Lozanos (Šveicarija) Federalinio technologijos instituto tyrėjų grupė pranešė aptikusi saugumo spragą plačiai naudojamame SSL (Secure Socket Layer) protokole. Šiuo protokolu pagrįsta standartu tapusi konfidencialios informacijos perdavimo internetu sistema. SSL transakcijomis naudojasi tūkstančiai elektroninės prekybos svetainių, el. pašto ir kitų paslaugų teikėjų.
SSL sukuria šifruotą ryšio jungtį tarp vartotojo naršyklės ar el. pašto programos ir WWW serverio, jos dėka saugiai perduodami vartotojų slaptažodžiai, mokėjimo kortelių duomenys bei kita saugotina informacija. Tuo tarpu šveicarų specialistai tvirtina sugebėję iššifruoti SSL būdu perduodamą vartotojo slaptažodį trumpiau nei per valandą. Technologijos instituto kriptografijos laboratorijos direktorius profesorius Serge’as Vaudenay BBC pareiškė, kad tai pirmasis kartas, kai saugumo problema buvo aptikta pačiame SSL protokole, o ne jį naudojančioje programinėje įrangoje. Tačiau jis pabrėžė, kad ši SSL problema nesusijusi su mokėjimo kortelių transakcijomis, nes bankai ir elektroninės parduotuvės naudoja kitokią SSL technologiją.
Iki šio šveicarų specialistų pareiškimo SSL protokolas buvo laikomas absoliučiai saugiu. SSL saugumą užtikrina užšifruodamas siunčiamus slaptažodžius ar kredito kortelių numerius. Koduojant informacija sukeičiama taip, kad jeigu išsiųsti duomenys būtų perimti, niekas negalėtų jų atkurti. Informacijai šifruoti SSL technologija naudoja skirtingus algoritmų tipus. Šveicarų “nulaužtas” SSL protokolo variantas paprastai naudojamas el. pašto dėžučių Voratinklyje paslaugų teikėjų, o ne finansinėms transakcijoms vykdyti.
Kai SSL žinutė nusiunčiama į serverį, jame esanti SSL programa iššifruoja pranešimą norėdama įsitikinti, ar jis iš tiesų yra nurodytos apimties ir ar gerai buvo užkoduotas. Jei aptinkama problema, atgal išsiunčiamas pranešimas apie klaidą. Šveicarų specialistai aptiko, kad perėmus šiuos pranešimus ir tam tikru būdu juos modifikavus galima priversti serverį generuoti pranešimus apie klaidas, kurie gali pateikti dalį neužšifruoto vartotojo siunčiamo teksto. Kiekvieną kartą, kai vartotojo kompiuteris “kalbėdavosi” su SSL serveriu, pavykdavo gauti nedidelę dalį informacijos apie siunčiamą pranešimą. Po 160 bandymų laboratorijoje pavyko atkurti visą iš 8 ženklų susidedantį slaptažodį.
Nors šveicarų tyrėjams pavyko “sukompromituoti” SSL, jie teigia, kad praktinės naudos iš nustatytos saugumo spragos nebūtų daug: norintys sužinoti konkretaus vartotojo siunčiamus slaptažodžius privalėtų perimti SSL užšifruotus pranešimus, be to, generuoti serverio pranešimus apie klaidas, o tokia veikla palieka pėdsakų. Be to, šią savaitę pasirodė naujausia SSL versija, kurioje ši spraga jau užtaisyta.
