого пользователя создается центральным сетевым провайдером, который может расшифровать разговор», - сообщил Мердок изданию Motherboard.

Эксперт пришел к данному выводу на основании широко доступной документации, опубликованной Центром правительственной связи Великобритании (ЦПС). Однако в документах не уточняется, кто является «центральным сетевым провайдером» и может расшифровывать голосовые звонки. По мнению Мердока, расшифровкой правительственных коммуникаций, скорее всего, будет заниматься ЦПС или подконтрольные ему органы. Возможность расшифровки корпоративной информации наверняка есть у компаний или, опять же таки, у ЦПС.

Поскольку ключи сохраняются централизованно, существует большая вероятность хакерских атак и использования расшифрованной информации для запугивания компаниями своих сотрудников. Попавший в руки злоумышленников ключ позволяет расшифровать все предыдущие коммуникации.

На момент написания новости веб-страница с исследованием Мердока была удалена (можно найти в кэше Google).

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.