Rimta klaida aktyviai naudojamoje kodų bibliotekoje kelia rimtą pavojų milijonams šifravimo raktų.
Nerimą šis incidentas sukėlė iš tiesų didelį, nes šie raktai naudojami itin reikšmingose srityse, įskaitant asmens tapatybės korteles, programinės įrangos ir programų pasirašymą, patikimų valdžios institucijų ir bendrovių kompiuterius apsaugančių platformų modulius. Silpnosios vietos leidžia atakas rengiantiems asmenims apskaičiuoti privačią bet kurio pažeidžiamo rakto dalį panaudojant tik atitinkamą viešąją dalį.
Įsilaužėliai tada gali pasinaudodami privačiu raktu apsimesti raktų savininkais, iššifruoti jautrius duomenis, įkelti žalingą kodą į elektroniniu būdu pasirašytą programinę įrangą ir apeiti apsaugas, užkertančias kelią prieigai ir piktavališkų veiksmų atlikimui su vogtais kompiuteriais, rašo arstechnica.com.
Penkerių metų senumo klaidą kelia papildomą neramumą ir todėl, kad palietė kodą, atitinkantį du tarptautiniu mastu pripažįstamus saugumo sertifikavimo standartus, privaloma tvarka taikomus daugelio šalių valdžios institucijoms, sutarčių dalyviams ir įmonėms visame pasaulyje. Šią kodų biblioteką sukūrė vokiečių aukštųjų technologijų įmonė „Infineon“, o nesaugūs raktai generuoti nuo 2012 m. Šią klaidą Estijos valdžia netiesiogiai paminėjo praėjus mėnesį, kai buvo pateiktas įspėjimas, kad 750 000 skaitmeninių asmens tapatybės kortelių, išleistų nuo 2014 m., yra neatsparios atakoms. Šioje šalyje nuspręsta uždaryti asmens tapatybės kortelių viešųjų raktų duomenų bazę, siekiant užkirsti kelią piktnaudžiavimams.
Praėjusią savaitę „Microsoft“, „Google“ ir „Infineon“ pranešė, kaip visa tai gali sumažinti apsaugas, diegiamas TPM produktuose, kurie, kaip bebūtų ironiška, sukurti tam, kad suteiktų papildomos apsaugos itin svarbiems asmenims ir organizacijoms. „Esminė viešojo rakto kriptografijos savybė ta, kad viešieji raktai iš tikrųjų yra vieši, t. y. juos galima duoti bet kam nesibaiminant dėl galimo pavojaus saugumui, – patikino šifravimo konsultacijų įmonės „Cryptosense“ vadovas Grahamas Steelas. – Šiuo atveju minimas ypatumas buvo visiškai nustelbtas.“
Kitaip tariant, jei turite kažkieno privačiu raktu skaitmeniniu būdu pasirašytą dokumentą, negalite įrodyti, kad pasirašė būtent tas žmogus. Arba siųsdami svarbius duomenis, šifruotus kažkieno viešuoju raktu, negalite būti tikri, kad juos perskaityti gali tik jie. Mūsų dienomis galima vykti į teismą ir ten paneigti, kad ką nors pasirašėte. Tokiu atveju nebus jokių galimybių įrodyti priešingų dalykų, nes teoriškai bet kas galėjo pasinaudoti jūsų privačiu raktu. Tiek G. Steelas, tiek ir Petras Svenda, vienas iš mokslininkų, aptikusių ydingą biblioteką, buvo linkę įspėti, kad ši situacija potencialiai gali ar bent jau galėjo sukelti problemų vykdant rinkimus šalyse, kuriose buvo panaudotos nesaugios kortelės.
Masaryk universiteto profesoriaus P. Svendos teigimu, nors faktiškai įvykdyti rinkiminę apgaulę būtų sudėtinga, ypač tokiu mastu, koks yra būtinas, norint pakeisti rinkimų rezultatą, vien galimybė kelia rūpesčių ir prisideda prie melagingų naujienų ar konspiracinių teorijų skleidimo.
Pateikdamas slaptos JAV Nacionalinio saugumo agentūros (NSA) medžiagos nutekinimo pavyzdį G. Steelas siūlė įsivaizduoti, kas gi nutiktų, jei į „Shadowbrokers“ panaši įsilaužėlių organizacija paskelbtų vos porą privačių raktų internetinėje erdvėje ir paskleistų žinią apie daugybei kitų gauti panaudotą metodą.