В Cryptocat найдена уязвимость, позволяющая получить доступ к зашифрованным сообщениям

В Cryptocat найдена серьезная уязвимость

Александр Панасенко 06 Июля 2013 - 17:20

Средства криптографической защиты информации

...

В Cryptocat, нацеленном на обеспечение приватности web-чате, в котором шифрование производится на стороне браузера клиента и на сервер поступают уже зашифрованные данные, выявлена проблема безопасности, делающая возможным доступ к отправленным сообщениям. Проблема проявляется начиная с выпуска 2.0 и заканчивая версией 2.0.41, таким образом все сообщения отправленные с 17 октября 2011 года по 15 июня 2013 года подвержены указанной уязвимости.

Cryptocat позиционируется как проект, использующий для защиты частной переписки надёжные технологии шифрования, такие как алгоритм AES-256 и методы криптографии по эллиптическим кривым. История поучительна тем, что тривиальная ошибка в коде свела всю надёжность системы на нет и поставила под вопрос доверие к компаниям, осуществляющим аудит и сертификацию в области безопасности - компания Veracode утвердила Cryptocat на уровень безопасности Veracode Level 2 и оценила качество кода как 100/100. Негативный осадок также остался после попытки разработчиков Cryptocat скрыть свою ошибку, указав, что исправление произведено из-за нарушения обратной совместимости и не упомянув о том, что устранена уязвимость, сообщает opennet.ru.

При создании ключа шифрования, для обхода проблем с качественной генерацией случайных чисел на стороне браузера, пользователю предлагается ввести 256 случайных символов. Из-за неправильной конвертации строк в качестве случайной последовательности поступал не массив из 15-разрядных целых чисел, а массив из чисел от 0 до 9, т.е. пространство ключей для подбора каждого числа снижается с 2^15 до 10 вариантов. В итоге ключи создаются в условиях недостаточной энтропии и могут быть подобраны с использованием bruteforce-атак. По заявлению исследователя, сообщившего об уязвимости, зашифрованные записи чата могут быть дешифрованы за считанные минуты. Разработчики Cryptocat уже признали наличие уязвимости, но утверждают, что проблеме подвержены только групповые чаты с более чем двумя участниками.

Следующая главная новость »

Публичное облако 2026: где заканчивается удобство и начинаются риски?
Регистрируйтесь на эфир!

Екатерина Быстрова 08 Июня 2026 - 08:59

Соответствие законодательству РФ Общее Персональный VPN Анонимайзеры Системы контентной веб-фильтрации

Блокировка по фингерпринту: почему у россиян снова посыпались Xray, REALITY

В сообществе пользователей VPN вновь неспокойно. В начале июня многие россияне столкнулись с массовыми сбоями в работе популярных решений на базе Xray, VLESS и REALITY. Автор под ником hyperion_cs провёл на Хабре собственное исследование и заявил, что обнаружил новый алгоритм ограничений, который применяется как мобильными, так и домашними провайдерами.

По его версии, проблема связана не с блокировкой конкретных серверов или IP-адресов.

Гораздо интереснее другое: система анализирует параметры TLS-соединений, включая SNI, сетевую принадлежность сервера и так называемый фингерпринт клиента — набор признаков, по которым можно определить, под какой браузер маскируется соединение.

Как утверждает исследователь, под особое внимание попадают подключения к серверам в определённых подсетях и автономных системах. Причём речь идёт не только о зарубежных площадках, но и о крупных российских инфраструктурных провайдерах, включая Selectel, Яндекс Облако и Cloud.ru.

Согласно опубликованному анализу, если система фиксирует несколько параллельных TLS-подключений к одному ресурсу за короткий промежуток времени, соединения могут быть принудительно заморожены на две минуты. Если после этого клиент меняет свой сетевой отпечаток, срок ограничения якобы увеличивается уже до десяти минут.

Автор исследования отмечает, что такой подход напоминает известную среди специалистов сибирскую блокировку, но с более жёсткими параметрами и расширенным охватом.

Особое беспокойство вызывает то, что под ограничения потенциально могут попадать не только инструменты обхода блокировок, но и вполне легитимные веб-сайты, размещённые в российских дата-центрах. По мнению исследователя, это может негативно сказываться на доступности обычных интернет-ресурсов.

Для проверки своей гипотезы автор использовал инструмент dpi-ch из проекта dpi-checkers. По его словам, результаты тестирования показывают, что ограничения затрагивают часть популярных российских инфраструктурных площадок, а для зарубежных операторов по-прежнему применяются дополнительные механизмы фильтрации трафика.

Следует отметить, что опубликованное исследование представляет собой независимый технический анализ. Официальных комментариев со стороны операторов связи или регулирующих органов по поводу описанного механизма на момент публикации не поступало.

Публичное облако 2026: где заканчивается удобство и начинаются риски?
Регистрируйтесь на эфир!