Алгоритмы шифрования
Два выдающихся израильских фрикера повергли в шок специалистов по защите информации, заявив, что они нашли способ извлечь криптографические ключи DES из ПК и смарт-карт. Ади Шамир, один из трех авторов разработки методологии шифрования с открытыми ключами, и Эли Бихам утверждают, что они могут получить даже 168-разрядный секретный ключ Triple-DES. Криптографы использовали нагревание или излучение для изменения битовой последовательности ключа. Затем, применив методику под названием Differential Fault Analysis (DFA)* они сравнивали шифрованный вывод с поврежденной и неповрежденной карт для поиска ключа.
56-разрядный стандарт DES одобрен правительством США для использования в банковской сфере и широко реализован в программных и аппаратных продуктах.
Эксперты по защите информации считают, что открытие Шамира и Бихама поставило под сомнение возможность использования смарт-карт с шифрованием, в особенности для электронных расчетов. Получив криптографический ключ, мошенники могут снять всю наличность с карты. Эксперты добавляют также, что организации, использующие DES, с целью предотвращения DFA-атак должны будут закрыть посторонним физический доступ к устройствам шифрования DES.
При помощи аналогичного метода ученые из Bellcore взломали защиту смарт-карты с шифрованием по методу открытых ключей RSA. Такая технология взлома, вполне вероятно, вскоре пополнит арсенал фри - керов.
Смарт-карты с микропроцессорами для хранения персональных данных и электронной наличности весьма популярны, особенно в Европе. Вильям Каелли, профессор Квинсландского технологического университета, полагает, что к 2000 году будет использоваться свыше 300 млн. карт.
Каелли утверждает, что некоторые изготовители карт, к примеру Siemens Gmbh, подходят к производству этого продукта очень ответственно. Однако на рынке большинство карт настолько плохи, что мошенники со считывателем смарт-карт ценой 180 долларов и компьютером могут без труда записать процесс шифрования.
Стив Велловин, ученый из AT&T Laboratories, считает, что открытие Bellcore и Шамира-Бихама будет иметь серьезные последствия для разработок в области смарт-карт и электронной наличности.
Белловин добавляет, что в конечном счете это открытие позволяет нам лучше понять уязвимые места устройств шифрования данных, используемых в банках и других организациях для передачи больших объемов информации.
Оборудование нужно постоянно проверять на наличие слабых мест. Например, 40-разрядный ключ может быть легко найден при помощи так называемого метода грубой силы, то есть прямого перебора на компьютере в поисках ключа.
В свое время Netscape Communications подверглась публичному унижению — студенты из Беркли без труда взломали систему шифрования Navigator. Это стало возможным из-за неудачного выбора генератора случайных чисел. Netscape немедленно исправила выявленный недостаток.
Одна компания — Access Data — зарабатывает себе на жизнь тем, что взламывает системы шифрования по заказу следственных органов и корпораций.
По словам президента Access Data Эрика Томпсона, его компания взломала 90% систем шифрования в проверяемых ею коммерческих программах шифрования от Microsoft, Borland International и IBM, в частности посредством атаки на используемые программами системы паролей.