Informatici odhalili bezpečnostní díru. Ocenila je vědecká komunita

Tým informatiků Masarykovy univerzity pod vedením Petra Švendy si odnesl ocenění za nejlepší vědecký příspěvek ze špičkové konference Usenix Security Symposium. Vědcům a studentům se podařilo objevit takzvaný datový otisk v klíčích algoritmu, který je široce používaný pro šifrování dat na internetu. Našli de facto bezpečnostní díru, která může například umožnit odhalit anonymní uživatele internetu. Nový objev najde využití při provádění bezpečnostních auditů či při opravách zjištěných bezpečnostních problémů.

Konference Usenix Security Symposium je zaměřená na výzkum v oblasti počítačové bezpečnosti, aplikovanou kryptografii a hlavně témata, která mají bezprostřední dopad pro praxi.

„Z hlediska kvality spadá konference do nejvyšší kategorie A* a v oboru počítačové bezpečnosti patří mezi tři nejvýznamnější na světě,“ osvětluje Petr Švenda z Fakulty informatiky MU. „Je obtížné se na ni jen dostat, dlouhodobě je přijato pouze patnáct procent zaslaných příspěvků. Pro naši výzkumnou skupinu CRoCS jde o první článek na této konferenci,“ doplnil vědec.

Vítězný příspěvek, který Švenda prezentoval na začátku srpna v Austinu v Texasu, je společným dílem výzkumné skupiny, která je složená převážně z bakalářských a magisterských studentů.

„Pro šifrování dat a autentizaci se na internetu často používá algoritmus RSA. Ten je implementovaný ve velkém množství knihoven, které jsou následně používány v mnoha aplikacích. Náš článek ukazuje, že knihovny nezáměrně vkládají do hodnoty veřejného klíče určitý svůj otisk. Dosud si toho nikdo nevšiml a jde o velké překvapení,“ vysvětluje Švenda.

Jeho tým nejenže otisk zdokumentoval, ale využil jej i ke zpětnému určení knihovny nebo čipové karty, která klíč vygenerovala. Na článku pracovali výzkumníci v průběhu dvou let, intenzivně v posledním roce.

„Kromě prezentace na konferenci jsme také uvolnili přes sedm gigabytů nasbíraných dat a nástroje pro použití jinými výzkumnými skupinami. Vytvořili jsme také online nástroj, který přímo ukazuje výsledky pro zadané veřejné klíče,“ uvedl výzkumník.

Další práce výzkumného týmu bude směřovat ke zpřesnění detekce zdrojové knihovny a hlubší analýze zjištěných charakteristik. Informatici také chtějí navrhnout smysluplnou obranu proti zjištěným útokům a integrovat ji do kódu knihoven. Nechtějí jen ukazovat zranitelnosti, ale podílet se i na jejich opravě.

Masarykova univerzita | Masaryk university