dodany: 25.10.2012 | tagi: , , ,

Autor:

Google, Yahoo i Microsoft wzmacniają swoją pocztę

1

Trzech najważniejszych potentatów mailowych wzmocniło ochronę swoich usług. Problem dotyczył faktu, iż do tej pory używali 1024-bitowego klucza w implementacji mechanizmu DomainKeys Identified Mail (DKIM). Według niektórych rozważań klucz RSA o takiej długości może być w stosunkowo łatwy sposób złamany – teorię na ten temat przedstawiono na stronie US-Cert.

Sposobność złamania odkrył jako pierwszy, matematyk Zachary Harris, który otrzymał maila od łowcy talentów z firmy Google, ze wspomnianym słabym kluczem. Jak podaje serwis Wired – Harris złamał ten klucz oraz wysłał spreparowanego maila do założycieli Google:  Larry’ego Page’a i Sergey’a Brina. W mailu znalazła się odmowa odnośnie oferty pracy. Haris zapytał się też, czy słabość tego klucza była zadaniem wstępnym – odpowiedzi nie otrzymał, ale Google dwa dni później zaczęło stosować klucze o długości 2048 bitów.

Nie inaczej postąpiły też firmy Yahoo oraz Microsoft. Harris zwraca uwagę, iż PayPal stosuje klucz o długości zaledwie 768 bitów – jest on  stosunkowo łatwy do złamania. Takiej samej długości klucze wykorzystuje także bank HSBC, LinkedIn, US Bank (i się dziwić, że są później włamania).  Jeszcze krótsze klucze, bo 512-sto bitowe stosuje eBay, Amazon oraz Twitter.

Harris zwraca uwagę, iż klucz  384-bitowy może złamać w ciągu doby na swoim laptopie, 512-bitowy wymaga już 72 godzin, natomiast złamanie 768-bitowego wymaga już sporej wiedzy i mocy obliczeniowej, aczkolwiek jest jak najbardziej możliwe.

 

 

 

Redaktor działu aktualności WebSecurity.pl. Pasjonat komputerów od czasów epoki "bezmyszkowej".

Jedna odpowiedź do “Google, Yahoo i Microsoft wzmacniają swoją pocztę”

  1. avatar Adam Wicherek pisze:

    Zastanawiam się, dlaczego nasi wspominany PayPal stosuje taki słaby klucz? Może i potrzeba pewnej mocy na złamanie, ale PayPal to nie firma krzak którą się nikt nie interesuje. Mam jakieś dziwne wrażenie, że tam gdzie szyfrowanie i zabezpieczenia powinny być na najwyższym możliwym poziomie, są one po prostu na zasadzie "byle coś tam było". A i tak kto winny w razie włamania? Klient.

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *