کلیدهای رمزگذاری بی خاصیت
گروهی از محققان موفق به کشف یک ضعف امنیتی در سیستم های رمزگذاری رایج مورد استفاده در سایت های فروش On-Line و بانکداری اینترنتی، شده اند که نشان می دهد هزاران کلید رمزگذاری در این سیستم ها فاقد امنیت لازم هستند.
نتیجه تحقیقات ثابت کرده است که از هر یک هزار “کلید رمزگذاری عمومی” (Public Encryption Key) چهار کلید هیچگونه امنیتی برای استفاده کنندگان از آنها، تامین نمی کند. این اطلاعات از بررسی 7 میلیون کلید عمومی که برای تامین امنیت مبادلات On-Line، عملیات بانکی اینترنتی و دیگر سرویس های امن تحت وب استفاده می شوند، به دست آمده است.
ضعف امنیتی کشف شده در این سیستم های رمزگذاری، در نحوه تولید “اعداد اصلی شانسی” (Random Prime Number) است که بخش مهمی از چرخه ساخت “کلید رمزگذاری عمومی” به شمار می آید. به دلیل وجود این ضعف امنیتی، در ساخت هزاران کلید عمومی از اعداد مشابه و یکسان استفاده شده است. این ضعف امنیتی در چندین سیستم رمزگذاری مختلف که توسط شرکت های تولید کننده متفاوت عرضه می شوند، وجود دارد.
در سیستم های رمزگذاری توسط “کلیدهای عمومی”، دو عدد اصلی بسیار بزرگ، بطور شانسی تولید می شوند. از ترکیب این دو عدد، یک کلید عمومی ساخته می شود که می تواند اطلاعاتی نظیر یک پیام ایمیل را به صورت رمز شده درآورد. تنها فردی که دارای اعداد تولید شده اولیه یا به عبارتی دارای “کلید خصوصی” (Private Key) است، می تواند آن اطلاعات رمز شده را رمزگشایی کند. ولی اگر اعداد تولید شده واقعاً شانسی نباشند، برای افراد دیگر نیز این امکان وجود دارد که بتوانند اطلاعات رمز شده را بازگشایی کنند.
این محققان که از چند دانشگاه آمریکایی و اروپایی این تحقیقات را انجام داده اند، تصمیم داشتند که نتایج به دست آمده را در کنفرانس سالانه Cryptography ارائه کنند ولی به دلیل اهمیت و حساسیت موضوع، اطلاعات خود را برای بررسی و پیگیری شرکت ها و مراکز ذیصلاح، فوراً منتشر کردند.
علاقمندان به کسب اطلاعات فنی بیشتر می توانند مقاله منتشر شده از سوی این گروه را در این نشانی مطالعه کنند.
