Миллионы криптографических ключей, используемых в правительстве, уязвимы

Олег Иванов 17 Октября 2017 - 07:46

Корпорации

Государство

Средства криптографической защиты информации

Средства электронной подписи (ЭП)

Уязвимости программ

...

Миллионы криптографических ключей, используемых в правительстве, уязвимы

Критический недостаток в широко используемой библиотеке подорвал безопасность миллионов ключей шифрования, участвующих в очень серьезных схемах, например, выдача национальных удостоверений личности, подпись программного обеспечения и приложения, защищающие правительственные и корпоративные компьютеры.

Брешь позволяет злоумышленникам рассчитать приватную часть любого уязвимого ключа, используя его публичную часть. Затем хакеры могут использовать этот ключ для расшифровки конфиденциальных данных, внедрению вредоносного кода в программное обеспечение с цифровой подписью, а также для обхода защитных мер.

Эта уязвимость вызывает опасения, поскольку находится в коде, соответствующем двум международно признанным стандартам сертификации, которые являются обязательными для многих правительств, подрядчиков и компаний по всему миру. Библиотека была разработана немецким производителем чипов Infineon, она с самого начала генерирует слабые ключи.

Правительство Эстонии в прошлом месяце ссылалось именно на этот недостаток, ставший причиной уязвимости 750 000 удостоверений личности, выпущенных с 2014 года. В правительстве Эстонии сообщили, что закрывают базу данных открытых ключей для предотвращения инцидентов с безопасностью.

Недостаток существует в разработанной Infineon библиотеке RSA версии v1.02.013, в частности, в алгоритме, который она реализует для генерации простых чисел RSA. Библиотека работает на оборудовании Infineon и продается широкому кругу производителей, использующих чипы от Infineon.

Также напомним, что чипсеты Infineon TPM, которые поставляются со многими современными материнскими платами, генерируют небезопасные ключи шифрования RSA, это делает устройства таких производителей, как Acer, ASUS, Fujitsu, HP, Lenovo, LG, Samsung и Toshiba уязвимыми для атаки.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Яков Шпунт 28 Ноября 2025 - 09:41

Соответствие законодательству РФ Домашние пользователи Государство Системы аутентификации

Минцифры не одобрило аутентификацию клиентов МФО через банковские сервисы

Минцифры и МВД не поддержали предложение Банка России об использовании биометрических систем банков для аутентификации клиентов микрофинансовых организаций (МФО). Минцифры настаивает на применении Единой биометрической системы (ЕБС), указывая, что рост числа её пользователей свидетельствует о повышении доверия к этой платформе.

Письма ведомств с отрицательными отзывами на инициативу Центробанка, допускающую использование коммерческих биометрических систем банков для проверки личности клиентов МФО, оказались в распоряжении «Ведомостей».

Источники, знакомые с ходом обсуждения, подтвердили подлинность документов. Кроме того, официальный комментарий пресс-службы Минцифры фактически повторил ключевые позиции, изложенные в письме ведомства.

Минцифры считает нецелесообразным использование сторонних сервисов для аутентификации клиентов микрофинансовых организаций. В документе МВД, подписанном заместителем главы ведомства Андреем Храповым, ЕБС названа «максимально надежным и безопасным» способом подтверждения личности.

С 1 марта 2026 года биометрическая аутентификация станет обязательной при дистанционном оформлении микрозаймов в МФО, а с 1 марта 2027 года — в микрокредитных компаниях. При этом разрешено использовать только ЕБС.

Собственные биометрические системы банков нередко не соответствуют стандартам ЕБС — это касается как качества данных, так и требований к их хранению, обеспечению сохранности и безопасности.

Миллионы криптографических ключей, используемых в правительстве, уязвимы

Читайте также