Sıfırlarla Dolu RSA Anahtarları: Yeni Bir Güvenlik Açığı Sınıfı Siber Güvenlik

Sıfırlarla Dolu RSA Anahtarları: Yeni Bir Güvenlik Açığı Sınıfı

Araştırmacılar, içinde çok sayıda sıfır bulunan RSA anahtarlarının yeni bir zayıf anahtar sınıfı oluşturduğunu keşfetti.

Badkeys projesi, genel anahtarları bilinen güvenlik açıklarına karşı tarayan açık kaynaklı bir hizmettir. Bu proje geliştirilirken, araştırmacı Hanno, Sertifika Şeffaflığı günlükleri, TLS ve SSH taramaları, PGP anahtarları gibi kamuya açık kaynaklardan çok sayıda gerçek dünya anahtarı topladı. Bu veri kümesini beklenmedik şekilde seyrek RSA modülleri açısından incelediklerinde, internette iki farklı desende çok sayıda anahtar buldular. Bu desenler, düzenli aralıklarla yerleştirilmiş sıfır blokları ve rastgele görünen verilerden oluşuyor.

Birinci desen, Yahoo ve Verizon gibi büyük kuruluşlara ait sertifikaların Sertifika Şeffaflığı günlüklerinde ve NetApp yazılımı çalıştıran bazı cihazlarda bulundu. Neyse ki bu sertifikaların süresi dolmuş olsa da, araştırmacılar bulgularını bu şirketlerle paylaştı. İkinci desen ise EnterpriseDT'nin CompleteFTP yazılımını çalıştıran SSH sunucularında tespit edildi. Bu güvenlik açığı, Aralık 2016 ile Mart 2019 arasında üretilen RSA anahtarlarını ve Aralık 2016 ile Aralık 2023 arasında üretilen DSA anahtarlarını etkiliyor.

Bu güvenlik açıkları, internet üzerindeki sunucuların küçük bir kısmını etkilese de, daha ilginç olan, bağımsız kriptografik uygulamaların benzer şekilde başarısız olmasıdır. Aynı hataları içeren daha fazla uygulama olabileceğinden, kriptanalitik algoritmaların bu tür başarısızlıklar için özelleştirilmesi önem kazanıyor. Araştırmacılar, bu tür anahtarların faktoringinin normal RSA anahtarlarına göre çok daha kolay olduğunu belirtiyor.

Sonuç olarak, RSA anahtarlarında sıfır yoğunluğu yeni bir zayıf anahtar sınıfı oluşturuyor. Badkeys projesi, bu tür anahtarların tespiti için önemli bir araç haline gelirken, kriptografi topluluğunun bu tür yapısal zayıflıklara karşı daha dikkatli olması gerekiyor. Gelecekteki çalışmalar, benzer desenlerin diğer kriptografik sistemlerde de var olup olmadığını araştırmalıdır.

Paylaş: