Yeni bir araştırma, RSA anahtarlarında beklenmedik bir güvenlik açığını ortaya çıkardı: çok sayıda sıfır içeren anahtarlar. Badkeys adlı açık kaynaklı bir proje, kamuya açık kaynaklardan topladığı milyonlarca anahtarı tarayarak, aralarında düzenli aralıklarla sıfır blokları içeren iki farklı desen tespit etti. Bu desenler, görünüşte rastgele verilerle serpiştirilmiş sıfırlardan oluşuyor ve kriptografik zayıflıklara işaret ediyor.
Birinci desen, Yahoo ve Verizon gibi büyük kuruluşlara ait sertifikalarda ve NetApp yazılımı çalıştıran cihazlarda bulundu. Neyse ki bu sertifikaların süresi dolmuş olsa da, araştırmacılar bulgularını ilgili şirketlerle paylaştı. İkinci desen ise EnterpriseDT'nin CompleteFTP yazılımını kullanan SSH sunucularında tespit edildi. Bu güvenlik açığı, RSA anahtarlarının 10.0.0-12.0.0 sürümlerini (Aralık 2016-Mart 2019) ve DSA anahtarlarının 10.0.0-23.0.4 sürümlerini (Aralık 2016-Aralık 2023) etkiliyor.
Bu güvenlik açıkları internet üzerindeki küçük bir azınlığı etkilese de, asıl önemli nokta, bağımsız kriptografik uygulamaların benzer hatalar yapması. Araştırmacılar, bu tür hataların diğer uygulamalarda da bulunabileceğini ve bu nedenle kriptanalitik algoritmaların bu tür başarısızlıklara göre uyarlanması gerektiğini belirtiyor.
Badkeys projesi, Sertifika Şeffaflığı günlükleri, internet genelindeki TLS ve SSH taramaları, PGP anahtarları gibi kaynaklardan topladığı verilerle, zayıf anahtarların tespit edilmesini sağlıyor. Bu çalışma, kriptografik güvenliğin sağlanması için sürekli denetim ve güncellemelerin önemini bir kez daha ortaya koyuyor.