8. Fałszywe generatory przypadkowych liczb

Uwaga w obszarze szyfrowania danych koncentruje się w przeważającym stopniu na sile algorytmów szyfrujących. Należy jednak pamiętać, że równie ważny jest algorytm wyboru klucza. Jeśli, niezależnie od siły szyfru, klucz jest łatwy do odgadnięcia, wszystko przestaje mieć znaczenie.

To ważne, ponieważ wiele czynności rutynowych w obrębie szyfrowania danych wymaga wiarygodnego źródła generującego przypadkowe liczby, które razem stanowią klucz. Zdarza się, że hakerzy zastępują je własnymi generatorami liczb i wykorzystują, aby zignorować wybór klucza. Algorytm jest silny, ale odgadnięcie klucza to pestka dla kogoś, kto wie, na czym polega naruszenie generatora.

Zobacz również:

• Cyberobrona? Mamy w planach
• Szyfrowanie plików, a szyfrowanie dysku - jaka jest różnica?

9. Błędy programistów

Ciekawym przykładem może być system operacyjny Apple iOS, który zawierał w swoim kodzie dodatkowy wiersz: goto fail. Gdy oprogramowanie sprawdzało poprawność certyfikatu, kod mógł generować polecenie goto powodujące pominięcie kroków takiej procedury. Nigdy nie dowiemy się, czy to był przypadkowy błąd, czy może wiersz ten został wprowadzony celowo, ale wiemy, że jego odkrycie zajęło bardzo dużo czasu.

10. Fałszywe certyfikaty bezpieczeństwa

Załóżmy, że użytkownik po wejściu na stronę z zaszyfrowanym połączeniem e-mail przeklikuje się, aby sprawdzić certyfikat bezpieczeństwa. Widzi, że został on wydany przez pewną organizację dla danej strony, a wszystko odbyło się zgodnie z prawem. Ale rzeczywistość może być nieco inna.

Co jeśli prawdziwy certyfikat SSL pochodzi od innej organizacji niż wymieniona? Może się tak zdarzyć, gdy jedna organizacja nadaje stronie certyfikat, ale przekazuje dane innej, aby ułatwić naruszenie połączenia. To tzw. atak pośredni, który z reguły jest łatwiejszy, ponieważ pośrednik może blefować co do swojej tożsamości. A obawy przed sfałszowanymi certyfikatami bezpieczeństwa są jak najbardziej uzasadnione.