Feltörték az SSL-titkosítást

Vágólapra másolva!
Egy svájci egyetem kutatói biztonsági hibára bukkantak a széles körben használt titkosítási technológiában. A biztonsági rés súlyosságáról megoszlik a szakemberek véleménye.
Vágólapra másolva!

A Lausanne-i Műszaki Egyetem biztonsági és kriptográfiai laboratóriumának szakemberei azt állítják, hogy komoly biztonsági hibára bukkantak az SSL (Secure Socket Layer) protokollban. Az SSL titkosítást világszerte széles körben alkalmazzák e-mailek titkosítására, illetve különböző internetes boltokban a vásárlók adatainak biztonságos átviteléhez.

Serge Vaudenay, az egyetem egyik professzora a BBC-nek adott nyilatkozatában elmondta, az intézet szakemberei által felfedezett hiba magában az SSL protokollban van, nem pedig a szabvány valamelyik implementációjában (tavaly nyáron svéd szakemberek a Microsoft SSL-megvalósításában bukkantak biztonsági résre). Vaudney közlése szerint a kutatóknak kevesebb mint 1 óra alatt sikerült visszafejteniük egy olyan üzenetet, amelyet SSL-lel rejtjeleztek. Ezt követően képesek voltak csatlakozni a titkosítást használó kiszolgálóhoz az eredeti felhasználó nevében, s hozzáfértek annak leveleihez, s akár pénzügyi tranzakciókat is végre tudtak hajtani.

Ezzel szemben amerikai kriptográfiai szakértők nem tulajdonítanak nagy jelenséget a hibának, mivel elmondásuk szerint azt nem az online boltokban használatos SSL-technológiában találták a Lasec emberei, hanem a nyílt forrású OpenSSL-ben. Avo Rubin, a marylandi Johns Hopkins Egyetem információbiztonsági intézetének professzora szerint a Lasec által felfedezett hiba csak a nem túl széles körben, általában az e-mailekhez történő biztonságos hozzáféréshez használt SSL-technológiát érinti. Ráadásul ennek kiaknázásához a támadónak rendelkeznie kell hozzáféréssel egy olyan számítógépen, amelyen a kiszolgáló, illetve a kliensgép közötti kommunikáció keresztülhalad - emelte ki Rubin.