Читаем Компьютерра PDA N161 (25.02.2012-02.03.2012) полностью

Цитируем работу: "То гигантское количество уязвимых ключей, с которым мы столкнулись, делает непосильным правильное информирование всех и каждого, кто непосредственно с этим связан, хотя мы и предприняли всё для нас возможное для информирования наиболее крупных сторон, разослав также письма по всем тем email-адресам, которые были указаны в валидных сертификатах. Наше решение сделать результаты открытия публичными, несмотря на нашу неспособность непосредственно известить всех пострадавших, было своего рода призывом к судному дню".

Своё нынешнее открытие исследователи сравнивают с памятным многим открытием 2008 года, когда вдруг выяснилось, что сотни тысяч, а быть может, и миллионы криптографических ключей, сгенерированных в системах, работающих под Debian Linux, оказались столь предсказуемы, что атакующая сторона могла их вычислять максимум за несколько часов.

Отбирая ключи для последнего исследования, учёные для чистоты эксперимента заранее исключали те, что подпадали под уже скомпрометированную ранее "категорию Debian". Но и при таком подходе пока что осталось совершенно неясным, что именно является причиной для появления больших кластеров ключей, имеющих в себе одинаковые множители.

Исследователи пытались выявить какие-либо схожести среди уязвимых ключей в надежде понять причину дефектной работы алгоритмов в генераторах случайных чисел, вырабатывающих криптоключи, но не преуспели. "Единственное наше заключение здесь сводится к тому, что для всех этих проблем, похоже, имеется не единственная причина, - говорит Хьюз. - А это соответственно привело нас к заключению, что до тех пор, пока у вас нет абсолютного доверия к работе вашего генератора случайных чисел, RSA не есть хороший выбор для криптоалгоритма".

По мнению криптографов, другие алгоритмы криптографии с открытым ключом, такие, как схема Диффи-Хеллмана и DSA, оказываются не столь фатально уязвимы для компрометации, как RSA. Дело в том, что в альтернативных схемах появление дублей у множителей модуля делает владельца ключа уязвимым только для того человека, с которым непосредственно устанавливается шифрованная связь: "Если с вашим ключом случается коллизия, то вы влияете только лишь на одного другого человека. Вы можете навредить ему, а он может навредить вам, однако вы не можете сделать этот ущерб публичным, как в RSA, где пострадавшим оказывается каждый с таким же фактором-множителем в модуле".

Именно по этой причине, собственно, авторы работы и решили дать своей статье несколько необычное название - "Ron was wrong, Whit is right" ("Рон был неправ, а прав оказывается Уит"), имея в виду первооткрывателей самых первых криптосхем с открытым ключом, Рональда Райвеста (RSA) и Уитфилда Диффи (Diffie-Hellmann).

В качестве эпилога к этой занятной, но невесёлой истории можно привести такие слова из заключительной части исследовательской работы:

Автор: Дмитрий Вибе

Опубликовано 02 марта 2012 года

У астрономии очень красивый фасад. На безупречно чёрном фоне сверкающими брильянтиками выложены фигуры созвездий. Пёстрой мозаикой развешаны по фронтону фотографии, и на каждой — разноцветное космическое чудо. От названий веет тайной и вековой мудростью: планетарная туманность, звёздное скопление, сталкивающиеся галактики, Конская Голова, Никс Олимпика, квазар Лист Клевера… Гигантским усилием воли пытаешься (безуспешно) втиснуть в голову мысль о том, что каждое пятнышко на снимке (а от них рябит в глазах!) — звезда, может быть, подобная Солнцу, а может быть, в тысячи раз более яркая. Что тёмное пятно на фотографии — облако пыли размером в десяток раз больше, чем расстояние от Солнца до Альфы Центавра. Что мы любуемся звёздами, многих из которых уже нет.