Криптографы забили предпоследний гвоздь в крышку гроба криптографических систем стандарта PKCS#1 v1.5, на котором основана популярная система двухфакторной аутентификации RSA SecurID 800, а также системы Gemalto Cyberflex, Safenet Ikey 2032, Siemens CardOS, Aladdin eTokenPro и другие устройства.
Издание Ars Technica пишет, что уязвимый метод шифрования используется даже в эстонских ID-картах (возможно, имеется в виду старая версия карт).
На криптографической конференции CRYPTO 2012 в августе 2012 года будет представлена научная статья, подробно рассказывающая о механизме атаки, с помощью которой можно извлечь секретный ключ из RSA SecurID 800 в среднем за 13 минут. Несколько дней назад статья “Efficient Padding Oracle Attacks on Cryptographic Hardware” опубликована в открытом доступе.
В работе описана атака методом вычислений с оракулом на набивку (padding oracle attack). Стандарт PKCS#1 предусматривает подготовку текста перед шифрованием: текст дополняется символами до необходимого шаблона — процесс называется «набивкой» (padding). Как выяснилось, атака с оракулом позволяет выявить математическую структуру шаблона путём манипуляций с набивкой. В предыдущих работах делалось предположение, что в среднем требуется 215 тыс. вызовов оракула для взлома 1024-битной криптографической обёртки (wrapper), которая используется в PKCS#1. Однако, в вышеупомянутой научной статье описаны методы оптимизации, которые уменьшают это количество до 9400, что соответствует 13 минутам работы.
Криптограф Мэтью Грин (Matthew Green) из университета Джона Хопкинса заблаговременно предупреждает, что у компаний осталось совсем немного времени, чтобы отказаться от скомпрометированного оборудования, прежде чем они столкнутся с реальными атаками.
Тем временем, власти Эстонии якобы высказали мнение, что атака всё ещё слишком медленная, чтобы представлять опасность.
