Çok Sayıda Sıfır İçeren RSA Anahtarları: Yeni Bir Güvenlik Açığı Sınıfı Siber Güvenlik

Çok Sayıda Sıfır İçeren RSA Anahtarları: Yeni Bir Güvenlik Açığı Sınıfı

Badkeys projesi, içinde çok sayıda sıfır bulunan RSA anahtarlarının varlığını ortaya çıkardı. Bu anahtarlar Yahoo, Verizon ve CompleteFTP kullanan SSH

Siber güvenlik dünyasında RSA anahtarlarının güvenliği, genellikle yeterli uzunlukta ve rastgele asal sayılara dayanır. Ancak Badkeys projesi, beklenmedik bir zayıf anahtar sınıfı keşfetti: çok sayıda sıfır içeren RSA modülleri. Bu anahtarlar, Certificate Transparency günlükleri, TLS ve SSH taramaları ve PGP anahtarları gibi geniş bir veri kümesinde tespit edildi. Keşif, kriptografik uygulamalardaki benzer hataların düşünülenden daha yaygın olabileceğini gösteriyor.

Badkeys projesi, açık kaynaklı bir hizmet olarak kamuya açık anahtarları bilinen güvenlik açıklarına karşı kontrol ediyor. Geliştirici Hanno, bu aracı oluştururken gerçek dünyadan milyonlarca anahtar topladı. Bu veri setinde, beklenmedik şekilde seyrek RSA modülleri arayan ekip, Şekil 1'de gösterilen iki farklı desen keşfetti. Bu desenler, düzenli aralıklarla yerleştirilmiş sıfır blokları ve aralarında rastgele görünen veriler içeriyor.

Birinci desen, Yahoo ve Verizon gibi büyük şirketlere ait sertifikalarda ve NetApp yazılımı çalıştıran bazı cihazlarda bulundu. Neyse ki bu sertifikaların süresi dolmuş durumda, ancak ekip bulgularını bu şirketlerle paylaştı. Bu anahtarları hangi ürünün ürettiği henüz bilinmiyor. İkinci desen ise EnterpriseDT'nin CompleteFTP yazılımını çalıştıran SSH sunucularında tespit edildi. Bu yazılımın RSA anahtarları 10.0.0-12.0.0 sürümlerinde (Aralık 2016-Mart 2019) ve DSA anahtarları 10.0.0-23.0.4 sürümlerinde (Aralık 2016-Aralık 2023) zayıflık gösteriyor.

Bu güvenlik açıkları, internet üzerindeki sunucuların küçük bir kısmını etkilese de, asıl önemli nokta bağımsız kriptografik uygulamaların benzer şekilde başarısız olmasıdır. Bu durum, aynı hataları içeren daha fazla uygulama olabileceğini ve kriptanalitik algoritmaların bu tür başarısızlıklara göre uyarlanması gerektiğini gösteriyor. Özellikle sıfır blokları içeren anahtarlar, Coppersmith saldırıları gibi yöntemlerle kolayca çarpanlarına ayrılabiliyor.

Kullanıcılar için pratik çıkarım, güvenilir anahtar üretim yazılımları kullanmak ve anahtarlarını düzenli olarak Badkeys gibi araçlarla kontrol etmektir. Özellikle CompleteFTP kullanıcıları, yazılımlarını güncelleyerek bu zafiyetten korunabilir. Ayrıca, Certificate Transparency günlükleri gibi kamuya açık kaynaklardan anahtar toplamak, zayıf anahtarların tespitini kolaylaştırıyor.

Sonuç olarak, RSA anahtarlarında çok sayıda sıfır bulunması, kriptografik uygulamalardaki yaygın bir hatanın göstergesi. Bu keşif, güvenlik araştırmacılarının ve sistem yöneticilerinin anahtar üretim süreçlerine daha fazla dikkat etmesi gerektiğini vurguluyor. Badkeys projesi gibi araçlar, bu tür zayıf anahtarların tespitinde önemli bir rol oynuyor.

Kaynak: schneier.com

Paylaş: