A atual infraestrutura pública de senhas usada para assegurar a HTTPS possui falhas que – em alguns casos – podem ser exploradas por invasores para roubar dados e atacar servidores.
Esta descoberta veio de um artigo científico, que será apresentado na conferência Crypto 2012, em agosto, em Santa Barbara, Califórnia. O artigo foi escrito por uma equipe de matemáticos e codificadores europeus e norte-americanos, liderados pelo holandês Arjen K. Lenstra, na Ecole Polytechnique Federale de Lausanne (EPFL), na Suíça.
“Realizamos uma verificação nas senhas públicas coletadas na rede. Nosso principal objetivo era testar a validade de que diferentes escolhas eram feitas cada vez que uma senha era gerada. Descobrimos que a grande maioria de senhas públicas funciona bem”.
Mas os pesquisadores também descobriram que a codificação de senhas públicas usadas pelo algoritmo RSA 1.024 bits é somente 99,8% eficaz, o que significa que pelo menos duas de cada mil senhas públicas podem ser crackeada.
“Ficamos surpresos que milhares de módulos RSA 1.024 bits, incluindo milhares que ainda contêm certificados válidos X.509, são inseguros”. Os certificados X.509 são usados por autoridades de certificação para validar identidade do site, ajudando assim a proteger tudo, desde e-mail até transações bancárias.
Para sua pesquisa, a equipe EPFL usou dados de várias fontes, incluindo o projeto SSL Observatory, da Electronic Frontier Foundation (EFF), que armazena downloads de todos os certificados SSL visíveis na internet, o que permite que pesquisadores busquem vulnerabilidades HTTPS.
Qual a causa para a inesperada repetição ou compartilhamento dos códigos? Quando a senha RSA é gerada, exige a seleção de dois números escolhidos aleatoriamente que não tenham sido previamente apontados por alguém usando a senha RSA. Qualquer um que use a senha conhecerá esses números e os usará – juntamente com um código público criado por dois números – para codificar os dados.
Essas senhas vulneráveis figuram um sério risco para segurança na internet porque qualquer um que seja capaz de identificar os dois primeiros números usados para gerar a senha RSA pode passar pelas proteções.
Tradução: Alba Milena, especial para o IT Web | Revisão: Adriele Marchesini
Saiba mais:
A computação quântica ainda não tem aplicação comercial em escala. A Hewlett Packard Enterprise (HPE)…
A China voltou a defender a criação de mecanismos internacionais de governança para inteligência artificial…
A SpaceX alcançou um marco importante e histórico poucos dias após sua estreia na bolsa…
A inteligência artificial já entrou no radar estratégico das empresas brasileiras, mas sua adoção ainda…
Na visão de Domingos Bruno, especialista do IT Forum Inteligência, o CIO do futuro não…
O presidente Luiz Inácio Lula da Silva apresentou a posição brasileira sobre governança digital e inteligência…