Вячеслав Ансимов
Ученые из Кембриджа нашли способ взлома криптопроцессора IBM PCI Cryptographic Coprocessor или , который обеспечивает безопасность транзакций в компьютерных системах многих банков и даже Государственного казначейства США.
Как сообщил в пятницу , два аспиранта — Майкл Бонд и Ричард Клэйтон — разработали программы, позволяющие получить доступ к ключам шифрования криптопроцессора IBM 4758. Имея эти ключи, можно легко прочитать защищаемую информацию, такую, как номера кредитных карточек или PIN-коды.
Криптографический сопроцессор IBM 4758 работает на шине PCI в серверах с различными операционными системами и осуществляет аппаратное шифрование данных по алгоритмам DES, RSA и DSA, также поддерживает ряд других криптографических функций. Ранее его многоуровневая защита считалась неприступной.
На аппаратном уровне безопасность криптопроцессоров проверяется и утверждается правительственными службами. В 1998 году IBM 4758 был отнесен к наиболее защищенным от проникновения системам. Если попытаться физически (на аппаратном уровне) влезть в устройство, чтобы считать информацию, все ключи сразу уничтожаются. На программном уровне такой проверки нет. Аспиранты считают, что этот пробел необходимо быстро устранить.
Для ускорения процесса они хакерские программы и подробное описание технологии взлома в Сети. Корпорации IBM также было сообщено об обнаруженных методах, однако ответа пока не последовало.
Дыру аспирантам удалось найти и расковырять в программном интерфейсе (API), посредством которого осуществляется управление ключами шифрования. Бонд и Клэйтон модифицировали метод простого перебора ключей. После хитрой модификации вместо 70 лет тупого перебора со скоростью 33 миллиона комбинаций в секунду, на получение нужного ключа уходит всего 1 день. Чтобы запустить такую программу, достаточно общедоступного компьютерного оборудования стоимостью примерно 1000 долларов.
Аспиранты заявили, что не хотят навредить IBM, а лишь надеются, что компания изучит результаты их работы и прислушается к их советам. Судя по другим высказываниям доброжелательных криптографов, они все же испытывали свои программы с понедельника по среду на сервере неназванного бермудского банка.
 |
|
| ССЫЛКИ ПО ТЕМЕ |  |
|
|
| МАТЕРИАЛЫ ПО ТЕМЕ | |
Однорукие бандиты сдались хакерам — 11.09.01
«ЛАН Крипто» взломала защиту российских банков — 15.08.01
Хакеры взломали базу данных Western Union — 11.09.00