Cum se sparge codurile computerului - sciences et Avenir

Postat pe 07.05.2010 la 12:57, actualizat la 07.05.2010 la 12:57

sciences

În plus față de raportul nostru despre „noile provocări ale codurilor secrete”, iată povestea unuia dintre ultimele atacuri împotriva cardurilor bancare și povestea unui furt de computer împotriva unui sistem de protecție a cardurilor inteligente.

O hartă piratată.

În Sciences et Avenir din mai 2010, spunem cum ar putea fi utilizat cardul bancar al jurnalistului nostru prin introducerea unui cod PIN incorect. Această operațiune a fost posibilă datorită descoperirii unui defect în protocolul utilizat de cardurile bancare și publicării sale de către echipa lui Ross Anderson din Cambridge Security Laboratory la începutul anului.

Chiar dacă amploarea fraudei va fi neapărat limitată deoarece deținerea de carduri furate (sau împrumutate voluntar!) Este esențială, Groupement des Cartes Bancaires a fost nevoit să aducă modificări serverelor de autentificare a cardurilor cu cip. Există într-adevăr o soluție la acest atac. La sfârșitul unei tranzacții, cardul trimite băncii o serie de cifre, dintre care una indică faptul că nu a fost introdus codul PIN. De obicei, aceasta blochează tranzacția, cu excepția cazurilor excepționale, cum ar fi plata la taxă sau parcare. Cu excepția faptului că în investigațiile sale, GIE a descoperit că acest filtru nu a fost întotdeauna folosit. De aici și cererile de modificări pe computerele de autentificare. Cu toate acestea, există excepții (parcare și taxe, desigur!), Mai ales pentru plăți în străinătate, deoarece multe țări nu folosesc coduri PIN. Acest lucru explică de ce cardul nostru francez, utilizat în Marea Britanie, ar putea fi utilizat fără codul său PIN.

. și o cheie spartă

"Nu am avut nici o îndoială că va funcționa. Dar ultima etapă a durat mai mult decât ne-am așteptat și i-am dat colegului nostru de la EPFL [Ecole Polytechnique Fédérale de Lausanne] o sudoare rece", își amintește Pierrick Gaudry responsabil la Inria calculului gigant care a făcut-o posibil, la sfârșitul lunii decembrie, ruperea unei „chei” a computerului *. Această cheie digitală este de fapt un număr mare de 232 de cifre (768 biți în scriere binară cu 0s și 1s) folosite pentru a proteja confidențialitatea tranzacțiilor prin carduri bancare sau pe internet (prin așa-numita metodă RSA). Face posibilă generarea altor numere utilizate pentru codificarea și decodarea informațiilor sensibile în timpul acestor operațiuni.

„Breaking” înseamnă, de fapt, găsirea a două numere care sunt numere prime de 116 cifre al căror produs returnează numărul de 232 cifre. În termeni mai matematici, este o factorizare. A fost nevoie de aproximativ doi ani de calcule pentru a realiza acest lucru și de 1.500 de computere în rețea (în special cele din rețeaua de calcul franceză, Grid5000). „Pe cea mai mare rețea de computere, Jaguar al Departamentului de Energie al SUA, ar fi durat doar zece zile cu cei 200.000 de procesoare”, a spus Pierrick Gaudry. Din fericire, cheile utilizate în prezent în cardurile bancare și pe internet sunt mai mari: peste 900 de biți; unele depășind 4000 de biți.