![[HaBo]](/styles/default/logoklein.png){kind=small}
Guten Abend!
Ich beschäftige mich gerade mich der (Un)Sicherheit von RSA Keys und da ist es unter anderem auch interessant mal die benutzten zu untersuchen. Habe mich schon ein wenig umgeschaut und es gibt schon Untersuchungen, bei denen - soweit ich das verstanden habe - relativ "stumpf" im ganzen Internet nach offenen 443er Ports gescannt wurde und dann mit Hilfe eines TLS-Handshakes das Zertifikat erlangt wurde aus dem dann der RSA Key gewonnen wurde. Nachzulesen zum Beispiel hier: https://factorable.net/weakkeys12.extended.pdf.
Nun stellt sich mir die Frage, ob es noch andere "Quellen" für RSA Keys gibt, die einerseits eine adäquate Menge von Public Keys liefern und andererseits zumindest einigermaßen automatisiert zu sammeln sind?
Im oben genannten Paper heißt es dazu in Kapitel 6.4.:
"We also focused solely on services visible to our scansof the public Internet. Similar vulnerabilities might befound by applying this methodology to keys or other cryptographic data obtained from other resource-constraineddevices that perform cryptographic operations, suchas smart cards or mobile phones"
Den Punkt mit dem Handys fände ich persönlich sehr spannend. Die Frage ist nur: Besitzen alle Smartphones standartmäßig überhaupt einen RSA Key und wie kommt man an den Public Key. Vielleicht mit einer Webseite, welche man mit dem Smartphone besucht, sodass man eine solche Aufsätzen könnte?
Freue mich über alle Tipps und Ideen!
Ich beschäftige mich gerade mich der (Un)Sicherheit von RSA Keys und da ist es unter anderem auch interessant mal die benutzten zu untersuchen. Habe mich schon ein wenig umgeschaut und es gibt schon Untersuchungen, bei denen - soweit ich das verstanden habe - relativ "stumpf" im ganzen Internet nach offenen 443er Ports gescannt wurde und dann mit Hilfe eines TLS-Handshakes das Zertifikat erlangt wurde aus dem dann der RSA Key gewonnen wurde. Nachzulesen zum Beispiel hier: https://factorable.net/weakkeys12.extended.pdf.
Nun stellt sich mir die Frage, ob es noch andere "Quellen" für RSA Keys gibt, die einerseits eine adäquate Menge von Public Keys liefern und andererseits zumindest einigermaßen automatisiert zu sammeln sind?
Im oben genannten Paper heißt es dazu in Kapitel 6.4.:
"We also focused solely on services visible to our scansof the public Internet. Similar vulnerabilities might befound by applying this methodology to keys or other cryptographic data obtained from other resource-constraineddevices that perform cryptographic operations, suchas smart cards or mobile phones"
Den Punkt mit dem Handys fände ich persönlich sehr spannend. Die Frage ist nur: Besitzen alle Smartphones standartmäßig überhaupt einen RSA Key und wie kommt man an den Public Key. Vielleicht mit einer Webseite, welche man mit dem Smartphone besucht, sodass man eine solche Aufsätzen könnte?
Freue mich über alle Tipps und Ideen!
) gesammelt wurden: