นักวิจัยได้แสดงให้เห็นว่าเครื่องมือที่สองจากบริษัท RSA และพัฒนาโดย NSA เป็นอันตรายต่อความปลอดภัยของโซลูชันการเข้ารหัสที่ใช้ทั่วโลก Mozilla สามารถมีส่วนร่วมกับแก๊งค์ได้หรือไม่?
การโจมตีครั้งที่สองของ Trafalgar ในรอบไม่กี่เดือน ณ หัวใจของ RSA ซึ่งเป็นแผนกรักษาความปลอดภัยของกลุ่ม EMC ซึ่งให้บริการโซลูชั่นการเข้ารหัสที่ใช้กันอย่างแพร่หลายบนเว็บและในการป้องกันด้วยรหัสผ่าน
เมื่อเดือนธันวาคมปีที่แล้ว รอยเตอร์เปิดเผยว่า NSA ได้จ่ายเงิน 10 ล้านดอลลาร์ให้กับบริษัทอเมริกันรายนี้เพื่อใช้เครื่องมือที่พัฒนาโดยหน่วยงานรัฐบาลอเมริกันเป็นระบบการเข้ารหัสเริ่มต้น ระบบดังกล่าวเรียกว่า Dual Elliptic Curve จะสร้างตัวเลขแบบสุ่ม แต่มีประตูหลังที่อนุญาตให้ NSA ทำลายการเข้ารหัสได้ ในความคิดเห็นที่ได้รับทางอีเมล RSA“ขอยืนยันอย่างแน่ชัดว่าไม่เคยลงนามในสัญญาและไม่เคยเปิดตัวโครงการที่มีเจตนาทำให้ผลิตภัณฑ์ RSA อ่อนแอลงหรือบูรณาการ'ประตูหลัง'ศักยภาพในผลิตภัณฑ์ของตนเพื่อนำไปใช้เพื่อวัตถุประสงค์อื่นนอกเหนือจากความปลอดภัยของข้อมูลที่พวกเขาปกป้อง”-
ข้อบกพร่องใหม่
ไม่ว่าในกรณีใด ในปัจจุบัน นักวิจัยจากมหาวิทยาลัยหลายแห่ง โดยเฉพาะมหาวิทยาลัยอิลลินอยส์และวิสคอนซิน ประกาศว่า พวกเขาได้พบเครื่องมือตัวที่สองที่พัฒนาโดย NSA ซึ่งมีส่วนทำให้โซลูชัน RSA อ่อนแอลง เครื่องมือนี้เรียกว่า Extended Random ซึ่งทำหน้าที่เป็นส่วนขยายในการรักษาความปลอดภัยเว็บไซต์ จริงๆ แล้วสามารถใช้เพื่อถอดรหัส Dual Elliptic Curve ได้เร็วขึ้นนับหมื่นเท่า
เดิมทีควรจะเสริมลักษณะการสุ่มของการสร้างตัวเลขที่ใช้ในการสร้างคีย์เข้ารหัส ท้ายที่สุดแล้ว ดูเหมือนว่า Extended Random จะส่งข้อมูลพิเศษเล็กน้อยซึ่งทำให้ข้อมูลที่เข้ารหัสซึ่งสามารถคาดเดาได้มากขึ้น
จนถึงจุดที่ Matthew Green หนึ่งในนักวิจัยด้านความปลอดภัยอธิบายกับ Reuters ว่า:“ถ้าการใช้ Dual Elliptic Curve ก็เหมือนกับการเล่นแมตช์ การเพิ่ม Extended Random เข้าไปก็เหมือนกับการปกปิดตัวเองด้วยน้ำมันเบนซิน”-
นักวิจัยอธิบายว่า Extended Random ไม่ได้ใช้กันอย่างแพร่หลาย Sam Curry หัวหน้าฝ่ายเทคโนโลยีของ RSA กล่าวกับรอยเตอร์ว่า“เราน่าจะระมัดระวังมากขึ้นเกี่ยวกับความตั้งใจของ NSA เราไว้วางใจพวกเขาเพราะพวกเขามีความรับผิดชอบต่อความปลอดภัยของรัฐบาลอเมริกาและโครงสร้างพื้นฐานที่สำคัญ"-
Mozilla ได้รับผลกระทบผ่าน WebRTC
ที่น่ากังวลยิ่งกว่านั้นคือปรากฏว่า Extended Random ได้รับการพัฒนาโดย Margaret Salter ผู้อำนวยการด้านเทคนิคของหนึ่งในแผนก NSA และผู้เชี่ยวชาญอิสระชื่อ Eric Rescorla อย่างหลังเป็นผู้พิทักษ์รายใหญ่ในการเข้ารหัสการรับส่งข้อมูลออนไลน์และทำงานโดยเฉพาะกับ Mozilla ซึ่งเขาให้คำแนะนำในการใช้งาน WebRTC โปรโตคอลการสื่อสารแบบเรียลไทม์ที่ปลอดภัยภายในเบราว์เซอร์นี้ส่วนใหญ่ได้รับการพัฒนาโดย Eric Rescorla ตามเว็บไซต์ IETF รอยเตอร์แนะนำ ซึ่งอาจทำให้เกิดความสงสัยในแรงจูงใจของเขา
การเปิดเผยนี้แสดงให้เห็นว่า NSA สามารถใช้บทบาทของตนเป็นที่ปรึกษาทางเทคนิคเพื่อบิดเบือนเครื่องมือรักษาความปลอดภัยได้มากเพียงใด
อ่านเพิ่มเติม:
NSA พัฒนาอุตสาหกรรมการแฮ็กอย่างไร– 15/03/2014
แหล่งที่มา :
สำนักข่าวรอยเตอร์
สรุปผลการศึกษา
🔴 เพื่อไม่พลาดข่าวสาร 01net ติดตามเราได้ที่Google ข่าวสารetวอทส์แอพพ์-
