Алгоритмы шифрования надежны только в теории — HackZona.Ru

Алгоритмы шифрования надежны только в теории

Алгоритмы шифрования надежны только в теории

Тип статьи:
Со старой ХакЗоны.
Источник:
Два выдающихся израильских криптографа повергли в шок специалистов по
защите информации, заявив, что они нашли способ извлечь криптографические
ключи DES из ПК и смарт-карт.
Ади Шамир, один из трех авторов разработки методологии шифрования с
открытыми ключами, и Эли Бихам утверждают, что они могут получить даже
168-разрядный секретный ключ Triple-DES. Криптографы использовали нагревание
или излучение для изменения битовой последовательности ключа. Затем, применив
методику под названием Differential Fault Analysis (DFA), они сравнивали
шифрованный вывод с поврежденной и неповрежденной карт для поиска ключа.

56-разрядный стандарт DES одобрен правительством США для использования
в банковской сфере и широко реализован в программных и аппаратных продуктах.
Эксперты по защите информации считают, что открытие Шамира и Бихама поставило
под сомнение возможность использования смарт-карт с шифрованием, в особенности
для электронных расчетов. Получив криптографический ключ, мошенники могут
снять всю наличность с карты.

Эксперты добавляют также, что организации, использующие DES, с целью
предотвращения DFA-атак должны будут закрыть посторонним физический доступ
к устройствам шифрования DES.

На конференции National Information and Security Systems ведущие криптографы
замечали, что они были потрясены тем, насколько, оказывается, уязвимы криптосистемы.

«Это очень важный вопрос, — сказал Питер Нейманн, главный эксперт в
консалтинговой компании SRI International. Он сообщил, что несколько недель
назад при помощи аналогичного метода ученые из Bellcore взломали защиту
смарт-карты с шифрованием по методу открытых ключей RSA, и добавил, что
такая технология взлома, вполне вероятно, вскоре пополнит арсенал хакеров.
Смарт-карты с микропроцессорами для хранения персональных данных и электронной
наличности весьма популярны, особенно в Европе. Вильям Каелли, профессор
Квинсландского технологического университета, полагает, что к 1998 году
будет использоваться свыше 200 млн. карт.

Каелли утверждает, что некоторые изготовители карт, например Siemens
Gmbh, подходят к производству этого продукта очень ответственно. Однако
на рынке большинство карт настолько плохи, что мошенники со считывателем
смарт-карт ценой 180 долларов и компьютером могут без труда записать процесс
шифрования.

Стив Велловин, ученый из AT&T Laboratories, считает, что открытие
Bellcore и Шамира-Бихама будет иметь серьезные последствия для разработок
в области смарт-карт и электронной наличности.

Белловин добавляет, что в конечном счете это открытие позволяет нам
лучше понять уязвимые места устройств шифрования данных, используемых в
банках и других организациях для передачи больших объемов информации.

Однако криптографам давно известно, что реальная сила алгоритма шифрования,
вне зависимости от того, насколько он мощный в теории, опеределяется надежностью
реализации программного и аппаратного обеспечения.

»Оборудование необходимо постоянно проверять на наличие слабых мест",
— говорит Уитфилд Диффи, инженер из Sun Microsystems, который изобрел систему
обмена ключами Диффи-Хелманна. Это открытие сделало его одним из отцов-основателей
криптографии.

Например, 40-разрядный ключ может быть легко найден при помощи так называемого
метода грубой силы, то есть прямого перебора на комьпютере в поисках ключа.
Несколько месяцев назад Netscape Communications подверглась публичному
унижению — студенты из Беркли без труда взломали систему шифрования Navigator.
Это стало возможным из-за неудачного выбора генератора случайных чисел.
Netscape немедленно исправила выявленный недостаток.

Одна компания — Access Data — зарабатывает себе на жизнь тем, что взламывает
системы шифрования по заказу следственных органов и корпораций.

По словам президента Access Data Эрика Томпсона, его компания взломала
90% систем шифрования в проверяемых ею коммерческих программах шифрования
от Microsoft, Borland International и IBM, в частности посредством атаки
на используемые программами системы паролей.
Нравится
Не нравится

Комментарии

Нет комментариев. Ваш будет первым!