Af Torben B. Sørensen, 11/10/16
Artiklen blev oprindeligt publiceret den 21/2/2012
Forskere har fundet nogle få certifikater, hvis kryptering kan knækkes. Ingen af dem bliver brugt til at beskytte websteder.To sæt forskere har for nylig offentliggjort data om emnet. Først kom artiklen "Ron was wrong, Whit is right" fra seks sikkerhedsforskere. De har analyseret offentligt tilgængelige certifikater på internettet.
Resultatet er, at 0,2 procent af certifikaterne var dannet på en måde, hvor det er muligt at regne sig frem til et af de primtal, krypteringen bygger på. Dermed kan man knække koden.
Ingen af de sårbare certifikater var gyldige, da deres levetid var udløbet. De var ikke udstedt af en godkendt CA (certificeringsautoritet) og blev ikke brugt til SSL-kryptering af websteder.
Forskerne konkluderer, at der er en sårbarhed i den udbredte RSA-algoritme til at danne krypteringsnøgler.
Derefter skrev forskeren Nadia Heninger, at hun og hendes kolleger er på vej med lignende forskning. De har kunnet kompromittere omkring 0,4 procent af nøgler, der bruges til SSL-kryptering.
Men disse nøgler bliver primært brugt til at beskytte hardwarebokse såsom routere og VPN-enheder. Almindelige websteder er altså ikke i fare. Det er til gengæld enheder fra næsten alle producenter af udstyr i varegruppen.
Resultaterne vil blive offentliggjort, når producenterne har fået lejlighed til at lukke sikkerhedshullerne.
I en analyse af de to udmeldinger skriver sikkerhedsforsker Dan Kaminsky, at sårbarheden ikke ligger i RSA i forhold til andre krypteringsmetoder. Det handler snarere om uheldige implementeringer af generatorer af tilfældige tal.
Anbefaling
Websteders sikkerhed er ikke berørt af den sårbarhed, forskerne har fundet, så den er ingen grund til at lade være med at bruge dem.