Af Torben B. Sørensen, 11/10/16
Artiklen blev oprindeligt publiceret den 15/11/2007
Den indbyggede funktion til at danne tilfældige tal i Windows 2000 har en sårbarhed, der gør det muligt at forudsige, hvilke tal den vil generere.Det fremgår af en artikel af de israelske forskere Leo Dorrendorf, Zvi Gutterman og Benny Pinkas. Artiklen, "Cryptanalysis of the Random Number Generator of the Windows Operating System," viser, at tilfældighedsgeneratoren tager udgangspunkt i data, som den finder på stakken. Dermed vil en angriber ved at udnytte et bufferoverløb kunne forudsige alle tilfældige tal, som en proces vil få tildelt.
Tilfældige tal bruges især i kryptering. Ifølge forskerne vil en angriber på den måde kunne finde frem til alle SSL-nøgler, som en proces anvender til krypteret web-kommunikation.
Forskerne analyserede tilfældighedsgeneratoren uden hjælp fra Microsoft. De har kun set på Windows 2000. Det vides ikke, om tilfældighedsgeneratoren i XP og Vista fungerer på samme måde.