Popsuty podpis cyfrowy w smartfonach Motoroli

Błędy w implementacji podpisu cyfrowego w Motoroli Droid otwierają furtkę do ładowania nieautoryzowanego oprogramowania.

Telefony Motorola Sholes (znany także jako Droid lub Milestone) mają wbudowany mechanizm ochrony autentyczności systemu operacyjnego (Android) i oprogramowania oparty o podpis cyfrowy. Niestety błędy w implementacji tego podpisu powodują, że jego złamanie i odzyskanie klucza prywatnego używanego do podpisywania aplikacji jest stosunkowo proste.

Podpis jest składany algorytmem ElGamala. Kluczowym warunkiem jego bezpieczeństwa jest użycie przy każdym podpisie innej, losowej liczby "maskującej" (x) klucz prywatny użyty do składania podpisu. Dwukrotne użycie tej samej liczny x przy składaniu podpisu znacznie ułatwia odtworzenie klucza prywatnego. Nie wspominając o całkowitym jej pominięciu, a to właśnie przydarzyło się programistom Motoroli.

Zobacz również:

  • Motorola radzi, aby telefon owijać wokół nadgarstka. Czy tak wygląda przyszłość?
  • Fizyczna karta SIM czy wirtualny eSIM? Oto najważniejsze różnice

Szczegółowe informacje można znaleźć na Williama Pitcocka (nenolod), który odkrył i opisał ten błąd. W grudniu ubiegłego roku inny błąd tego typu wykryto w konsolach Sony PS3.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200