Categorias

Vulnerabilidade na geração de chaves de criptografia é devastadora

Enquanto metade da comunidade de segurança se preocupa com a vulnerabilidade do Wi-Fi, outra metade está preocupada com outra descoberta devastadora: uma falha na geração de chaves de criptografia.

Pesquisadores da República Checa, da Itália e do Reino Unido detectaram um bug em uma biblioteca amplamente utilizada em diversos dispositivos que leva a geração de senhas que não são totalmente randômicas e podem ser adivinhadas.

A chamada vulnerabilidade ROCA permitiria por exemplo que uma chave privada RSA de 512 bits pudesse ser quebrada em apenas duas horas com o uso de um único processador Intel E5-2650 a partir da chave pública. Na teoria, até mesmo uma chave de 2048 bits poderia ser quebrada de uma forma viável com o investimento adequado.

A biblioteca que contém a falha faz parte dos módulos dos chipsets da Infineon Technologies, que são utilizados em um grande número de produtos, como smartcards, tokens e processadores. Na lista estão incluídos Chromebooks do Google e até laptops e PCs fabricados por empresas como HP, Lenovo e Fujitsu.

Em outras palavras, um amplo espectro de soluções de criptografia, em diferentes dispositivos, até então consideradas inexpugnáveis podem ser agora quebradas com um ataque de força bruta que explore essa vulnerabilidade.

De acordo com a pesquisa publicada, “apenas o conhecimento da chave pública é necessária e não é exigido nenhum acesso físico ao dispositivo vulnerável”. Para os responsáveis pela descoberta, “todas as chaves RSA gerada pelo chip vulnerável estão impactadas”.

O bug foi descoberto em Janeiro e revelado aos fabricantes para que fossem desenvolvidas atualizações de firmware e correções que neutralizem o problema. Somente agora, quase dez meses depois, a pesquisa chega ao conhecimento público. O impacto da falha de segurança ainda está para ser avaliado.