Rzekomo udany atak na RSA-1024 w OpenSSL
Artykuł musimy zacząć od słowa „rzekomo”, bo aż trudno uwierzyć w to, co piszemy poniżej. Albo mamy do czynienia z jednym z najciekawszych odkryć w historii branży, albo z poważnymi zaburzeniami psychicznymi autora „odkrycia”.
Rzekomo na konferencji Navaja Negra (poważna konferencja branży bezpieczeństwa w Hiszpanii) jeden z prelegentów zaprezentował udany atak na implementację algorytmu RSA w OpenSSL. Był on rzekomo w stanie, w trakcie demonstracji na żywo, odzyskać klucz prywatny na podstawie klucza publicznego RSA o długości 1024 bitów. Cała operacja zajmuje rzekomo 20 minut na laptopie, a 18 sekund w chmurze Amazona. Rzekomo problem został zgłoszony do OpenSSL.
Rzekomo metoda ataku ma polegać nie na nowym algorytmie rozbijania iloczynu na liczby pierwsze, a na możliwości wytypowania liczb pierwszych, które są potencjalnymi prawdopodobnymi kandydatami do weryfikacji – atak typu bruteforce. O możliwości takiego ataku decyduje implementacja algorytmu w OpenSSL, a nie jego wada fundamentalna. Wstępny opis ataku znajdziecie tutaj (po hiszpańsku), tam też jest film przedstawiający jego przebieg. Tutaj dyskusja na Reddicie – większość dyskutantów przychyla się do teorii o chorobie autora. prawdopodobnie kwestia wyjaśni się w ciągu parunastu godzin. Albo jest PoC, albo go nie ma :)
Podobne wpisy
- 15 nieoczywistych scenariuszy, w których SIEM ratuje skórę IT SEC
- Miliony kluczy RSA generowanych sprzętowo podatnych na złamanie
- Ransomware atakuje serwery, na szczęście jego autor nie ma pojęcia o kryptografii
- Kolizja MD5 dwóch kluczy publicznych ssh-rsa
- Atak na wymianę kluczy zagraża połączeniom HTTPS, VPN, SSH i SMTPs
Kryptokalipsa nadchodzi.
Jakiś czas temu na pewnej uczelni wojskowej, profesor zajmujący się kryptologią, o tym wspominał…
Sorry, panowie redaktorzy. Jak wy dajecie takie rzekome niusa to proponuję zająć się czymś innym. Może na pudelku szukają ekspertów od bezpieczeństwa? Na razie usuwam Was z ulubionych, bo szkoda mojego czasu na rzekomo dobry portal o bezpieczeństwie :(
Do widzenia.
Pa:)
Bon voyage przyjacielu!
Co lepsze:
1.
Napisać artykuł i później go odwołać, ponieważ autor odkrycia się pomylił.
2.
Nie napisać, mieć przestój na stronię i tak sprawdzać czy artykuł był poprawny
Tak więc sadzać po twojej odpowiedzi, wolisz to 2.
Więc idź na jakiś blog co piszą artykuły najlepiej raz na pół roku.
ps: Kij od szczotki na drogę : – )
O kolego ty nam tu Adama nie obrażaj. Każdy artykuł jest dobry. Ten mówi o rzekomym ataku. Ale zauważ, że Adam podaje również link do dyskusji, można poczytać, pomyśleć, wypowiedzieć się. Adam zostawił sobie furtkę w razie gdyby to był jakiś przekręt. Ale powiedział nam o tym. Brak tu krzykliwego nagłówka wieszczącego sensacje. Jeśli nie chcesz czytać Takich newsów to spadówa na pudelka, gdyż to chyba strona bliższa twojemu poziomowi.
To nie jest niemożliwe, OpenSSL może przecież mieć błąd polegający na słabej losowości liczb używanych potem do konstrukcji klucza.
Po heartbleed jestem w stanie w to uwierzyć.
Poproszę o newsa lub update artykułu gdy się coś wyjaśni.
Paweł – nie wiesz o czym piszesz ..
Oczywiście ścierwa z reddita wiedzą najlepiej.
Przecież jest wyraźnie umieszczone w kontenerze „drobiazgi”, a inteligenci gazetowi tylko patrzą, żeby rozpętać gównoburzę. Swego czasu, w 2008 r., błąd podobnego rodzaju był w generatorze entropii w Debianie.
Ma ktoś linka do tego filmu co był na yt