Bezpečný e-mail má slabinu, ale bát se nemusíte

Švýcarským kryptografům se podařilo najít skulinu v SSL zabezpečení komunikace při odesílání a přijímání elektronické pošty. Spolu se zveřejněním této informace byl zpřístupněn i zdrojový kód pro kompilaci opravného patche.
Zaměstnanci Bezpečnostní a kryptografické laboratoře LASEC zveřejnili zprávu, ve které upozorňují na chybu, kterou obsahuje SSL (Secure Sockets Layer) protokol. Pomocí této chyb lze časovanými útoky získat hesla odesílaná přes SSL zabezpečené spojení během 60 minut. Podle ředitele LASECu profesora Serge Vaudenaye jde o prvních chybu přímo v protokolu SSL a ne ve způsobu jeho aplikace.

SSL protokol je používán k účelům jako je bezpečné připojení k poštovnímu serveru nebo zabezpečení obchodní transakce prováděné přes internet. Chyba odhalená ve Švýcarsku se týká použití SSL v zabezpečení e-mailu s použitím blokového šifrovacího systému CBC, což neznamená zdaleka takový problém jako kdyby došlo k zpochybnění bezpečnosti SSL zabezpečení internetových obchodů, které používají většinou šifrování typu RC4.

Průběh útoku spočíval v narušení spojení mezi počítačem a serverem a nahrazením paketů odesílaných z osobního počítače na server jinou informací. Vědci pak sledovali chování serveru, který odesílal chybové hlášení, které obsahovalo část informace o heslu uživatele. Po 160 pokusech se podařilo heslo odhalit. Podmínkou pro úspěšný pokus je stejný systém šifrování při každé komunikaci mezi klientem a serverem, což je případ bezpečného spojení k e-mailovému IMAP serveru, které bývá u Outlooku nastavené standardně na připojení každých 5 minut. Při transakcích s kreditními kartami v prostředí chráněném SSL protokolem ale dochází pouze k jednomu zaslání citlivých údajů, takže provedení obdobného útoku je nemožné.

V současnosti je k dispozici opravená verze openSSL 0.9.7a, která je proti odhalenému nebezpečí chráněná a k dispozici je i zdrojový kód pro kompilaci opravného balíčku.

Diskuze (35) Další článek: Notebooky 2002 u nás: přes 75 tisíc kousků

Témata článku: Internet, IMAP, Švýcarsko

Určitě si přečtěte


Aktuální číslo časopisu Computer

Test 6 odolných telefonů a 22 powerbank

Srovnání technologií QLED a OLED

Měřte své sportovní výkony

Sady pro chytrou domácnost