बकवास! पहले KRACK और अब ROCA? लगता है कि यह "दायरे के संरक्षक" के लिए अनुकूल सप्ताह नहीं है!
यह साइबरसिटी की दुनिया में एक उन्मादी सप्ताह रहा है। केआरकेए ने जो दरार छोड़ी थी वह एक फिक्स की कगार पर थी लेकिन इससे पहले कि विशेषज्ञ इसे हल कर पाते, और भी बड़े बम गिरा दिए गए।
आरओसीए को नमस्ते कहो, एक काफी जटिल और एक उत्कृष्ट खतरनाक कमजोरी है जिसे जर्मन संगठन द्वारा निर्मित व्यापक रूप से उपयोग की जाने वाली क्रिप्टोग्राफी चिप्स में खोजा गया है जो कि Infineon Technologies के नाम से चलता है। Google, फुजित्सु, लेनोवो, एचपी जैसे प्रसिद्ध निर्माताओं ने माइक्रोसॉफ्ट को अपने संबंधित सॉफ्टवेयर और हार्डवेयर के लिए फिक्स को बाहर धकेल दिया है जो अपने उपयोगकर्ताओं को अपडेट करने के लिए कह रहे हैं कि वे फिर से कहां कर सकते हैं!
मैथ्यू वानहॉफ द्वारा हाल ही में साइबर स्पेस में एक पोस्ट-डॉक्टरल शोधकर्ता के खुलासे से WPA2 प्रोटोकॉल में एक बड़ी खामी सामने आई है, जो पीड़ित के वाई-फाई रेंज के भीतर किसी भी हैकर को कुंजी इंस्टालेशन का उपयोग करके या उनके बीच सुरक्षा प्रोटोकॉल का दुरुपयोग करने की अनुमति देता है। Vanhoef इसे KRACK तकनीक कह रहा है।
वानहोफ ने डब्ल्यूपीए 2 प्रोटोकॉल पर हमला करके और एंड्रॉइड स्मार्टफोन पर 4-वे हैंडशेक को जोड़कर अपने निष्कर्षों का प्रदर्शन किया। उनका हमला केवल पीड़ित के लॉगिन क्रेडेंशियल को पुनर्प्राप्त करने के लिए सीमित नहीं था, वास्तव में, उसके अनुसार उपयोगकर्ता द्वारा भेजे गए या प्राप्त होने वाली किसी भी जानकारी को डिक्रिप्ट करना संभव है। परिणामस्वरूप, पीड़ित व्यक्ति अपने वाई-फाई नेटवर्क के माध्यम से अपनी संवेदनशील जानकारी जैसे कि बैंक खाता संख्या, क्रेडिट कार्ड नंबर, पासवर्ड, ईमेल, फोटो आदि को संप्रेषित करने की असुरक्षा का गवाह बनता है।
अब ROCA से संबंधित शैक्षिक निष्कर्षों के महत्व को समझने के लिए, "सार्वजनिक कुंजी एन्क्रिप्शन" के मूल सिद्धांतों पर एक सारांश की आवश्यकता है। शुरुआत करने के लिए, एक सार्वजनिक और एक निजी कुंजी दो विषम संख्याओं से उत्पन्न होती है, जिन्हें एक साथ गुणा किया जाता है। उन अभाज्य संख्याओं को हर समय एक गुप्त के रूप में रखा जाना चाहिए और उन्हें निर्धारित करने के लिए किसी तीसरे पक्ष के लिए अत्यधिक चुनौतीपूर्ण होना चाहिए। विशाल राशि के कारकों को मानना बेहद मुश्किल है, भले ही एक अभाज्य संख्या पहले से ही पहचानी गई हो। फिर भी, जो कोई भी उन दोनों मूल संख्याओं पर पकड़ बना सकता है, वह आसानी से एक महत्वपूर्ण जोड़ी उत्पन्न कर सकता है और संदेश पढ़ सकता है।
सेंटर फॉर रिसर्च ऑन क्रिप्टोग्राफी एंड सिक्योरिटी, एनिग्मा ब्रिज के शोधकर्ता
सीए 'फ़ॉस्करी विश्वविद्यालय और मासरिक विश्वविद्यालय, ने आरओसीए हैक का निर्माण किया जो तकनीकी रूप से कोपरसमिथ के हमले के रूप में ज्ञात एक लंबी तकनीक का एक नया संस्करण है। आरओसीए, जो "कोपरसमिथ के हमले की वापसी" के लिए खड़ा है, इस तथ्य पर निर्भर करता है कि सार्वजनिक रूप से साझा की गई संख्या या मापांक, वास्तव में महत्वपूर्ण प्राइम संख्याओं का खुलासा करने के लिए फैक्टर किया जा सकता है।
शोधकर्ताओं के अनुसार, Infineon ने यह नहीं जांचा कि उसका मोडुली कारक नहीं था, इसलिए उपकरणों के द्रव्यमान को अब कमजोर माना जाता है। इसके अलावा, शोधकर्ताओं ने चेतावनी दी कि "खोजी गई संवेदनशील कुंजियों की वर्तमान अनुमानित संख्या लगभग 760, 000 है, लेकिन अधिक से अधिक भेद्यता के दो से तीन परिमाण होने की संभावना है।" उनका पूरा शोध इस महीने के अंत में कंप्यूटर और संचार पर एसीएम सम्मेलन में प्रस्तुत किया जाएगा। सुरक्षा।
सरे विश्वविद्यालय के एक क्रिप्टोग्राफी विशेषज्ञ प्रोफेसर एलन वुडवर्ड कहते हैं कि हमलों की सीमाएँ हैं। उनकी राय में, हमले संभवत: 1024 बिट कुंजियों के खिलाफ केवल व्यावहारिक हैं और 2048 पर बिट्स जितना अधिक नहीं है, उतनी बड़ी संख्या, इसलिए उन अपराधों को कारक बनाना बहुत कठिन है।
एनएसए के पूर्व कर्मचारी और साइबर सिक्योरिटी कंपनी रेंडिशन सेक के प्रमुख जेक विलियम्स ने आरओसीए के माध्यम से दो हमलों को प्रमाणित किया। सबसे पहले, कोड पर हस्ताक्षर करने वाले प्रमाणपत्रों का दुरुपयोग करके, जो यह प्रमाणित करने के लिए उपयोग किया जाता है कि सॉफ्टवेयर एक विश्वसनीय स्रोत से आ रहा है। दूसरा, यह जांचना संभव है कि क्या https://keychest.net/roca पर जाकर और वहां पर सार्वजनिक कुंजी दर्ज करने से कुंजी सुरक्षित है या नहीं।
उन्होंने कहा, "प्रमाणपत्र की सार्वजनिक कुंजी पर हस्ताक्षर करने वाले कोड की मदद से, कोई भी हमलावर उस निजी कुंजी को प्राप्त कर सकता है जो उन्हें सॉफ्टवेयर पर हस्ताक्षर करने की अनुमति देता है जो पीड़ित की नकल कर रहा है।"
हमलावर के लिए एक टीपीएम (ट्रस्टेड प्लेटफॉर्म मॉड्यूल) को बेवकूफ बनाने की संभावना है जो कंप्यूटर या स्मार्टफोन पर एक विशेष चिप है जो आरएसए एन्क्रिप्शन कुंजी को संग्रहीत करता है, और दुर्भावनापूर्ण या अविश्वसनीय कोड इंजेक्ट करता है। विलियम्स ने आगे चेतावनी दी, “टीपीएम का उपयोग उस कोड को सुरक्षित करने के लिए किया जाता है जिसका उपयोग कर्नेल को बूट करने के लिए किया जाता है। टीपीएम को चकमा देने से हमलावर अपने हमले को करने की अनुमति देता है जहां वे मेजबान के ऑपरेटिंग सिस्टम का वर्चुअलाइजेशन करते हैं। अन्य हमलों की एक दर्जन किस्में हैं, हालांकि, Infineon चिप्स की इस कमजोरी को HSMs (हार्डवेयर सुरक्षा मॉड्यूल) और TPM में एक बहुत बड़ा खतरा माना जाता है। ”
स्थानीय मीडिया के अनुसार, गंभीर पहचान की चोरी के खतरों को उजागर करते हुए, एस्टोनिया की राष्ट्रीय आईडी कार्ड प्रणाली भी अब तक 750, 000 तक पहुंचने वाली संख्या के साथ इस कमजोरी से प्रभावित हुई है।
संबंधित उपयोगकर्ताओं को और सलाह देने के लिए, Microsoft, Infineon, और Google ने इस रहस्योद्घाटन से आगे रहने की स्वतंत्रता ली और पिछले सप्ताह में चेतावनी और नोटिस जारी किए। पैच की उपलब्धता के साथ, पहले सुरक्षित विकल्प उपयोगकर्ता और आईटी टीमों को निस्संदेह विक्रेता अद्यतन पर विचार करना चाहिए। उम्मीद है, निकट भविष्य में सामान्य जनता के लिए पैचवर्क के साथ उद्धारकर्ता आएंगे और हम सभी को इस आर्मगेडन से बचाएंगे!
