Jak szyfrują nasze banki?
- Paweł Krawczyk,
- 15.02.2006, godz. 15:55
Zespół specjalistów z Poznania zbadał bezpieczeństwo szyfrowania transmisji SSL stosowanego przez polskie serwisy finansowe i bankowe. Część banków nadal posługuje się wersją SSL z 1993 roku.
Zespół z Poznańskiego Centrum Superkomputerowo-Sieciowego opublikował raport, w którym przeanalizowano bezpieczeństwo implementacji szyfrowania SSL w polskich bankach i instytucjach finansowych.
Szyfrowanie SSL jest często traktowane nieco "po macoszemu" przez integratorów uruchamiających serwisy bankowe. Niesłusznie. Protokół SSL od powstania w 1993 roku przechodził wiele metamorfoz, które w większości służyły załataniu odkrywanych w międzyczasie dziur lub podnoszeniu długości kluczy szyfrujących.
Z raportu wynika, że ponad 60% banków nadal umożliwia klientom połączenie z użyciem starego i podatnego na ataki protokołu SSLv2, 63% z nich oferuje szyfry blokowe, które dawno temu powinny zostać wyłączone ze względu na zbyt krótki klucz. Do niektórych banków można się połączyć "szyfrowaniem bez szyfrowania", to jest po SSL ale z wyłaczonym szyfrowaniem.
Opisane błędy nie są ziejącymi dziurami, które stanowią natychmiastowe zagrożenie dla klientów banków. Są jednak czynnikami osłabiającymi bezpieczeństwo bankowości internetowej i mogą znaleźć zastosowanie podczas przyszłych ataków prowadzonych przez phisherów.
O tym, że nie jest to zagrożenie wydumane, świadczy chociażby ostatni przypadek sięgnięcia przez phisherów po legalne certyfikaty SSL.
Pełny raport można znaleźć pod adresem http://security.psnc.pl/reports/e-banking_polska_ssl_report.pdf