Как сертификация продуктов влияет на безопасность
Heise Security опубликовало прекрасную историю об уязвимости продукта, прошедшего сертификацию FIPS 140-2.
Сертификация FIPS-140-2 определяет требования к криптографическим подсистемам как в части их физической защиты, так и собственно к их функционалу, процедуре управления ключами, аутентификации и т.п. Продукт, о котором идет речь - USB-флешка Stealth MXP компании MXI Security, выполняющая шифрование данных с использованием алгоритма AES и имеющая считыватель отпечатка пальца для реализации многофакторной аутентификации. Казалось бы, тут мы имеет стопроцентное попадание под требования стандарта и успешное прохождение сертификации по уровню 2 гарантирует нам полную сохранность данных. Правильно?! Нет!
Как обнаружили специалисты Heise Security, программное обеспечение, выполняющее аутентификацию пользователя, когда тот подключает флешку, загружает в оперативную память компьютера хеши текущего (и, возможно, предыдущих) паролей, используемых для аутентификаци. Эти хеши не имеют salt и потому уязвимы для rainbow-атаки.
Итого, продукт прошел сертификацию, получил бумагу, на его безопасности это,видимо, никак не сказалось. Хочу ли я сказать, что такие сертификации бесполезны? Пожалуй, нет, потому что при их отсутствии ошибки могли бы быть еще более устрашающими (хотя уж куда больше? ;) ), но полностью доверять их безопасности, увы, нельзя.