В опубликованном отчете совместной группы криптоаналитиков из США и Европы говорится, что популярный метод шифрования, используемый для защиты систем онлайн-банкинга, электронной почты, e-коммерции оказывается не столь надежным, как принято считать.

рамках проведенного исследования группа криптоаналитиков проверила несколько миллионов публичных ключей, используемых веб-сайтами для шифрования онлайн-транзакций и пришла к заключению, что некоторое число этих ключей подвержены компрометации.

Как говорят специалисты, в большинстве случаев проблема кроется в том, как генерируются публичные ключи. Числа, генерируемые для ключей, должны быть совершенно случайными, однако они далеко не всегда являются случайными в достаточной мере. Это грозит тем, что при использовании доступных на сегодняшний день техник дешифровки информации по публичному общедоступному ключу можно вычислить и приватный ключ. Имея оба ключа можно вскрыть защищенные ими данные.

"Это очень существенная криптографическая уязвимость, вызванная тем, что в программах для шифрования данных зачастую применяются недостаточно надежные генераторы случайных чисел", - говорит Питер Экерсли, старший технолог в Electronic Frontier Foundation. По его словам, подобные ненадежные генераторы случайных чисел применяются для технологий HTTPS, SSL и TLS, широко используемых в интернете.

"Мы сейчас тесно сотрудничаем с удостоверяющими центрами и предупреждаем их об уязвимостях, а также просим перевыпустить некоторые ранее выпущенные SSL-сертификаты, чтобы уязвимые ключи были отозваны", - говорит он.

Публичные ключи в большинстве случаев встраиваются в цифровые сертификаты, выпускаемые удостоверяющими центрами. В теории публичный и приватные ключи выпускаются одновременно и дополняют друг друга. Также в теории приватный ключ невозможно вычислить, зная публичный ключ и систему шифрования, однако как показало практическое исследование, в ряде случаев это можно сделать.

Совместная группа специалистов из Франции, Швейцарии и США проанализировала 6,6 млн публичных ключей, созданных по алгоритму RSA, и пришла к выводу, что 12 720 были "совершенно ненадежны", еще 27 000 - "частично уязвимы". "Секретные ключи оказались доступны всем, кто использовал технологию ретроспективного анализа и прямого сравнения", - говорит Экерсли.

По его словам, ключи для анализа были взяты из нескольких публичных хранилищ, в том числе и из одного, управляемого EFF. "Проблема кроется в генераторах случайных чисел. Скорее всего, и хакеры при желании могут воспользоваться этой уязвимостью в своих интересах", - говорит Экерсли.