Forskere afslører dårlig sikkerhed i krypterings-nøgler

En gruppe af europæiske og amerikanske matematikere har fundet en fejl i den metode, der bruges til at generere offentlige krypteringsnøgler med RSA-algoritmen. For at garantere optimal sikkerhed skal nøglerne genereres tilfældigt. Men det sker ikke altid, fortæller forskerne. De har undersøgt omkring syv millioner nøgler, og en lille del af dem - 27.000 - ikke har den nødvendige sikkerhed. Her er det nemlig muligt at finde frem til de hemmelige primtal, der er brugt til at generere nøglen, skriver New York Times.

RSA-algoritmen bliver brugt til e-handel, netbanking og andre internet-tjenester hvor man ikke ønsker at informationerne skal falde i de forkerte hænder. Ifølge forskerne er det tjenesteudbyderne, der skal foretage ændringer for at forbedre sikkerheden i deres systemer. Den enkelte bruger kan ikke selv gøre noget - selvom det er brugeren og dennes data, som er i farezonen.

Forskerne peger på at den generelle tillid til sikkerheden i nettransaktioner kan blive svækket, selvom det kun er en mindre del af nøglerne der er ramt. De pågældende nøgler er nu fjernet fra en offentlig database.

Forskningspapiret skulle først præsenteres på en konference i august, men forskerne har valgt at gå ud med det allerede nu for at advare om problemets alvor.

"Det kommer som en advarsel som viser hvor svært det er at generere nøgler i den virkelige verden. Nogen vil måske sige at 99,8 pct. sikkerhed er ok," siger krypterings-eksperten James P. Hughes til avisen.

Det er altså omkring to ud af hver 1.000 nøgler, som er usikre ifølge forskerne. De kan ikke forklare hvor fejlen ligger, men der er tilsyneladende tale om et generelt problem i krypterings-systemet og ikke en softwarefejl i ét bestemt program.

De tilføjer at svagheden i krypteringssystemet sandsynligvis allerede er kendt i hacker-kredse.