Домены .RU и .РФ проверены на уязвимость к атаке ROCA

Новая атака ROCA CVE-2017-15361 использует дефекты оптимизации механизма генерации ключей RSA, которые, в частности, реализованы в устройствах с криптопроцессорами Infineon. Атака позволяет вычислить разложение модуля ключа RSA на простые множители, что полностью компрометирует соответствующий ключ. Криптосистема RSA сейчас является самой широко распространённой в мире асимметричной криптосистемой: например, она используется в качестве механизма электронной подписи во многих банковских системах, а также в средствах аутентификации и в различных других инструментах. Атака ROCA относится только к некоторым конкретным реализациям криптосистемы: она не позволяет взламывать произвольные ключи RSA и не связана с обнаружением каких-то фундаментальных уязвимостей в самой криптосистеме. Тем не менее, из-за использования чипов и библиотеки Infineon в специализированной аппаратуре атака представляет большую опасность.

Авторами атаки опубликован алгоритм, позволяющий быстро проверить конкретный открытый ключ RSA на подверженность атаке. Специалистами ТЦИ были проверены с использованием опубликованного алгоритма доступные RSA-ключи (около 500 тысяч), соответствующие TLS-серверам и TLS-сертификатам в российских национальных доменах .RU и .РФ. Уязвимых для ROCA ключей выявить не удалось. Но так как в рамках мониторинга зон ключи собираются только с узлов, адресуемых доменами второго уровня (включая префикс www), нельзя исключать, что под именами третьего уровня уязвимые ключи всё же встречаются.

Вместе с тем, в контексте TLS использование криптотокенов для генерации ключей скорее является исключением, чем повсеместной практикой, поэтому не следует ожидать большого распространения уязвимых ключей. Однако те ключи, которые всё же были сгенерированы уязвимой аппаратурой, вполне могут использоваться для защиты критически важных ресурсов (так как нередко крипто-операторы полагают, что специализированные аппаратные решения всегда обладают более высокой защищённостью, чем универсальные программные), соответственно, компрометация таких ключей даже в единичных случаях является существенной угрозой.