Błąd w generatorze liczb pseudolosowych - cd.

O autorze

Grzegorz Niemirowski

Microsoft potwierdził, że błąd w generatorze liczb pseudolosowych w Windows 2000, o którym niedawno informowaliśmy, dotyczy także systemu Windows XP.

Błąd w generatorze może pozwolić przewidzieć klucze kryptograficzne i tym samym złamać szyfrowanie stosowane przez aplikacje korzystające z tego generatora, np. SSL. Microsoft zbadał problem dokładniej i poinformował, że systemy Windows Vista, Windows Server 2003 i Windows Server 2008 zawierają nowszą wersję generatora liczb pseudolosowych i nie są podatne na atak. Windows XP niestety jest, ale błąd zostanie naprawiony w Service Packu 3. Ponadto korporacja polemizuje z odkrywcami błędu co do określania go mianem dziury. Microsoft zwraca uwagę, że do przeprowadzenia ataku i tak trzeba mieć uprawnienia administratora na danym komputerze więc błąd w generatorze nie wpływa znacząco na bezpieczeństwo. Stanowisko to, wraz z brakiem informacji o planach na temat poprawki dla Windows 2000 pozwala sądzić, że system ten nie doczeka się aktualizacji generatora liczb pseudolosowych. Mimo, że Windows 2000 jest już dosyć stary, nadal działa na 9% komputerów firmowych.