Artikel top billede

Krypteringssystem bag banker og e-butikker knækket

Forskere har ikke haft de store problemer med at knække et særdeles udbredt krypteringssystem, der anvendes af banker, e-butikker og mange andre til følsomme net-transaktioner.

Computerworld News Service: En online krypteringsmetode, der er almindelig brugt til beskyttelse af banker, e-mail, e-handel og andre følsomme internettransaktioner, er ikke så sikker som først antaget, konkluderer en ny rapport, der skrevet af en række amerikanske og europæiske kryptoanalytikere.

Forskerne har gennemgået millioner af offentlige nøgler, der bliver brugt af hjemmesider til at kryptere online transaktioner.

De har dermed fundet frem til betydeligt antal nøgler, der er sårbare over for kompromittering.

Tal er ikke tilfældige

I de fleste tilfælde havde problemet at gøre med den måde, hvormed nøglerne er blevet genererede, fortæller forskerne.

De tal, der bliver tildelt nøglen, er ikke altid så tilfældige, som de burde være, viste undersøgelsen.

Holdet konkluderer derfor, at angribere kan bruge de offentlige nøgler til at gætte de tilhørende private nøgler, som anvendes til at kryptere data - et scenarium der tidligere er anset for umuligt.

"Der er tale om en meget alvorlig kryptografisk sårbarhed forårsaget af brugen af utilstrækkeligt tilfældige talrækker i genereringen af private nøgler" til HTTPS, SSL og TSL-servere, siger Peter Eckersly, der er senior teknolog hos Electronic Frontier Foundation (EFF). EFF har bidraget med data til undersøgelsen.

"Vi arbejder i døgndrift med at få informeret de parter, hvis nøgler er sårbare, og de [certificeringsorganer], der har udstedt certificeringen af dem, så vi kan få skabt nye nøgler og få tilbagekaldt de sårbare certificeringer," fortæller han.

Undersøgelsen skulle oprindeligt først have været offentliggjort senere i år, men indholdet blev offentligt kendt i forbindelse med en artikel i New York Times i tirsdags.

Kryptering med offentlige nøgler et det grundlæggende krypteringssystem, der bliver brugt til at beskytte internettransaktioner.

Metoden kræver en offentlig nøgle til kryptering og en privat nøgle til dekryptering.

Når en bruger for eksempel logger på netbank eller på en sikker e-handelsside, så vil transaktionen være beskyttet af hjemmesidens offentlige nøgle.

Data kan kun dekrypteres af hjemmesidens ejer ved hjælp af den korresponderende private nøgle.

De offentlige nøgler er typisk indlejrede i digitale certifikater udsted af såkaldte certificeringsorganer.

Sådan er de hemmelige nøgler tilgængelige for alle

I teorien er det umuligt at gætte en privat nøgle, og ingen to nøglepar er nogensinde ens.

I praksis er det dog ikke alle nøgler, der er sikre, konkluderer James Hughes, der er uafhængig kryptograf fra USA, Arjen Lenstra, der er professor ved Ecole Polytechnique Federale de Lausanne i Schweitz, Maxime Augier, der er ph.d.-studerende, og tre andre forskere.

Forskerne har analyseret 6,6 millioner offentlige nøgler skabt ved hjælp af RSA-algoritmen og fandt ud af, at 12.720 slet ikke var sikre, mens 27.000 andre var sårbare.

"De hemmelige nøgler er tilgængelige for alle, der gider gøre det samme arbejde som os. Hvis man kan få adgang til samlingen af offentlige nøgler, så er det en noget nemmere metode set i forhold til de traditionelle måder at opnå adgang til hemmelige RSA-nøgler," skriver forskerne.

Fundet i offentlige databaser

De nøgler, som forskerne har undersøgt, er blevet indsamlet fra forskellige offentlige databaser.

Peter Eckersly fortæller, at hackerne relativt nemt kan udnytte sårbarheden ved at samle en tilsvarende database over offentlige nøgler og replikere forskernes arbejde med at identificere de sårbare nøgler.

Bruce Schneider, der er en anerkendt kryptograf og forfatter til krypteringsalgoritmen Blowfish, siger, at selv om resultaterne af undersøgelsen er markante, så er der stadig brug for mere viden for at forstå problemet fuldt ud.

"Problemet ligger i tildelingen af de tilfældige numre, men [rapporten] kommer ikke ind på, hvor problemet er opstået," siger han.

Det svarer til at fortælle, at der er 10.000 mennesker med ubrugelige låse på dørene - uden at fortælle hvem låsene tilhører, eller hvor de er henne i verden, siger han.

Det problem med de tilfældige numre, som er blevet identificeret i undersøgelsen, kan være opstået ved et uheld eller skabt med vilje af en person, der har været ude på at snage i krypteret kommunikation, tilføjer han.

Oversat af Marie Dyekjær Eriksen




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Konica Minolta Business Solutions Denmark A/S
Salg af kopimaskiner, digitale produktionssystemer og it-services.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Computerworld Summit 2021

En moderne digital vindervirksomhed bringer nye teknologier i spil, skaber digital innovation, udnytter data som styringsværktøj og ser verden som én stor markedsplads. Men succes kræver, at du ved, hvor den dyre teknologi kan gøre den største forskel i forretningen. Den kræver, at du ved i hvilken retning den øgede politiske regulering af teknologi og data bevæger sig hen. Og den succes kræver, at du kan udnytte teknologien til at automatisere og skalere til gavn for bundlinjen og budgettet.

26. oktober 2021 | Læs mere


CIO Trends 2021: Sådan ser teknologiradaren ud hos Danmarks bedste CIOs

Teknologien i virksomheder spiller i den grad en større og større rolle, hvor vi er nødt til at stille endnu større krav til, hvordan vi udnytter den, og hvilke muligheder den giver. Spørgsmålet er dog, hvordan man formår at lede en virksomhed, der konstant skal forholde sig til teknologiens forandringer.

16. november 2021 | Læs mere


How to Sikkerhed: Awareness, email fraud og phishing

Man kan aldrig vide sig sikker, for uanset hvor godt man sikrer sig mod hackerangreb og anden svindel, vil hacker næsten altid være et skridt foran. De går efter organisationernes svageste led i håbet om at kunne snyde sig til data, penge eller andet værdifuldt. Få derfor konkrete bud på, hvordan du kan gribe opgaven an og understøtte et effektivt awareness-niveau i din organisation med enkel, men velfungerende, teknologi.

17. november 2021 | Læs mere