![](/news:img/1006/tn:index/fn:img/w:640/h:700/null/img.png)
Баги в IEEE P1735 ставят под угрозу интеллектуальную собственность производителей софта и железа
Специалисты из университета Флориды представили доклад, озаглавленный «Стандартизируем плохую криптографическую практику» (Standardizing Bad Cryptographic Practice), в котором подробно рассказали об изучении стандарта IEEE P1735 и обнаруженных в нем уязвимостях.
Стоит пояснить, что в IEEE P1735 – это стандарт, описывающий рекомендации, методы и техники, которые используются для шифрования различных «внутренних механизмов», которые задействуются во время работы ПО и железа. По сути, IEEE P1735 используется для защиты интеллектуальной собственности в сфере коммерческого электронного дизайна; этот стандарт позволяет разным производителям создавать совместные продукты, но при этом защищает их собственные наработки от обратного инжиниринга и кражи. IEEE P1735 можно назвать низкоуровневым DRM, который позволяет коду разных производителей функционировать совместно, при этом оставаясь зашифрованным.
![](/data:img/1684/tn:index/fn:img/null/img.png)
Сводная группа исследователей из университета Флориды обнаружила, что повсеместно применяющийся стандарт IEEE P1735 уязвим перед некоторыми известными криптографическими атаками, например, padding oracle. Хотя в сумме исследователи выявили семь различных проблем, наиболее серьезная из них позволяет атакующему полностью обойти шифрование и получить доступ к сокрытой за ним интеллектуальной собственности, причем в формате обычного текста.
Исследователи отмечают, что такой баг фактически позволяет компаниям воровать разработки своих конкурентов, а это может грозить участникам рынка огромными финансовыми потерями, сулит банкротство небольшим компаниям, а также может привести к возникновению монополий и дуополий, которые позволят крупным корпорациям безраздельно контролировать цены на некоторые продукты.
Еще один обнаруженный баг не помогает получить доступ к зашифрованной интеллектуальной собственности, но позволяет использовать защиту IEEE P1735 для сокрытия жестко закодированных троянов или другой малвари. Хуже того, специалисты считают, что эта проблема в теории может помочь недобросовестным компаниям саботировать работу решений конкурентов.
Ознакомиться с перечнем всех обнаруженных проблем и статусом каждой из них можно здесь.