Google, eBay, Yahoo, Twitter, ... ไจแอนต์เว็บจำนวนมากมีเวลาน้อยมากที่ความปลอดภัยพื้นฐานของการส่งข้อความของพวกเขา ประวัติความเป็นมาของการค้นพบ
เมื่อเดือนธันวาคมที่ผ่านมา American Zach Harris ได้รับข้อเสนองานทางอีเมลทางอีเมล ตามที่เกี่ยวข้อง« wired »นักคณิตศาสตร์ไม่สนใจ แต่เขาสังเกตเห็นสิ่งแปลก ๆ : ลายเซ็นdkimซึ่งทำให้เป็นไปได้ที่จะรับรองความถูกต้องของแหล่งกำเนิดของอีเมลนั้นเข้ารหัสด้วยกุญแจ 512 บิตเท่านั้น ซึ่งมีน้อยมากโดยเฉพาะอย่างยิ่งสำหรับสังคมเทคโนโลยีเช่น Google
จากนั้นเขาก็คิดว่านี่เป็นเกมที่จะรับสมัคร Google มักจะขึ้นอยู่กับปัญหาทางคณิตศาสตร์และคอมพิวเตอร์เพื่อดึงดูดศักยภาพสูง ดังนั้นเขาจึงตัดสินใจที่จะทำลายคีย์การเข้ารหัสนี้- "สามารถทำได้ใน 72 ชั่วโมงใช้จ่าย $ 75 ใน Amazon Web Services"เขาอธิบาย เมื่ออยู่ในความครอบครองของจอกเขาตัดสินใจส่งอีเมลไปที่ Larry Page โดยแกล้งทำเป็น Sergey Brin และในทางกลับกัน วิธีหนึ่งที่จะบอกพวกเขา"ฉันแก้ไขปริศนาได้แล้ว!" -แต่ไม่มีคำตอบมาจาก Google ความเงียบของวิทยุ
การแจ้งเตือนความปลอดภัย
สองวันต่อมามันน่าประหลาดใจ อีเมลของ Google ได้รับการลงนามด้วยคีย์ 2048 บิตไม่สามารถล่วงละเมิดได้อย่างสมบูรณ์ Zach Harris ตระหนักว่ามันไม่ใช่เกม แต่เป็นข้อบกพร่องด้านความปลอดภัยที่แท้จริง ด้วยความอยากรู้อยากเห็นเขาตรวจสอบลายเซ็น DKIM จากเว็บยักษ์ใหญ่อื่น ๆ การสังเกตอย่างล้นหลามเช่นเดียวกัน: eBay, Yahoo, Twitter และ Amazon ใช้คีย์เพียง 512 บิต
ที่ PayPal, LinkedIn, US Bank และ HSBC กุญแจมีขนาด 768 บิต มันดีกว่า แต่ไม่เพียงพอในสายตาของ Zach Harris“ มันเป็นไปไม่ได้ที่จะทำลายโดยบุคคลอย่างฉัน แต่ทำได้โดยองค์กรขนาดใหญ่ที่มีทรัพยากรด้านไอทีที่สำคัญเช่นรัฐบาลอิหร่านเช่น”เขาขีดเส้นใต้
จนถึงปัจจุบัน บริษัท ส่วนใหญ่ที่ผ่านการทดสอบได้ปรับปรุงระดับความปลอดภัยของการส่งข้อความ แต่ไม่ใช่ทั้งหมด นี่คือเหตุผลที่ซัคแฮร์ริสตัดสินใจออกจากความเงียบและเล่าเรื่อง อันการแจ้งเตือนความปลอดภัยเพิ่งได้รับการเผยแพร่ตาม US-Cert
🔴อย่าพลาดข่าว 01NET ใด ๆ ติดตามเราที่Google NewsETWhatsapp-
