Ученые обнаружили уязвимость в системах квантовой криптографии

Ксения Ренселаева 30 Августа 2010 - 15:27

Средства криптографической защиты информации

...

Норвежский Университет Науки и Технологии и Эрлангенский университет совместно с Институтом имени Макса Планка по науке света в Эрлангене в настоящий момент разработали и протестировали метод, с помощью которого уязвимости системы квантовой криптографии могут быть использованы злоумышленниками.

Исследования поводились в рамках сотрудничества с ведущим производителем ID Quantique.
Квантовая криптография это технология, которая позволяет передавать криптографический ключ по оптической сети, безопасность которой основана на законах квантовой физики. Технология построена на принципе неопределенности Гейзенберга, который гласит, что любая попытка внедрения в канал передачи (т.е. произвести измерения), приведет к ее нарушению и обнаружению принимающей стороной. Эта технология была открыта в середине 80х, впервые продемонстрирована спустя несколько лет и, наконец, в начале настоящего столетия внедрена в коммерческие продукты .

Хотя в основе квантовой криптографии лежат законы квантовой физики, что обеспечивает ее безопасность, так же необходимо обеспечить безопасность системы при ее реализации - это обстоятельство часто упускаются из виду, считает Герд Лихс, профессор Эрлангенского университета и Института Макса Планка по науке света.

В настоящее время НУНТ совместно с командой из Эрлангена разработали метод, удаленного контроля за передачей компонентов ключа, применимого для большинства известных сегодня криптографических систем. В основе этого метода лежит использование возможной уязвимости системы – лавинного фотодиода (ЛФД), используемого в качестве детектора единичного фотона, который применяется в системах квантовой криптографии.

Как сообщил Вадим Макаров, ученый занимающийся исследованиями в области криптографии, входящий в состав группы ученых Quantum Hacking group при НУНТ, в отличие от ранее проведенных исследований в этой области, эксперимент был поставлен на реальной модели. Метод перехвата работает и был протестирован на MagiQ Technology's QPN 5505 и ID Quantique Clavis2, результаты оказались пложительными.

В рамках сотрудничества с ID Quantique, исследователи поделились полученными результатами с компанией до выхода публикации. После чего ID Quantique совместно с НУНТ разработали и провели тестирование мер противодействия.

Ученые двух лабораторий будут продолжать тестирование на безопасность для квантовой криптографии, найденного ID Quantique решения. Как сообщил Грегори Риборди, генеральный директор ID Quantique, тестирование является неотъемлемой частью разработки новой технологии безопасности и тот факт, что метод уже сегодня применим к квантовой криптографии, означает своевременность данной технологии.

Следующая главная новость »

Российские альтернативы Microsoft CA: чем заменить и не проиграть?
Регистрируйтесь на эфир!

Екатерина Быстрова 30 Марта 2026 - 17:01

Уязвимости программ Домашние пользователи Корпорации

В Vim нашли опасную уязвимость: для атаки достаточно просто открыть файл

В текстовом редакторе Vim, которым пользуются миллионы разработчиков и системных администраторов по всему миру, обнаружили опасную уязвимость. Причём речь не об абстрактной опасности, поскольку специально подготовленный файл может запустить произвольные команды в системе сразу после открытия.

Проблема получила оценку 8,2 балла по шкале CVSS, так что история вполне серьёзная.

И особенно неприятно здесь то, насколько легко срабатывает атака: жертве не нужно нажимать на какие-то дополнительные кнопки или подтверждать действия. Достаточно просто открыть вредоносный файл в Vim.

Уязвимость связана с цепочкой из двух ошибок. Первая касается функции modeline, которая позволяет задавать определённые параметры прямо внутри открываемого файла.

В теории это должно быть удобно, но на практике именно здесь и возникла брешь: один из параметров, tabpanel, оказался недостаточно защищён и позволял внедрить выражение, которое не должно было выполняться в таком сценарии.

Дальше включается вторая часть проблемы. Vim распознаёт, что выражение небезопасно, и пытается выполнить его в ограниченной среде — так называемой песочнице. Но тут срабатывает ещё одна ошибка: функция autocmd_add() не выполняет нужную проверку безопасности.

В результате вредоносный код может зарегистрировать автокоманду, которая сработает уже после выхода из песочницы, то есть в обход защитных ограничений.

Именно из-за этой связки багов злоумышленник получает возможность выполнить в системе произвольную ОС-команду с правами того пользователя, который запустил Vim.

Под удар попадают стандартные сборки Vim с поддержкой tabpanel. Как отмечается, это характерно для сборок типа HUGE, а они используются довольно широко. Дополнительный риск создаёт и то, что modeline во многих окружениях включён по умолчанию.

Разработчики Vim уже выпустили срочный патч. Безопасной считается версия 9.2.0272 и новее. Тем, кто пока не может обновиться сразу, советуют хотя бы временно отключить modeline, добавив в .vimrc строку set nomodeline.

Российские альтернативы Microsoft CA: чем заменить и не проиграть?
Регистрируйтесь на эфир!