Уязвимость в эстонских ID-картах, о которых TechLife подробно писал, неожиданно стала касаться не только Эстонии, но вообще всего мира.
Из описания дыры в библиотеке RSA Library v1.02.013 (PDF) немецкой компании Infineon явствует, что, (как мы и верно предположили ранее, еще не имея всей информации) дыра в эстонских ID-картах теоретически позволяет "реконструировать" закрытую часть ключа шифрования, имея лишь его публичную часть. Фактически это — в теории! — позволяет украсть цифровую личность человека и совершать от его имени сделки, переводить деньги и голосовать на выборах. Точнее, позволяЛА — Эстония, к ее чести, уже предприняла ряд шагов для того, чтобы закрыть уязвимость.
Дыру в RSA в версии Infineon обнаружили словацкие и чешские исследователи из Масарикова университета (Чехия), института Enigma Bridge в Кембридже (Великобритания) и университет Ка' Фоскари (Италия). Во всех подробностях они представят ее на конференции ACM 2 ноября, пока же детали можно почерпнуть из описания самих авторов в их блоге, а также статьи в ArsTechnica.
Помимо эстонских ID-карт проблема касается аналогичного решения в Словакии, а также сотен миллионов различных устройств на разных платформах, включая PGP-шифрование электронной почты, и продуктов Microsoft и Google на базе TPM.
Поскольку дыра в разработке Infineon присутствует с 2012 года, и она все эти годы активно продавала свое решение самых разным поставщикам, постольку проблема носит действительно массовый характер. Все, что могут сделать простые пользователи — ждать патчи и драйвера для тех программ и устройств, которые они используют, и не забыть их установить. Тем, кто полагается на шифрование по работе, следует проверить свой ключ на наличие в нем уязвимости (ссылка на инструмент ниже) и — если она присутствует — отозвать сертификат. В противном случае хакеры могут получить доступ к их зашифрованной информации и "перехватить" цифровую личность.
Если вкратце, то решение Infineon оказалось уязвимо к факторингу — декомпозиции объекта в произведение других объектов или факторов, которые, будучи перемноженными, дают исходный объект. В результате факторизации во всех случаях получается произведение более простых объектов, чем исходный. С помощью факторинга оказалось возможным, зная лишь публичную часть ключа шифрования, получить и его частную, тем самым лишив шифрование всякого смысла.
С помощью метода, описанного чешскими и словацкими исследователями, для факторинга одного 2048-битного RSA-ключа (именно такие используются в Эстонии) в самом худшем случае нужно 17 дней и вычислительная мощность, аренда которой на Amazon Web Service обошлась бы в 40,3 тыс. долларов США. В большинстве случаев ключ "раскладывается на атомы" гораздо быстрее и, соответственно, дешевле.
Специалисты могут получить больше технической информации по ссылкам выше. Все желающие могут проверить свои ключи с помощью специального инструмента, разработанного исследователями — они сразу показывает, есть в RSA-ключе дыра или нет.
Наибольшую тревогу исследователи выражают в связи с тем, что они нашли дыру в закрытом коммерческом алгоритме, который соответствует стандартам FIPS 140-2 Level 2 и Common Criteria, которые управляются Национальным институтом по стандартам и технологиям. Если бы реализация алгоритма RSA компанией Infineon была публично доступна, подобной неприятной ситуации можно было бы избежать — дыру скорее всего нашли бы гораздо раньше, и она за пять лет не успела бы "расползтись" по такому большому количеству устройств и решений.
