Estudiosos descobrem falha que compromete toda a cadeia HTTPS

Author Photo
12:24 pm - 17 de fevereiro de 2012

A atual infraestrutura pública de senhas usada para assegurar a HTTPS possui falhas que – em alguns casos – podem ser exploradas por invasores para roubar dados e atacar servidores.

 

Esta descoberta veio de um artigo científico, que será apresentado na conferência Crypto 2012, em agosto, em Santa Barbara, Califórnia. O artigo foi escrito por uma equipe de matemáticos e codificadores europeus e norte-americanos, liderados pelo holandês Arjen K. Lenstra, na Ecole Polytechnique Federale de Lausanne (EPFL), na Suíça.

 

“Realizamos uma verificação nas senhas públicas coletadas na rede. Nosso principal objetivo era testar a validade de que diferentes escolhas eram feitas cada vez que uma senha era gerada. Descobrimos que a grande maioria de senhas públicas funciona bem”.

 

Mas os pesquisadores também descobriram que a codificação de senhas públicas usadas pelo algoritmo RSA 1.024 bits é somente 99,8% eficaz, o que significa que pelo menos duas de cada mil senhas públicas podem ser crackeada.

 

“Ficamos surpresos que milhares de módulos RSA 1.024 bits, incluindo milhares que ainda contêm certificados válidos X.509, são inseguros”. Os certificados X.509 são usados por autoridades de certificação para validar identidade do site, ajudando assim a proteger tudo, desde e-mail até transações bancárias.

Para sua pesquisa, a equipe EPFL usou dados de várias fontes, incluindo o projeto SSL Observatory, da Electronic Frontier Foundation (EFF), que armazena downloads de todos os certificados SSL visíveis na internet, o que permite que pesquisadores busquem vulnerabilidades HTTPS.

Qual a causa para a inesperada repetição ou compartilhamento dos códigos? Quando a senha RSA é gerada, exige a seleção de dois números escolhidos aleatoriamente que não tenham sido previamente apontados por alguém usando a senha RSA. Qualquer um que use a senha conhecerá esses números e os usará – juntamente com um código público criado por dois números – para codificar os dados.

Essas senhas vulneráveis figuram um sério risco para segurança na internet porque qualquer um que seja capaz de identificar os dois primeiros números usados para gerar a senha RSA pode passar pelas proteções.

 

 

Tradução: Alba Milena, especial para o IT Web | Revisão: Adriele Marchesini

 

Saiba mais:

Twitter aumenta segurança com protocolo HTTPS

Notícias relacionadas

Notícias
Sberbank oferece IA soberana a países do Sul Global
Notícias
Palo Alto registra alta na procura por segurança em IA
Notícias
iFood confirma vazamento de dados de 1,2 milhão de usuários
Notícias
Sam Altman é convidado a participar do G7 na França
Ver todas as noticias

Newsletter de tecnologia para você

Os melhores conteúdos do IT Forum na sua caixa de entrada.