Поскольку закрытые ключи обрабатываются на центральном сервере, к ним могут получить доступ злоумышленники.
Разработанный и продвигаемый правительством Великобритании криптографический протокол для зашифрованных голосовых звонков содержит уязвимости, позволяющие третьей стороне расшифровывать данные и осуществлять массовую слежку за пользователями.
Как выяснилось в результате анализа, проведенного экспертом Университетского колледжа Лондона Стивеном Мердоком (Steven Murdoch), протокол MIKEY-SAKKE (Multimedia Internet KEYing-Sakai-KasaharaKey Encryption) предполагает хранение мастер-ключа шифрования у одного центрального органа. Поскольку ключи обрабатываются на центральном сервере, к ним потенциально могут получить доступ злоумышленники.
Проблема заключается в процессе генерирования ключей. «Сквозное шифрование предполагает, что для каждого лица генерируется персональный закрытый ключ, и расшифровать разговор можно только с его помощью. С MIKEY-SAKKE закрытый ключ для каждого пользователя создается центральным сетевым провайдером, который может расшифровать разговор», - сообщил Мердок изданию Motherboard.
Эксперт пришел к данному выводу на основании широко доступной документации, опубликованной Центром правительственной связи Великобритании (ЦПС). Однако в документах не уточняется, кто является «центральным сетевым провайдером» и может расшифровывать голосовые звонки. По мнению Мердока, расшифровкой правительственных коммуникаций, скорее всего, будет заниматься ЦПС или подконтрольные ему органы. Возможность расшифровки корпоративной информации наверняка есть у компаний или, опять же таки, у ЦПС.
Поскольку ключи сохраняются централизованно, существует большая вероятность хакерских атак и использования расшифрованной информации для запугивания компаниями своих сотрудников. Попавший в руки злоумышленников ключ позволяет расшифровать все предыдущие коммуникации.
На момент написания новости веб-страница с исследованием Мердока была удалена (можно найти в кэше Google).
Никаких овечек — только отборные научные факты