Генератор случайных чисел в Windows небезопасен.

Как и во всем нашем мире нет ничего совершенного, так нет совершенности и в компьютерных технологиях, вне зависимости от сложности, распространения и влияния на другие иехнологии. Таже учасит постигла и незаметный, но широко используемый генератор случайных чисел в Windows.
Вполне вероятно, что некорректная работа функции унаследована операционными системами Windows XP и Vista.
Анализ показал, что генератор далек от случайного, или даже псевдо-случайного. Определив начальное состояние генератора, ученые смогли предсказывать появление дальнейших чисел. А определить это начальное состояние оказалось не так уж сложно, потому что генератор работает в пользовательском режиме, а не в режиме ядра - доступ к его состоянию можно получить даже без привилегий администратора.
Криптографам также удалось выявить, что генератор начинает выдавать хоть сколько-нибудь случайные результаты только после того, как выдаст первые 128 Кб чисел тому процессу, который их запрашивает.
В принципе, проблема того, что генераторы случайных чисел в основном являются псевдо-генераторами, известна давно и трудно было бы ожидать от Windows более продуманной реализации этой функции. Недостаток здесь скорее в том, что CryptGenRandom используют многие протоколы и программы, связанные с безопасностью (в частности, создание ключей SSL). Получив доступ к генератору случайных чисел, злоумышленникам будет легче взламывать защитные механизмы, которые на него опираются.
много лет назад в протоколе аутентификации Kerberos и даже попала в список десяти худших багов в истории человечества. Генератор случайных чисел Kerberos должен был выбирать ключ случайным образом из многих миллиардов чисел, но выбирал из гораздо меньшего набора численностью примерно в миллион. Как результат, в течение восьми лет любой пользователь мог без труда проникнуть в компьютерную систему, которая использовала модуль Kerberos.
Однако, в заключение хотелось бы отметить, что для рядового пользователя Интернета данное проишествие никак не влияет. (Я не могу себе представить хакера пытающегося взломать пароль доступа к очедному почтовому ящику, используя знания технологических принципов работы программ-генераторов и выше описанные уязъвимость). Хотя для профессионалов по информационной безопасности, инженерам по компьютерной технике, математикам и физикам определенно есть над чем задуматься, ведь под вопросом оказались немалое количество теорий, доказательств и объяснения практических знаний.


---16.11.2007 by E^D_713---

При написании данной статьи была использована информация с сайта www.anti-malware.ru

Hosted by uCoz