A vulnerabilidade foi desenvolvida por um grupo de cientistas da computação que se intitulam Team Prosecco, e apresentarão sua tese na conferência CRYPTO 2012, a acontecer em agosto.
A característica mais notável dessa solução é que ela é capaz de extrair informações em 10 minutos, ao invés de adotar um procedimento de tentativa-e-erro que, geralmente, duram horas.
Romain Bardou, Riccardo Focardi, Yusuke Kawamoto, Lorenzo Simionato, Graham Steel e Joe-Kai disseram que o ataque funciona contra uma vasta variedade de dispositivos que protegem o acesso a redes de computadores ou que encriptam emails, incluindo cartões de identificação eletrônica, tokens USB e smartcards, tecnologias que são utilizadas por muitos governos.
Descobrimos, também, que a forma de encriptação vulnerável, a PKCS #1 v1.5 também é adotada pela Estrutura de Chaves Públicas Brasileiras, conforme se confere no manual fornecido pela ICP Brasil ( http://www.iti.gov.br/twiki/pub/Homologacao/Documentos/MCT9_-_Vol.I.pdf ).
O ataque se baseia na exploração de função de importação de chaves encriptadas de uma variedade de dispositivos criptográficos. O texto cifrado é submetido a diversas centenas de modificações para gradualmente produzir pistas da informação legível, em uma técnica apelidada de "padding oracle attack". Esta técnica é um refinamento de outra vulnerabilidade originalmente desenvolvida pelo pesquisador conhecido como Bleichenbacher.
Clique aqui e veja a íntegra da pesquisa.
Nenhum comentário:
Postar um comentário