Os pesquisadores Andrea Pellegrini, Valeria Bertacco e Todd Austin conseguiram essa façanha controlando a voltagem do processador de tal maneira que o processamento da chave de criptografia gere erros e assinaturas inválidas. Uma assinatura é o resultado de uma operação na qual a chave de criptografia é usada para autenticar a origem de uma informação, como uma assinatura comum feita em papel, mas digitalmente.
Analisando essas assinaturas falsas geradas, os pesquisadores conseguiram extrair a chave privada, que seria o equivalente a conseguir realizar cópias perfeitas de uma assinatura e ainda decodificar qualquer transmissão protegida com aquela chave. O ataque foi realizado usando o software OpenSSL, responsável pelo famoso “cadeado de segurança” usado em sites da web. Chaves RSA, porém, são usadas em várias outras aplicações.
Embora seja um ataque tecnicamente interessante, as consequências reais ainda são discutíveis. No blog “Educated Guesswork”, o especialista Eric Rescorla lembra que, para conseguir controlar a voltagem do processador, é necessário acesso físico ao computador que hospeda a chave. Quem possuir um acesso desse tipo provavelmente pode obter a chave de maneiras mais simples. Outra questão é o hardware: nem sempre é possível controlar a voltagem do processador como os pesquisadores fizeram.
Fonte: Altieres Rohr
Nenhum comentário:
Postar um comentário