Участники международной группы криптоаналитиков обработали 6,4 млн открытых ключей, сгенерированных по алгоритму RSA, и пришли к выводу о том, что примерно для 27 тыс. из них использовались «недостаточно случайные» числа. Поняв алгоритм генерации чисел для открытого ключа, атакующий легко может сформировать закрытый, утверждают исследователи. Открытые ключи были получены ими из общедоступных баз данных по ключам для цифровых сертификатов и электронной почты.
Как полагают в организации Electronic Frontier Foundation, найдена крайне серьезная уязвимость, подвергающая опасности взлома протоколы HTTPS, SSL и TLS. Со своей стороны, EFF рассылает уведомления пользователям уязвимых ключей с рекомендацией сгенерировать новые, а удостоверяющим центрам — требования об отзыве ненадежных сертификатов. Доклад об исследовании планировалось опубликовать позже, но о нем сообщила New York Times.
Любой, кто повторит работу, проделанную криптоаналитиками, сможет подобрать закрытые ключи, утверждают авторы доклада. Они не уточняют, в чем именно состоит обнаруженная ненадежность принципов генерации случайных чисел.