Уязвимость в RSA-сертификатах подвергает их риску атак

Уязвимость в RSA-сертификатах подвергает их риску атак

Из 175 млн проанализированных RSA-сертификатов более 435 тыс. уязвимы к атакам.

image

На международной конференции IEEE TPS (Trust, Privacy and Security) в Лос-Анджелесе, штат Калифорния, группа исследователей из Keyfactor представила результаты исследования безопасности цифровых сертификатов.

RSA-сертификаты используют криптографические алгоритмы для шифрования данных и защиты информации, передаваемой с устройств или служб на серверы. Они используются для защиты интернет-трафика и программного обеспечения, а также данных, генерируемых IoT-устройствами и медицинским оборудованием.

Эксперты рассказали о том, как можно взломать RSA-ключи с «минимальными вычислительными ресурсами», сообщило ZDNet со ссылкой на документ.

Команда использовала базу данных, включающую 75 млн активных RSA-ключей и позже дополненную 100 млн сертификатами, которые стали доступны в системе регистрации и мониторинга выдачи TLS-сертификатов Certificate Transparency (CT). Собранные данные были проанализированы с использованием алгоритма и виртуальной машины Microsoft Azure с целью выявить общие факторы при генерации случайных чисел. Из 175 млн сертификатов более 435 тыс. имеют общий фактор, позволяющий повторно получать закрытые ключи.

Как сообщили эксперты, обнаружение подобных «основных факторов» может быть использовано для компрометации сертификатов, ставя под угрозу безопасность устройств.

В ходе эксперимента атакующий с восстановленным закрытым ключом для SSL/TLS-сертификатов может выдавать себя за данный сервер, когда устройства попытаются подключиться. Подключившийся пользователь или устройство не сможет отличить злоумышленника от легитимного владельца сертификата, позволяя преступнику осуществить атаку или похитить конфиденциальные данные.

По словам специалистов, проблема затрагивает IoT-устройства и устройства с низким уровнем энтропии из-за аппаратных ограничений.

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и Яндекс.ДзенЯндекс.Дзен, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.