Computerworld News Service: En online krypteringsmetode, der er almindelig brugt til beskyttelse af banker, e-mail, e-handel og andre følsomme internettransaktioner, er ikke så sikker som først antaget, konkluderer en ny rapport, der skrevet af en række amerikanske og europæiske kryptoanalytikere.
Forskerne har gennemgået millioner af offentlige nøgler, der bliver brugt af hjemmesider til at kryptere online transaktioner.
De har dermed fundet frem til betydeligt antal nøgler, der er sårbare over for kompromittering.
Tal er ikke tilfældige
I de fleste tilfælde havde problemet at gøre med den måde, hvormed nøglerne er blevet genererede, fortæller forskerne.
De tal, der bliver tildelt nøglen, er ikke altid så tilfældige, som de burde være, viste undersøgelsen.
Holdet konkluderer derfor, at angribere kan bruge de offentlige nøgler til at gætte de tilhørende private nøgler, som anvendes til at kryptere data - et scenarium der tidligere er anset for umuligt.
"Der er tale om en meget alvorlig kryptografisk sårbarhed forårsaget af brugen af utilstrækkeligt tilfældige talrækker i genereringen af private nøgler" til HTTPS, SSL og TSL-servere, siger Peter Eckersly, der er senior teknolog hos Electronic Frontier Foundation (EFF). EFF har bidraget med data til undersøgelsen.
"Vi arbejder i døgndrift med at få informeret de parter, hvis nøgler er sårbare, og de [certificeringsorganer], der har udstedt certificeringen af dem, så vi kan få skabt nye nøgler og få tilbagekaldt de sårbare certificeringer," fortæller han.
Undersøgelsen skulle oprindeligt først have været offentliggjort senere i år, men indholdet blev offentligt kendt i forbindelse med en artikel i New York Times i tirsdags.
Kryptering med offentlige nøgler et det grundlæggende krypteringssystem, der bliver brugt til at beskytte internettransaktioner.
Metoden kræver en offentlig nøgle til kryptering og en privat nøgle til dekryptering.
Når en bruger for eksempel logger på netbank eller på en sikker e-handelsside, så vil transaktionen være beskyttet af hjemmesidens offentlige nøgle.
Data kan kun dekrypteres af hjemmesidens ejer ved hjælp af den korresponderende private nøgle.
De offentlige nøgler er typisk indlejrede i digitale certifikater udsted af såkaldte certificeringsorganer.
Sådan er de hemmelige nøgler tilgængelige for alle
I teorien er det umuligt at gætte en privat nøgle, og ingen to nøglepar er nogensinde ens.
I praksis er det dog ikke alle nøgler, der er sikre, konkluderer James Hughes, der er uafhængig kryptograf fra USA, Arjen Lenstra, der er professor ved Ecole Polytechnique Federale de Lausanne i Schweitz, Maxime Augier, der er ph.d.-studerende, og tre andre forskere.
Forskerne har analyseret 6,6 millioner offentlige nøgler skabt ved hjælp af RSA-algoritmen og fandt ud af, at 12.720 slet ikke var sikre, mens 27.000 andre var sårbare.
"De hemmelige nøgler er tilgængelige for alle, der gider gøre det samme arbejde som os. Hvis man kan få adgang til samlingen af offentlige nøgler, så er det en noget nemmere metode set i forhold til de traditionelle måder at opnå adgang til hemmelige RSA-nøgler," skriver forskerne.
Fundet i offentlige databaser
De nøgler, som forskerne har undersøgt, er blevet indsamlet fra forskellige offentlige databaser.
Peter Eckersly fortæller, at hackerne relativt nemt kan udnytte sårbarheden ved at samle en tilsvarende database over offentlige nøgler og replikere forskernes arbejde med at identificere de sårbare nøgler.
Bruce Schneider, der er en anerkendt kryptograf og forfatter til krypteringsalgoritmen Blowfish, siger, at selv om resultaterne af undersøgelsen er markante, så er der stadig brug for mere viden for at forstå problemet fuldt ud.
"Problemet ligger i tildelingen af de tilfældige numre, men [rapporten] kommer ikke ind på, hvor problemet er opstået," siger han.
Det svarer til at fortælle, at der er 10.000 mennesker med ubrugelige låse på dørene - uden at fortælle hvem låsene tilhører, eller hvor de er henne i verden, siger han.
Det problem med de tilfældige numre, som er blevet identificeret i undersøgelsen, kan være opstået ved et uheld eller skabt med vilje af en person, der har været ude på at snage i krypteret kommunikation, tilføjer han.
Oversat af Marie Dyekjær Eriksen