Yeni bir araştırma, RSA anahtarlarında çok sayıda sıfır içeren zayıf anahtarların internette yaygın olduğunu ortaya koydu. Badkeys projesi, açık kaynaklı bir araç olarak genel anahtarları bilinen güvenlik açıklarına karşı tarıyor. Geliştirici Hanno, bu araç için Certificate Transparency günlükleri, TLS ve SSH taramaları, PGP anahtarları gibi kaynaklardan topladığı devasa veri kümesini analiz ederek Şekil 1'deki desenlere sahip çok sayıda anahtar keşfetti.
Her iki desen de düzenli aralıklarla yerleştirilmiş sıfır blokları ve aralarında rastgele görünen veriler içeriyor. Desen 1, Yahoo ve Verizon gibi büyük kuruluşlara ait sertifikaların CT günlüklerinde ve NetApp yazılımı çalıştıran bazı cihazlarda bulundu. Neyse ki bu sertifikaların süresi dolmuş olsa da araştırmacılar bulgularını ilgili firmalarla paylaştı. Hangi ürünün bu anahtarları ürettiğini öğrenmek için geri dönüş bekleniyor.
Desen 2 ise EnterpriseDT'nin CompleteFTP yazılımını çalıştıran SSH sunucularında görüldü. Bu zafiyet, RSA anahtarlarının 10.0.0-12.0.0 sürümlerinde (Aralık 2016-Mart 2019) ve DSA anahtarlarının 10.0.0-23.0.4 sürümlerinde (Aralık 2016-Aralık 2023) üretilen anahtarları etkiliyor. Bu durum, bağımsız kriptografik uygulamaların benzer şekilde başarısız olduğunu gösteriyor.
Bu zafiyetler internet üzerindeki az sayıda anahtarı etkilese de asıl önemli çıkarım, bağımsız kriptografik uygulamaların benzer hatalar yapması. Daha fazla uygulamanın aynı hataları içerebileceği düşünülüyor, bu nedenle kriptanalitik algoritmaların bu tür başarısızlıklara göre uyarlanması önem taşıyor.