MA 14:31

Az adatbiztonság alapja összedőlt – lehet, hogy nincs rá megoldás

Kezdetben a titkosított számítási rendszerek megoldásai technikai áttörést ígértek az érzékeny adatok védelmében. Az új korszak egyik pillére a távoli hitelesítés, amelynek célja, hogy a szerver kriptográfiailag igazolja a kliens felé: valóban egy megbízható, módosítatlan környezetben fut, mielőtt bármilyen érzékeny adat áramlani kezdene. Világszerte techóriások, köztük az Intel vagy a Google, e megoldásokat állítják az európai adatfüggetlenségi törekvések középpontjába, elmondásuk szerint teljes és átlátható felhasználói adatvédelem mellett. Ettől függetlenül egy új kutatás súlyos, rendszerszintű sebezhetőséget tárt fel a kriptográfiai hitelesség terén, amely az egész koncepció alapját ingatja meg: a „bizalmi kézfogás” – vagy más néven attesztált TLS-protokoll – csak látszólag bizonyítja, ki van a vezeték másik végén. Ez a probléma ráadásul nem csupán laboratóriumi környezetben létezik, hanem éles, nagyvállalati alkalmazásokban is megjelenik.

Mit ígér és mit teljesít valójában az attesztált TLS?

Az informatikai biztonsági szakemberek éveken át formális bizonyításokkal igyekeztek alátámasztani, hogy az attesztált TLS-protokoll tényleg garantálja-e azt, amit a gyártók állítanak. A kutatók a ProVerif nevű eszközzel szimulálták a lehetséges támadási vektorokat, és kiderült, hogy a protokoll valójában csak részben tölti be a rendeltetését.

Két tanulmányban, függetlenül és más kutatókkal együttműködve, egymástól eltérő, de egyező eredmények születtek: a tesztelt protokollokat diverzióval, azaz csomagok eltérítésével lehet támadni. Egy kliens úgy hiheti, hogy az adatokat egy adott, ellenőrzött szervernek küldi, de közben egy kompromittált, azonos szoftvert futtató szerver kapja meg bárhol a világon, mindez teljesen láthatatlan marad a felhasználó számára. A protokoll ugyanis csak a szoftver integritását, nem pedig annak fizikai helyét vagy tényleges identitását ellenőrzi.

A bizalom három szintje – és a határok

A jelenség lényegét három szintre bontották:

– Az első szint csak az elsődleges kulcscseréhez kötött attesztációt tesz lehetővé, amikor még egyik fél sem igazolta magát teljesen.

– A második szint a kliens kézfogás során használt forgalmi kulcsához kapcsolja a bizonyítékot, már közelebb kerülve a szerver identitásához.

– A harmadik, legerősebb szint a tényleges adatforgalmi kulcshoz kötné a hitelesítést – ehhez viszont jelenleg egyik tervezett vagy implementált mechanizmus sem kínál megoldást: a bizonyíték már korábban elhagyja a rendszert, mielőtt a végső kulcs létrejönne.

A vizsgált hét kötési mechanizmus közül három érte el az első szintet, egyedül a kutatócsoport új javaslata éri el a másodikat. A harmadik szint jelen állapotban elméletileg elérhetetlen az eddigi architektúrában anélkül, hogy a TLS 1.3 szabvány alapvető elemeit teljesen újragondolnák.

Nemcsak elmélet – piacvezető rendszerek is érintettek

Az intra-handshake attesztáció gyengeségei nem pusztán tankönyvi példák. Részletes elemzés alapján olyan ipari rendszerek, mint a Meta WhatsApp-hoz fejlesztett Private Processing rendszere, az Edgeless Systems Contrast megoldása, a nyílt forráskódú Cocos AI platform és a Confidential Computing Consortium tesztprojektje mind sebezhetők a relé-támadásokkal szemben. Az említett hibák évekig rejtve maradhattak, amíg a formális bizonyítási eszközök felszínre nem hozták őket.

A Cocos AI védelmi hibája 7,5-ös erősséget kapott a CVSS skálán – ez számottevőbb, mint számos korábbi, nagy figyelmet kapott memóriabiztonsági támadás (pl. BadRAM, Staleus). Mégis a sérülékenységet elsőként feltáró kutatókat késleltetéssel követte csak a szabványokat irányító testület, és a fejlesztés alá tartozó hivatalos GitHub-repozitórium kiépítése is elmaradt – így végül a felfedezésre informális úton hívták fel a szakma figyelmét.


Bürokrácia és a biztonsági gyakorlat kettőssége

Az ipari visszajelzések is mutatják, mennyire különbözik a marketing és a valóság. Németország kiberbiztonsági hatósága szerint a titkosított számítás csak egy a több védelmi réteg közül, a hozzá tartozó infrastruktúra (pl. kulcs- és identitáskezelés) sebezhetőségeit nem orvosolja önmagában. Ez pontosan visszhangozza a kriptográfiai elemzés fő üzenetét: a hardverbe fektetett bizalom eredendő, ám minden, erre épülő szoftveres garancia csalóka lehet.

Az Intel, saját TDX technológiáját védve, leszögezi: nem tartja magát akadálynak a szuverenitás szempontjából, mivel nem lát rá az adatokra, és a végső bizalmi döntés átadható független auditoroknak. Viszont arról a kérdésről, hogy a 2024-es RISAA törvény alapján az amerikai állam titkosított utasításokkal utasíthatja a hardvergyártót, nem adott választ.

Megelőző lépés nélkül nincs teljes biztonság

Az IETF szabványosítási munkacsoportja, amely a Secure Evidence and Attestation Transport (SEAT) protokoll fejlesztéséért felelős, meghatározó kriptográfiai követelménnyé emelte a kutatási eredmények által feltárt korlátozásokat. Ugyanakkor sem az ipari, sem a gyártói oldal nem volt hajlandó elismerni a szűkre szabott bizalmi garanciákat.

Az igazi kérdés tehát nem csupán az, mely cég birtokolja a felhőt vagy mely kormány képes beavatkozni a hardvergyártásba, hanem hogy maga a protokoll képes-e valóban bizonyítani: a terhelés ténylegesen ott fut, ahol állítják.

Az egyetlen megoldás: újragondolni mindent?

Az eddigiekkel ellentétben már világos: a jelenlegi intra-handshake attesztációs megközelítés technikailag nem erősíthető a maximumig – egyszerűen a létrejövő titkosítókulcs létrejötte után a bizonyíték már elküldésre került. Egyedül a kézfogás utáni attesztáció adhat reményt a legerősebb, ténylegesen hiteles adatvédelmi szint elérésére, még ha ez bonyolultabbá is teszi a rendszert.

A végkövetkeztetés egyértelmű: a bizalmi protokoll jelen formájában csak részleges védelmet ad – az igazi, teljes adatbiztonsághoz más, alaposabban felépített megközelítés szükséges.

2026, adminboss, www.theregister.com alapján

Legfrissebb posztok

MA 18:02

Az öt Android-mobil, amit a Moto G Power helyett vegyél

📱 Külön említést érdemel, hogy a középkategóriás okostelefonok kínálata soha nem volt ennyire izgalmas...

MA 17:31

A Midjourney visszavág: a bíróságon valljanak MI-használatukról a stúdiók

🛠 A Midjourney szembeszállt a nagy hollywoodi stúdiókkal, miután azok tavaly beperelték szerzői jogsértés miatt, mert az MI-alapú képalkotó rendszer képes Supermanről, Batmanről és más híres karakterekről képeket generálni...

MA 17:01

A Webb-űrtávcső felforgatja a világegyetemről alkotott képünket

Ha a kozmikus rejtélyek foglalkoztatnak, érdemes a James Webb-űrtávcső (JWST) képeire vetni egy pillantást...

MA 16:31

Az ARToken PhaaS leleplezi az EvilTokens Microsoft 365 adathalász eszköztárát

Érdekes jelenség, hogy az elmúlt időszakban egyre kifinomultabb adathalász szolgáltatások jelentek meg, amelyek célkeresztjében a vállalati felhasználók állnak...

MA 16:01

Az új brit kriptószabályok fellendítenék a kereskedelmet, de jönnek a buktatók

💸 Érdekes felvetés, hogy az Egyesült Királyság új kriptovaluta-szabályozása globális kereskedelmi lehetőségeket nyithat meg, miközben komoly kihívásokat is tartogat...

MA 15:30

Az ősi „hobbitok” a komodói varánuszok maradékain lakmároztak

Érdemes megvizsgálni, hogy az indonéziai Flores szigetén egykor élt, Homo floresiensisnek nevezett ősi emberfaj, vagyis a hobbitok, ténylegesen mennyire voltak találékonyak túlélésük során...

MA 15:01

Az Amazon frissített Fire HD 10-je kicsivel több memóriával érkezik

Az Amazon megújította népszerű Fire HD 10 táblagépét, az egyik legfontosabb változás pedig a memória bővítése: az eddigi 3 GB helyett mostantól 4 GB RAM-mal működik az eszköz...

MA 11:31

A tűzijáték mellé sarki fény: tucatnyi államban villanhat az ég a hétvégén

🎆 Az Egyesült Államok Függetlenség napja hétvégéjén nemcsak a látványos tűzijátékokban gyönyörködhetnek a lakosok, hanem a szokottnál is élénkebb sarki fény is megjelenhet az éjszakai égbolton...

MA 10:36

A július 4-i hőhullám 1776-ban szinte lehetetlen lett volna

🔥 Július mindig a legmelegebb hónap az Egyesült Államokban, de napjainkban a hőhullámok sokkal intenzívebbek, mint amilyeneket Benjamin Franklin, Thomas Jefferson vagy a többi alapító atya megtapasztalhatott volna...

MA 10:25

Az Endeavour űrsiklót még idén testközelből csodálhatjuk Los Angelesben

🚀 A NASA legendás űrrepülőgépe, az Endeavour hamarosan végleges helyére kerül a Los Angeles-i Kaliforniai Tudományos Központban...

MA 10:01

A Hold végzete: mi vár rá a távoli jövőben?

🔈 Amikor az ember felnéz az égre, a Hold szinte mindig ott van, mégis hajlamosak vagyunk természetes társunkat magától értetődőnek venni...

MA 09:25

A francia hőhullám sokkja: riasztó halálozási adatok

Franciaországot június végén történelmi hőhullám sújtotta, amelynek során a halálozások száma soha nem látott mértékben megugrott...

MA 09:13

Az agy rejtett kulcsa: a munkamemória szüli a tudatot?

💡 Előfordul, hogy valaki átlép egy ajtón, és azonnal elfelejti, miért is ment be a helyiségbe...

APP
MA 09:12

APPok, Amik Ingyenesek MA, 7/4

Fizetős iOS appok és játékok, amik ingyenesek a mai napon.     ICD-10 Dictionary (iPhone/iPad)Az alkalmazás segítségével egyszerűen kereshetünk ICD-10 kód, betegség neve vagy akár tünet alapján is...

MA 09:01

Az MI-vezérek egymás közt tárgyalnak, a dolgozók csak pislognak?

Egy hétköznapi munkanap során egy alkalmazott egy zavaros üzenetet kap a főnökétől...

MA 08:24

A Play Áruház gyűjteményeihez hamarosan egyedi widgetek érkeznek

A Google hamarosan egyesével is elérhetővé teszi a különböző gyűjteményeket a widgetek között – így végre mindenki csak azokat a kategóriákat teheti ki, amelyek számára a legfontosabbak...

MA 08:12

A Google Névjegyek érintéses megosztást és frissített Saját adatok lapot kap

📱 Érdemes észrevenni, hogy a Google egyre gördülékenyebb élményt kínál azoknak, akik gyorsan, akadályok nélkül szeretnének adatokat megosztani telefonjukról...

MA 08:02

A NetNut proxyhálózatát megbénították, kétmillió fertőzött eszközt lekapcsoltak

🚨 Fontos kérdés, hogy mennyire könnyen válhatnak hétköznapi otthoni eszközök – mint az okostelevíziók vagy a streamingboxok – hackerek hálózatának részévé...

MA 07:49

Az AdaptHealth szerint édes beszéddel jutottak a felhőbe, vitték a betegadatokat

Fontos kérdés, hogy mennyire bízhatunk a külsős partnerekben, amikor az egészségügyi adatainkra vigyáznak...

MA 07:25

Az atomhulladék-akkuk lassú töltéssel évtizedekig éltethetik a drónrajokat

💥 Erre utal többek között az, hogy amerikai kutatók forradalmi, kompakt nukleáris akkumulátorokon dolgoznak, amelyek több évtizedig képesek folyamatosan áramot biztosítani...

MA 07:13

A végzetes hiba, ami miatt Amerika beleroskad a hőségbe

🔥 Az Egyesült Államokban a házakat, iskolákat és kórházakat úgy tervezték a légkondicionálásra, hogy szinte semmilyen természetes védelem nincs beépítve a hő ellen...

MA 07:01

A tudósok visszafordították az időt – áttörés a kvantumfizikában

⏲ Nehéz elhinni, de a tudósoknak sikerült olyan eljárást kidolgozniuk, amellyel a kvantumrendszerek viselkedése mintha visszafelé haladna az időben...

MA 06:49

Az enyhülő kamatemelési félelemre szárnyalnak a kriptók

Az elmúlt hét igazán kedvezően alakult a kriptopiac számára – a Bitcoin újra stabilizálódni látszik, miután az Egyesült Államok vártnál gyengébb munkaerőpiaci adatai visszavetették a kamatemelési várakozásokat...

MA 06:37

A Rubin Obszervatórium tízéves univerzum-mozija garantáltan letaglóz

Egy chilei hegytetőn végre elindult minden idők legnagyobb digitális kamerája, hogy egy évtizeden át minden éjjel rögzítse a déli égbolt dinamikus történéseit...

MA 06:24

Az amerikai élettartam új történelmi rekordra készül

Az Egyesült Államokban 2025-ben rekord alacsony szintre csökkent a lakosság halálozási aránya, mivel minden korosztályban javultak az életkilátások, és drámaian visszaestek a túladagolásos halálesetek is...

MA 06:06

Történelmi események a mai napon (Július 4.)

Amerikában elfogadják a Függetlenségi nyilatkozatot, megkezdődik a történelem legnagyobb páncéloscsatája Kurszknál, és a brit Parlament elé kerül India és Pakisztán függetlenségének terve...

MA 06:01

Az MI lehagyta a szabályozást – figyelmeztetnek Európa bankárai és felügyelői

⚠ Az európai döntéshozók egyre nagyobb dilemmával néznek szembe: miként támogassák a mesterséges intelligencia gyors terjedését anélkül, hogy veszélybe sodornák a pénzügyi piacok stabilitását?..

péntek 18:31

A Google 4,1 milliárd eurós rekordbírságot kapott – meg se kottyan

Az Európai Unióban évek óta tartó, elhúzódó versenyjogi harc végére került pont: a Google-nek rekordösszegű, 4,1 milliárd eurós bírságot kell kifizetnie...

péntek 18:02

A Medicare 50 dolláros GLP-1-jei örökre megváltoztathatják Amerikát

Július elsejétől a Medicare támogatja az új generációs GLP-1 testsúlycsökkentő gyógyszereket, már havi 50 dolláros (kb...