Poniedziałek, 8 marca 2010, 10:26
Poważny błąd w OpenSSL
Eksperci odkryli niezwykle groźną dziurę w OpenSSL - najpopularniejszym pakiecie kryptograficznym. Problem jest o tyle poważny, że opensource'owy pakiet jest wykorzystywany przez olbrzymią liczbę oprogramowania i wiele systemów operacyjnych.Naukowcy z University of Michigan, którzy odkryli dziurę, pracują właśnie nad stworzeniem dla niej łaty.
Uczeni wykazali, że wywołując niewielkie zaburzenia w źródle zasilania urządzenia podczas przetwarzania przezeń prywatnego klucza szyfrującego można odgadnąć jego fragmenty. W ten sposób wystarczy niewiele ponad 100 godzin, by uzyskać cały 1024-bitowy klucz szyfrujący.
- To nie tyle zagrożenie dla systemów serwerowych, co dla urządzeń konsumenckich. Dziurę można będzie wykorzystać gdy będziemy chcieli zaatakować np. odtwarzacz Blu-ray - mówi Todd Austin, jeden uczonych, którzy znaleźli dziurę. Dodaje, że atak jest możliwy, gdy np. pożyczymy komuś odtwarzacz. Napastnik może wówczas zdobyć prywatny klucz szyfrujący chroniący własność intelektualną.
Znacznie trudniej będzie zaatakować serwery, co nie oznacza, że jest to niemożliwe. Gdy maszyna zacznie się przegrzewać, bądź doświadczy jakichś wahań napięcia, możliwe będzie zdobycie kluczy kryptograficznych.
Uczeni z Michigan manipulowali napięciem procesora, wywołując błędy podczas mnożenia. Dzięki temu, że podczas takich operacji wykorzystywany jest algorytm Fixed Windows Exponentation, możliwe jest wykorzystanie błędów do odgadnięcia czterech bitów. Podczas eksperymentu wykorzystano aż 8800 błędnych podpisów i klaster 81 pecetów z 2,4-gigahercowymi procesorami Pentium 4. Odgadniecie 1024-bitowego klucza zajęło im 104 godziny.
Badacze mówią, że podobną technikę ataku można wykorzystać przeciwko wielu innym bibliotekom kryptograficznym.
Mariusz Błoński
Wersja do druku
Podobne tematy
Amerykańska Narodowa Agencja Bezpieczeństwa (NSA) odkryła w Windows 10 poważny błąd
, 19.01.2020 r.
Androida czeka pierwszy poważny test?
, 12.01.2011 r.
Sirius.pl ma poważny kłopot?
, 27.01.2009 r.
VIA będzie poważnym graczem?
, 17.05.2008 r.Starsze
Top 10 telefonów komórkowych - luty 2010, 13:17
IBM: Bliżej eksaflopsa, 15:52
Nowsze
Poniżej 4 litrów na 100 km, 18:27
Kropki kwantowe czytają spin, 18:28
Redakcja nie ponosi odpowiedzialności za wypowiedzi Internautów opublikowane na stronach serwisu oraz zastrzega sobie prawo do redagowania, skracania bądź usuwania komentarzy zawierających treści zabronione przez prawo, uznawane za obraźliwie lub naruszające zasady współżycia społecznego.
Brak komentarzy. Może warto dodać swój własny?
Copyright © 2002-2024 | Prywatność | Load: 1.66 | SQL: 14 | Uptime: 84 days, 12:12 h:m |
Wszelkie uwagi prosimy zgłaszać pod adresem eddy@heh.pl