Команда математиков из Европы и Америки провела исследование [2] более 11 миллионов публичных ключей, в ходе которого выяснилось, что 12 тысяч публичных ключей легко могут быть взломаны. Другое аналогичное исследование показало [3], что для около 0.4% всех используемых web-сайтами публичных RSA-ключей реально за несколько часов подобрать секретный RSA-ключ, при помощи которого можно имитировать защищённый проблемным ключом сайт или расшифровать трафик к нему (при активной MITM-атаке). Основным источником проблемы является использование некорректного генератора случайных чисел при создании ключа, генерирующего предсказуемые "случайные" числа, которые временами повторяются.
Из 6 185 372 проанализированных сертификатов X.509 исследователям удалось выявить 266 729 открытых ключей, при генерации которых были использованы одинаковые цикличные коэффициенты [4] (модуль), а это значит, что их секретные ключи подобны. Более того, выяснилось, что один и тот же модуль выявлен 16 489 раз, что позволяет одному из владельцев подобных сертификатов подделать сертификаты остальных 16 488 организаций. Дальнейшие исследования с помощью поиска наибольшего общего делителя модулей показали, что для 12 720 публичных ключей можно достаточно просто получить приватный ключ с помощью факторизации.
Дополнительно было исследовано около 5 миллионов ключей OpenPGP, в которых не было выявлено подобных проблем. Также проблем не было найдено в реализациях алгоритмов на базе протокола Diffie-Hellman, таких как (EC)DSA и ElGamal.
Как сообщает [3] в своем блоге Надя Хэнингер (Nadia Heninger), проводившая похожее исследование в прошлом, существование подобной проблемы связано с очень плохой реализацией генераторов случайных чисел в различных маршрутизаторах, VPN-шлюзах и другой встраиваемой технике, использующей SSL. Это значит что проблема не столь значительна, какой могла бы быть и не затрагивает крупные веб-сайты. Примечательно, что 4.6% из всех изученных устройств поставлялись с типовым SSL-ключом, предустановленным производителем и одинаковым для всей серии.
Ссылки:
[1] http://htfl.ru/cat-news-novosti
[2] /out.php?link=http://eprint.iacr.org/2012/064
[3] /out.php?link=https://freedom-to-tinker.com/blog/nadiah/new-research-theres-no-need-panic-over-factorable-keys-just-mind-your-ps-and-qs
[4] /out.php?link=http://en.wikipedia.org/wiki/Modulus_%28algebraic_number_theory%29