В AES обнаружен серьезный недостаток

В AES обнаружен серьезный недостаток

Исследователи в области криптографии еще на один шаг приблизились к возможности взлома алгоритма шифрования AES. В результате смоделированной атаки оказалось, что  скорость расшифровки ключа в четыре раза выше, нежели ранее предполагалось.

Трое специалистов Андрей Богданов, Дмитрий Ховратович и Кристиан Рехбергер, в результате своей исследовательской работы, в рамках проекта Microsoft Research выяснили, что на самом деле длина ключа шифрования короче на 2 бита. То есть, как пояснили ученые, ключ AES-128 на самом деле имеет 126 битное слово, AES-192 -190 бит, а AES-256 это AES-254.

Заметим, что многие исследователи проверяли AES на прочность, однако серьезных уязвимостей у него обнаружено не было. Настоящая атака применима ко всем версиям AES. Однако, усилия на нее придется затратить гигантские: количество итераций для поиска ключа к AES-128 выражается числом 8*1037; у 1 трлн компьютеров, способных проверять по 1 млрд ключей в секунду, на поиск ключа уйдет 2 млрд лет. Для сравнения, ныне существующие компьютеры могут проверять лишь по 10 млн ключей за секунду. Таким образом, практического влияния на безопасность AES атака не имеет, но это первый серьезный недостаток, обнаруженный в алгоритме и подтвержденный его разработчиками.

Gmail можно читать без пароля: хакеры используют сохранённые сессии

Открыл Gmail в браузере, поработал и забыл выйти из аккаунта? Оказывается, именно такая привычка может сыграть на руку злоумышленникам. Схема основана на сохранённой сессии пользователя. Если человек остается аутентифицированным в Gmail, атакующие могут запустить экземпляр браузера, подключиться к его отладочному порту и отправить запросы к сервисам Google от имени уже вошедшего пользователя.

Как сообщают «Ведомости» со ссылкой на исследование «Лаборатории Касперского», специалисты обнаружили механизм, позволяющий киберпреступникам получить доступ к корпоративной почте Gmail и другим сервисам Google без повторного ввода логина и пароля.

По словам эксперта «Лаборатории Касперского» Андрея Гунькина, через API Google сторонние приложения могут получать доступ к различным сервисам — например, к почте или календарю. Этим механизмом, как утверждают исследователи, способны воспользоваться и злоумышленники.

Исследование проводилось во время анализа активности китайской киберпреступной группировки ToddyCat. Именно в рамках этого расследования специалисты обнаружили описанный способ компрометации учетных записей.

Под угрозой могут оказаться не только корпоративные пользователи. По данным исследователей, атака потенциально применима к любым браузерам на базе Chromium, включая Google Chrome, Microsoft Edge, Opera и Brave.

По оценке «Ведомостей», потенциально такой механизм может затронуть до 40,8 млн российских пользователей. Эта цифра отражает возможное количество пользователей соответствующих браузеров и сервисов, а не число уже скомпрометированных аккаунтов.

Эксперты напоминают, что риск возникает только при выполнении ряда условий, включая наличие доступа злоумышленника к устройству жертвы. Поэтому одним из важных способов защиты остается своевременный выход из учётной записи на чужих или общедоступных компьютерах, а также контроль запущенных приложений и процессов на собственном устройстве.

RSS: Новости на портале Anti-Malware.ru