Ученые из Кембриджа нашли способ взлома криптопроцессора IBM PCI Cryptographic Coprocessor или IBM 4758, который обеспечивает безопасность транзакций в компьютерных системах многих банков и даже Государственного казначейства США.
Как сообщил 9 ноября Кембриджский университет, два аспиранта - Майкл Бонд и Ричард Клэйтон - разработали программы, позволяющие получить доступ к ключам шифрования криптопроцессора IBM 4758. Имея эти ключи, можно легко прочитать защищаемую информацию, такую, как номера кредитных карточек или PIN-коды.
Криптографический сопроцессор IBM 4758 работает на шине PCI в серверах с различными операционными системами и осуществляет аппаратное шифрование данных по алгоритмам DES, RSA и DSA, также поддерживает ряд других криптографических функций. Ранее его многоуровневая защита считалась неприступной.
На аппаратном уровне безопасность криптопроцессоров проверяется и утверждается правительственными службами. В 1998 году IBM 4758 был отнесен к наиболее защищенным от проникновения системам. Если попытаться физически (на аппаратном уровне) влезть в устройство, чтобы считать информацию, все ключи сразу уничтожаются. На программном уровне такой проверки нет. Аспиранты считают, что этот пробел необходимо быстро устранить.
Для ускорения процесса они выложили хакерские программы и подробное описание технологии взлома в Сети. Корпорации IBM также было сообщено об обнаруженных методах, однако ответа пока не последовало.
Дыру аспирантам удалось найти и расковырять в программном интерфейсе (API), посредством которого осуществляется управление ключами шифрования. Бонд и Клэйтон модифицировали метод простого перебора ключей. После хитрой модификации вместо 70 лет тупого перебора со скоростью 33 миллиона комбинаций в секунду, на получение нужного ключа уходит всего 1 день. Чтобы запустить такую программу, достаточно общедоступного компьютерного оборудования стоимостью примерно $1000.
Аспиранты заявили, что не хотят навредить IBM, а лишь надеются, что компания изучит результаты их работы и прислушается к их советам. Судя по другим высказываниям доброжелательных криптографов, они все же испытывали свои программы с понедельника по среду на сервере неназванного бермудского банка, сообщает ИА "Нетоскоп".