犯罪啊 2.8万台路由器居然共用一把RSA密钥

想象一下,你家里的钥匙可能和另外2万8千家的门钥匙是完全一样的。

这就是伦敦大学皇家霍洛威学院的研究者们上周发现的事实。他们最初的目的是扫描整个互联网，以检测还有多少服务器和设备仍然受到疯怪（FREAK）漏洞的威胁。

疯怪漏洞于3月3日被公布，它可以使得SSL/TLS的加密连接被降级，攻击者很容易破解通过弱加密连接传输的数据。它是去年在开源软件中发现的大量漏洞中的其中之一。

全网四分之一的主机都受到疯怪的威胁。上周，皇家霍洛威学院的研究者们决定看看这一比例是否还未降低。

肯尼思·帕特森是研究结果的发表人，也是皇家霍洛威学院信息工程小组的教授。他们的研究结果在上周五下午发布在一篇三页的论文上，论文声称有惊人的结论。

研究小组使用ZMap扫描了整个IPv4地址空间，寻找仍旧暴露在疯怪漏洞风险下的主机，也就是会被强制降级到512位RSA加密的那些。

512位长度的密钥在15年前就已经被认为是不安全的了。上世纪90年代，美国政府在软件出口方面限制具有长密钥、强加密功能的产品。而在政府禁令解除后，很多产品依然支持加密强度较弱的版本。

研究小组发现，在2300万主机中，9.3%的主机仍然接受512位RSA密钥，这一结果令人震惊。因为疯怪漏洞已经被公布接近3周了，它的破坏性也广为人知。

研究者还有另外一项令人震惊的发现：很多主机，包括服务器和任何连在互联网上的设备，在共享完全相同的512位公钥。即2万8千台运行SSL VPN模块的路由器都在使用同一个512位RSA公钥。

这按理绝不可能发生。得到RSA公钥的方法是通过对两个256位大素数做乘法，得到的乘积就是512位公共密钥。通过数学原理和现代计算机的算力，把密钥拆分成原本的那两个256位素数、分解512位密钥是完全可能的。

不过，生成优质的随机素数需要一些技巧。路由器等设备中内置的软件系统应该有一个优质的随机库，以生成独一无二的素数，然而它们并没有做到这一点。

实际情况有可能是制造商指定了一个密钥，然后把它配置到了海量的设备上。

帕特森表示，这是一种罪孽，应该被认为是制造商的懈怠所造成的，其完全不是加密过程应有的面貌。

此情况的危险之处在于，攻击者有可能仅仅需要制造一把512位密钥，然后就能用这同一把钥匙解开2万8千个设备的加密连接。

研究者们发现，在仍然受到疯怪漏洞威胁的220万台主机中，其中的66万台有重复密钥。出于学术研究的目的，研究小组还利用算法和数学原理尝试制造了其中一些重复密钥。

在3分钟之内，他们就成功制造了90把公钥，对应着294台主机。帕特森表示，他们只是用了大学去年购置的一台极端普通的八核计算机，价格只有大约9万人民币。

研究小组知道其中一些最易受到攻击的设备的IP，以及拥有相同密钥的人的家庭住址。他们正在试图和这些人取得联系。

计划只进行了一小部分，但是找到现存的这些高风险IP的主人就已经要耗费非常大的工作量了。