«فاکتورگیری کلیدهای RSA «آستین کوتاه» با چندجملهایها»
تحقیقی نشان داد که برخی کلیدهای RSA بهدلیل پر شدن بیتهایشان با صفرهای مکرر، ساختاری کوتاه‑آستین پیدا میکنند. این ساختار باعث میشود که با تبدیل عدد به چندجملهای و فاکتورگیری از آن، کلیدها بهسرعت شکسته شوند. باگ مربوطه در نسخههای قدیمی CompleteFTP رخ داده و صدها کلید RSA و DSA را در اینترنت در معرض خطر قرار داده بود.
چرا مهمه؟
کلیدهای آسیبپذیر بهدلیل الگوی صفرهای منظم در هر لیمب، بهسرعت فاکتور میشوند؛ سرورهایی که از CompleteFTP نسخههای 10.0.0 تا 12.0.0 استفاده میکردند تحت تأثیر قرار گرفتند؛ کاربران باید کلیدهای خود را بررسی و در صورت لزوم بازسازی کنند تا از نفوذ جلوگیری شود.
به درد کی میخوره؟
مدیران سامانههای SSH توسعهدهندگان نرمافزارهای انتقال فایل متخصصان امنیت اطلاعات کاربران کلیدهای RSA/DSA در محیطهای سازمانی
تو عمل چی کار کنیم؟
با استفاده از ابزارهای منتشر شده توسط پروژه badkeys میتوانید کلیدهای خود را اسکن کنید؛ اگر کلید کوتاه‑آستین شناسایی شد، باید آن را با ابزار EnterpriseDT یا روشهای استاندارد بازسازی کنید. همچنین از بهروزرسانی CompleteFTP به آخرین نسخه اطمینان حاصل کنید.
نظر BlueIT News
بهروزرسانی منظم نرمافزارهای تولید کلید و اجتناب از کدهای سفارشیسازیشده، سادهترین راه پیشگیری از چنین ضعفهای ساختاری است.