Yeni bir zayıf RSA anahtarı sınıfı üzerine ilginç bir araştırma: bol sıfırlı anahtarlar. Bu anahtarların doğada olduğu ortaya çıktı.
Badkeys projesi, genel anahtarları bilinen güvenlik açıklarına karşı kontrol eden açık kaynaklı bir hizmettir. Hanno, bu aracı geliştirirken, Sertifika Şeffaflığı günlükleri, internet çapında TLS ve SSH taramaları, PGP anahtarları ve diğerleri dahil olmak üzere halka açık kaynaklardan çok sayıda gerçek dünya anahtarı topladı. Bu veri kümesini beklenmedik derecede seyrek RSA modülleri için arayarak, Şekil 1'deki desenlere sahip çok sayıda anahtarı ortaya çıkardık.
Her iki model de, görünüşte rastgele verilerle serpiştirilmiş, tümü sıfırlardan oluşan, düzenli aralıklarla yerleştirilmiş birkaç blok içerir. Desen 1, Yahoo ve Verizon da dahil olmak üzere birçok büyük kuruluşa verilen sertifikalara ilişkin CT günlüklerinde ve NetApp yazılımını çalıştıran bazı cihazlarda görünür. Neyse ki bu sertifikaların süresi doldu ama yine de bulgularımızı bu şirketlerle paylaştık. Bu anahtarların üretilmesinden hangi ürünün sorumlu olabileceği hakkında daha fazla bilgi edinmek istedik ancak yanıt alamadık. Model 2, EnterpriseDT'nin CompleteFTP yazılımını çalıştıran SSH ana bilgisayarlarında görünür. Temel güvenlik açığı, 10.0.012.0.0 (Aralık 2016Mart 2019) sürümleri kullanılarak oluşturulan RSA anahtarlarını ve v10.0.023.0.4 (Aralık 2016Aralık 2023) ile oluşturulan DSA anahtarlarını etkilemektedir.
Bu güvenlik açıkları internetteki ana bilgisayarların küçük bir azınlığını etkiliyor ancak daha ilginç olan sonuç, bağımsız şifreleme uygulamalarının benzer şekillerde başarısız olmasıdır. Daha fazla uygulama aynı hataları içerebilir ve bu nedenle, bu özel hata türü için kriptanaliz algoritmalarını uyarlamaya değer.