(495) 925-0049, ITShop интернет-магазин 229-0436, Учебный Центр 925-0049
  Главная страница Карта сайта Контакты
Поиск
Вход
Регистрация
Рассылки сайта
 
 
 
 
 

Хитрости крипторемесла

Источник: Computerra

Как уже сообщалось, Бенни Пинкас, Цви Гуттерман и Лео Доррендорф (Benny Pinkas, Zvi Gutterman, Leo Dorrendorf), криптографы из университетов Хайфы и Иерусалима, вскрыли схему работы генератора псевдослучайных чисел, используемого Microsoft во всех криптоприложениях Windows 2000. Исследователи проанализировали стойкость подсистемы защиты и выявили в ней серьезнейшую уязвимость. В частности, они обнаружили, что из-за слабой схемы генератора злоумышленники могут всего лишь по одному внутреннему состоянию алгоритма предсказывать большое количество криптоключей, вырабатываемых в ОС. Причем не только ключей для будущих потребностей, но и уже сгенерированных.

Что такое "уязвимость"

Windows 2000 по сию пору используется многими компаниями и организациями, оставаясь, согласно общим оценкам, второй по популярности операционной системой Microsoft после XP. Но когда разнеслась весть о слабостях в PRNG (pseudo-random number generator), встал вопрос об уязвимости крипто в более новых системах, XP и Vista, - можно ли и их атаковать аналогичным образом?

Поначалу реакция Microsoft была довольно уклончивой и сводилась к заверениям, что последние версии Windows "содержат разнообразные изменения и доработки в схеме генератора случайных чисел", но затем Редмонд все же признал, что Windows XP тоже уязвима для атаки, описанной в работе Пинкаса, Гуттермана и Доррендорфа. Что же касается систем Windows Vista, Windows Server 2003 SP2 и планируемой к выпуску Windows Server 2008, то там, по словам Microsoft, схема генерации псевдослучайных чисел работает иначе и обладает иммунитетом к подобному методу взлома.

Попутно была сделана попытка интерпретировать работу израильтян не как выявление серьезной и реальной угрозы для безопасности XP (не говоря уж о Win2000), а как сугубо "теоретическую атаку". Ибо, по официальному мнению Microsoft, выявленный баг не отвечает определению "уязвимость", поскольку для эксплуатации слабостей в PRNG злоумышленник должен обладать правами администратора. Или, дословно, "поскольку администраторы по определению имеют доступ ко всем файлам и ресурсам системы, это [восстановление внутреннего состояния PRNG и вычисление ключей] не является недопустимым раскрытием информации". То, что множество известных червей и троянцев умеет повышать свои привилегии до уровня администратора, Microsoft, очевидно, сочла не относящимся к делу, но дабы публика не слишком волновалась, пообещала залатать-таки дыру в PRNG - где-нибудь в первой половине следующего года, вместе с выходом третьего сервис-пака, Windows XP SP3.

Иначе говоря, слабость, обнаруженную израильтянами в генераторе случайных чисел Windows, Microsoft хочет представить как нечто мелкое, не заслуживающее внимания. Что ж, желание понятное. Да вот беда, базовые принципы, на основе которых должен работать криптографически качественный PRNG, прекрасно известны, так что разработчику проще выбрать известный хороший криптоалгоритм, нежели разрабатывать собственный плохой. Тем не менее в программных продуктах Microsoft криптография всегда оказывается существенно слабее, чем могла бы быть. Понять, почему это так, нетрудно, если обратиться к истории вопроса.

Ссылки по теме


 Распечатать »
 Правила публикации »
  Написать редактору 
 Рекомендовать » Дата публикации: 28.12.2007 
 

Магазин программного обеспечения   WWW.ITSHOP.RU
Microsoft Office для дома и учебы 2019 (лицензия ESD)
Microsoft Office 365 Профессиональный Плюс. Подписка на 1 рабочее место на 1 год
Microsoft 365 Business Standard (corporate)
Microsoft Office 365 Бизнес. Подписка на 1 рабочее место на 1 год
Microsoft Office 365 для Дома 32-bit/x64. 5 ПК/Mac + 5 Планшетов + 5 Телефонов. Подписка на 1 год.
 
Другие предложения...
 
Курсы обучения   WWW.ITSHOP.RU
 
Другие предложения...
 
Магазин сертификационных экзаменов   WWW.ITSHOP.RU
 
Другие предложения...
 
3D Принтеры | 3D Печать   WWW.ITSHOP.RU
 
Другие предложения...
 
Новости по теме
 
Рассылки Subscribe.ru
Информационные технологии: CASE, RAD, ERP, OLAP
Безопасность компьютерных сетей и защита информации
Новости ITShop.ru - ПО, книги, документация, курсы обучения
CASE-технологии
Программирование на Microsoft Access
Реестр Windows. Секреты работы на компьютере
Adobe Photoshop: алхимия дизайна
 
Статьи по теме
 
Новинки каталога Download
 
Исходники
 
Документация
 
 



    
rambler's top100 Rambler's Top100