Računalništvo, telefonija
29.07.2012 16:00
Posodobljeno 13 let nazaj.

Deli z drugimi:

Share

S spreminjanjem napetosti čipa do zasebnih ključev RSA

Z ukradenim zasebnim ključem RSA lahko spletni kriminalci ponaredijo spletne strani in pretentajo nič hudega sluteče obiskovalce!
Z ukradenim zasebnim ključem RSA lahko spletni kriminalci ponaredijo spletne strani in pretentajo nič hudega sluteče obiskovalce!

Varnost spletnih storitev finančnih inštitucij ter drugih poslovnih podjetij in inštitucij temelji na osnovi šifriranja z RSA algoritmom. Tega organizacije uporabljajo z namenom, da uporabnikom preko certifikata jamčijo, da so na pristni spletni strani in da lahko izvajajo plačilne in druge finančne transakcije. Jamčenje pristnosti pa zagotavlja podpisovanje certifikata z zasebnih ključem RSA. Ta mora biti kakopak skrbno varovan, saj v nasprotnem primeru lahko spletni kriminalci z njim podpisujejo lažne in goljufive spletne strani ter s tem brez težav ukanijo njihove uporabnike.

Raziskovalci iz Univerze v Michiganu pa so na hekerski konferenci Black Hat 2012 žal dokazali, da lahko nepridipravi do zasebnega ključa RSA pridejo na način, da nižajo električno napetost na strežniškem čipovlju. Ti so s to metodo pridobili zasebni ključ iz knjižnice OpenSSL, ki jo je poganjal strežnik z nameščenim operacijskim sistemom Linux. Za pridobitev 1024-bitnega zasebnega ključa RSA so potrebovali 104 ure. Ker se napad izvaja s pomočjo nadziranega nižanja električne napetosti, bi ta lahko prišel v poštev predvsem za razbijanje šifrirnih avtentikacijskih mehanizmov devede predvajalnikov, igralnih konzol in celo avtomobilskih računalnikov.

Za neposreden napad na strežnike, ki hranijo zasebne ključe RSA, je bolj primeren postopek koriščenja višjih temperatur čipovji. Raziskovalci so namreč prišli do spoznanja, da lahko v določenem temperaturnem območju na relativno enostaven način pridobijo zasebni ključ RSA. Ta metoda je uporabna predvsem za oddaljene napade, saj se strežniki pogosto pregrevajo, čeprav le za nekaj minut. To pomeni, da bi vsaj teoretično lahko spletni kriminalci ukradli zasebni ključ RSA in z njim podpisovali lažne oziroma goljufive spletne strani. Vsaj trenutno na srečo še ni bil zabeležen noben takšen napad. Upajmo, da bo pri tem tako tudi ostalo.


Prijavi napako v članku

Povezave



Kaj berejo drugi?

Partnerji Računalniških novic Prikaži vse

Srebrni partner

LESTRA d.o.o.

Vaška pot 17c, 1235 Radomlje, Tel: 01 563 60 60
Vodilni na področju trženja projektorjev – strokovno svetovanje, izposoja, montaža in servis Z več kot 30-letnimi izkušnjami in najboljšo izbiro projekcijske opreme za vas. V ... Več

e-asist d.o.o.

Ljubljanska cesta 3a, 1236 Trzin, Tel: 040 879 080
Težave s tiskalniki? In to ravno takrat, ko imate največ dela? Z vključitvijo naprav v sistem nadzora, vam podjetje e-asist d.o.o. lahko zagotovi najmanjše število okvar ... Več

SoftNET d.o.o.

Borovec 2, 1236 Trzin, Tel: 01 810 01 00
Vse telekomunikacijske storitve na enem mestu V podjetju ni nič pomembnejšega kot dobra telekomunikacijska povezanost, tako znotraj kot zunaj podjetja. Podjetje SoftNET vam s ... Več

REDIT d.o.o.

Vodnikova cesta 232 , 1000 Ljubljana, Tel: 040 768 404
Podjetje Redit d.o.o. je za uporabnike ključnega pomena saj s svojimi storitvami poskrbi za nemoteno delo od doma oziroma za to, da računalnik deluje tako, kot od njega pričakujemo. ... Več