Миллионы криптографических ключей, используемых в правительстве, уязвимы

Олег Иванов 17 Октября 2017 - 07:46

Корпорации

Государство

Средства криптографической защиты информации

Средства электронной подписи (ЭП)

Уязвимости программ

...

Миллионы криптографических ключей, используемых в правительстве, уязвимы

Критический недостаток в широко используемой библиотеке подорвал безопасность миллионов ключей шифрования, участвующих в очень серьезных схемах, например, выдача национальных удостоверений личности, подпись программного обеспечения и приложения, защищающие правительственные и корпоративные компьютеры.

Брешь позволяет злоумышленникам рассчитать приватную часть любого уязвимого ключа, используя его публичную часть. Затем хакеры могут использовать этот ключ для расшифровки конфиденциальных данных, внедрению вредоносного кода в программное обеспечение с цифровой подписью, а также для обхода защитных мер.

Эта уязвимость вызывает опасения, поскольку находится в коде, соответствующем двум международно признанным стандартам сертификации, которые являются обязательными для многих правительств, подрядчиков и компаний по всему миру. Библиотека была разработана немецким производителем чипов Infineon, она с самого начала генерирует слабые ключи.

Правительство Эстонии в прошлом месяце ссылалось именно на этот недостаток, ставший причиной уязвимости 750 000 удостоверений личности, выпущенных с 2014 года. В правительстве Эстонии сообщили, что закрывают базу данных открытых ключей для предотвращения инцидентов с безопасностью.

Недостаток существует в разработанной Infineon библиотеке RSA версии v1.02.013, в частности, в алгоритме, который она реализует для генерации простых чисел RSA. Библиотека работает на оборудовании Infineon и продается широкому кругу производителей, использующих чипы от Infineon.

Также напомним, что чипсеты Infineon TPM, которые поставляются со многими современными материнскими платами, генерируют небезопасные ключи шифрования RSA, это делает устройства таких производителей, как Acer, ASUS, Fujitsu, HP, Lenovo, LG, Samsung и Toshiba уязвимыми для атаки.

Следующая главная новость »

Российские платформы для обмена файлами: что реально работает?
Регистрируйтесь на эфир!

Екатерина Быстрова 17 Апреля 2026 - 10:46

Уязвимости программ Общее Защита персональных данных

Дуров сетует: приложение ЕС для проверки возраста взломали за две минуты

Сооснователь Telegram Павел Дуров резко раскритиковал новое европейское приложение для проверки возраста пользователей. По его словам, решение, представленное Еврокомиссией как приватный и безопасный инструмент, якобы удалось взломать всего за две минуты.

Дуров ссылается на публикацию Cybernews, однако саму историю он подал довольно жёстко: такой сценарий может со временем превратить систему проверки возраста в более жёсткий механизм цифрового контроля.

Поводом для спора стал свежий анонс Еврокомиссии. 15 апреля она объявила, что европейское приложение для проверки возраста технически готово и вскоре станет доступно гражданам.

В Брюсселе подают этот инструмент как способ защитить детей в интернете и при этом не заставлять платформы собирать лишние персональные данные. Еврокомиссия отдельно подчёркивает, что решение должно помогать подтверждать возраст с сохранением конфиденциальности пользователя.

Дуров, впрочем, увидел в этой истории совсем другую логику. В своём телеграм-канале он написал, что сначала пользователям показывают приложение, которое якобы уважает приватность, затем оно быстро компрометируется, а после этого появляется предлог ослабить конфиденциальность ради «исправления» проблемы. В его трактовке это может привести к созданию инструмента слежки за пользователями соцсетей в странах ЕС.

Сама идея проверки возраста сейчас становится для ЕС всё более важной. Еврокомиссия продвигает её как часть более широкой политики по защите несовершеннолетних в интернете, особенно на платформах с потенциально опасным или взрослым контентом.

Российские платформы для обмена файлами: что реально работает?
Регистрируйтесь на эфир!