szukaj

05.10.2014 | 22:50

avatar

Adam Haertle

Rzekomo udany atak na RSA-1024 w OpenSSL

Artykuł musimy zacząć od słowa „rzekomo”, bo aż trudno uwierzyć w to, co piszemy poniżej. Albo mamy do czynienia z jednym z najciekawszych odkryć w historii branży, albo z poważnymi zaburzeniami psychicznymi autora „odkrycia”.

Rzekomo na konferencji Navaja Negra (poważna konferencja branży bezpieczeństwa w Hiszpanii) jeden z prelegentów zaprezentował udany atak na implementację algorytmu RSA w OpenSSL. Był on rzekomo w stanie, w trakcie demonstracji na żywo, odzyskać klucz prywatny na podstawie klucza publicznego RSA o długości 1024 bitów. Cała operacja zajmuje rzekomo 20 minut na laptopie, a 18 sekund w chmurze Amazona. Rzekomo problem został zgłoszony do OpenSSL.

Rzekomo metoda ataku ma polegać nie na nowym algorytmie rozbijania iloczynu na liczby pierwsze, a na możliwości wytypowania liczb pierwszych, które są potencjalnymi prawdopodobnymi kandydatami do weryfikacji – atak typu bruteforce. O możliwości takiego ataku decyduje implementacja algorytmu w OpenSSL, a nie jego wada fundamentalna. Wstępny opis ataku znajdziecie tutaj (po hiszpańsku), tam też jest film przedstawiający jego przebieg. Tutaj dyskusja na Reddicie – większość dyskutantów przychyla się do teorii o chorobie autora. prawdopodobnie kwestia wyjaśni się w ciągu parunastu godzin. Albo jest PoC, albo go nie ma :)

konferencja

Powrót

Komentarze

  • avatar
    2014.10.05 23:58 Marek

    Kryptokalipsa nadchodzi.

    Odpowiedz
  • avatar
    2014.10.06 00:06 gdss

    Jakiś czas temu na pewnej uczelni wojskowej, profesor zajmujący się kryptologią, o tym wspominał…

    Odpowiedz
  • avatar
    2014.10.06 00:15 Paweł

    Sorry, panowie redaktorzy. Jak wy dajecie takie rzekome niusa to proponuję zająć się czymś innym. Może na pudelku szukają ekspertów od bezpieczeństwa? Na razie usuwam Was z ulubionych, bo szkoda mojego czasu na rzekomo dobry portal o bezpieczeństwie :(

    Odpowiedz
    • avatar
      2014.10.06 08:46 Marek

      Do widzenia.

      Odpowiedz
    • avatar
      2014.10.06 10:29 Michał

      Pa:)

      Odpowiedz
    • avatar
      2014.10.06 10:32 JackN

      Bon voyage przyjacielu!

      Odpowiedz
    • avatar
      2014.10.06 12:17 X

      Co lepsze:
      1.
      Napisać artykuł i później go odwołać, ponieważ autor odkrycia się pomylił.
      2.
      Nie napisać, mieć przestój na stronię i tak sprawdzać czy artykuł był poprawny

      Tak więc sadzać po twojej odpowiedzi, wolisz to 2.
      Więc idź na jakiś blog co piszą artykuły najlepiej raz na pół roku.

      ps: Kij od szczotki na drogę : – )

      Odpowiedz
    • avatar
      2014.10.07 01:30 Mateusz

      O kolego ty nam tu Adama nie obrażaj. Każdy artykuł jest dobry. Ten mówi o rzekomym ataku. Ale zauważ, że Adam podaje również link do dyskusji, można poczytać, pomyśleć, wypowiedzieć się. Adam zostawił sobie furtkę w razie gdyby to był jakiś przekręt. Ale powiedział nam o tym. Brak tu krzykliwego nagłówka wieszczącego sensacje. Jeśli nie chcesz czytać Takich newsów to spadówa na pudelka, gdyż to chyba strona bliższa twojemu poziomowi.

      Odpowiedz
  • avatar
    2014.10.06 00:54 such user wow

    To nie jest niemożliwe, OpenSSL może przecież mieć błąd polegający na słabej losowości liczb używanych potem do konstrukcji klucza.
    Po heartbleed jestem w stanie w to uwierzyć.

    Odpowiedz
  • avatar
    2014.10.06 08:39 Daniela

    Poproszę o newsa lub update artykułu gdy się coś wyjaśni.

    Odpowiedz
  • avatar
    2014.10.06 09:13 FxJ

    Paweł – nie wiesz o czym piszesz ..

    Odpowiedz
  • avatar
    2014.10.06 19:27 AntiSec

    Oczywiście ścierwa z reddita wiedzą najlepiej.

    Odpowiedz
    • avatar
      2014.10.07 08:48 birkoff

      Przecież jest wyraźnie umieszczone w kontenerze „drobiazgi”, a inteligenci gazetowi tylko patrzą, żeby rozpętać gównoburzę. Swego czasu, w 2008 r., błąd podobnego rodzaju był w generatorze entropii w Debianie.

      Odpowiedz
  • avatar
    2014.11.10 21:23 Pegass

    Ma ktoś linka do tego filmu co był na yt

    Odpowiedz

Zostaw odpowiedź

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Rzekomo udany atak na RSA-1024 w OpenSSL

Komentarze