Nem törték fel a BlackBerryk titkosítását

A hét elején több internetes oldal is szenzációként hozta le a hírt, miszerint feltörték a BlackBerry okostelefonok "feltörhetetlen" titkosítását. Mielőtt mindenki - főleg a céges felhasználók - sírva szaggatnák meg a ruhájukat a hír hallatán, szeretnénk megnyugtatni titeket: nem tört fel semmit az orosz ElcomSoft, főleg nem a BlackBerryk titkosító algoritmusát.

Először is érdemes tisztázni, hogy nem az adatforgalom titkosításáról van szó - ez továbbra is SSL, valamint AES és 3-DES titkosítással zajlik, amit eddig összességében nem nagyon sikerült feltörnie még senkinek, de legalábbis nem hinnénk, hogy az a pár év befektetett munka bárki számára megtérülő lenne. Az ominózus "törés" csupán a készülékjelszót képes visszafejteni, de ezt sem úgy, hogy bármilyen rést ütne a BlackBerryk jelszórendszerének pajzsán.

Az oroszok által lefejlesztett jelszóvisszafejtő mindössze a jó öreg brute force megoldást hívja segítségül, és csak akkor működik, ha a memóriakártyát is a készülékjelszóval titkosítják, különben nagyjából semmire sem jó. A program tehát lényegében nem csinál mást, mint találgat, egy a memóriakártyán lévő állomány folyamatos visszafejtésével, arra alapozva, hogy a telefonokon használt jelszavak nem különösebben bonyolultak. Ha a memóriakártyán lévő adatokat sikerült visszafejteni, és megvan a jelszó, elvileg nyitható a telefon is.

Csakhogy egyrészt ha nincs jelszó a memóriakártyán, a "crack" eleve nem működik, hasznavehetetlen továbbá akkor, ha a kártyán lévő adatokat a készülék kulcsával titkosítják, vagyis a memóriakártya csak és kizárólag abban a telefonban működik így, aminek a kulcsát hozzárendelték. Ennek a védelmi módszernek egyetlen szépséghibája van: ha a BlackBerry valamiért tönkremegy, jó eséllyel örökre búcsút lehet inteni a kártyán lévő információknak is.

Azért jó alaposan megkavart, brute force biztos jelszavakkal így is borsot lehet törni az ElcomSoft rendszerének orra alá: egy kis- és nagybetűt, számot és más, egyedi karaktert is tartalmazó nyolckarakteres jelszót egy kétmagos processzorral ellátott modern számítógép 23 év alatt tudna visszafejteni, de egy szuperszámítógépnek is csaknem három hónapot kéne gondolkodnia, mire kinyögné a helyes jelszót. Másrészt viszont ha valaki például csak kis- és nagybetűket használ a jelszóban, és az történetesen hat karakterből áll, már egy átlagos PC is uszkve fél óra alatt vissza tudja fejteni a 308,9 millió kombinációt.

Vajon a te jelszavadat mennyi idő alatt tudnák kitalálni?