Hyundai za šifriranje uporabil kar javno objavljen primer javnega in zasebnega ključa

Novi Hyundaijevi avtomobili imajo razvedrilno-informacijski sistem (infotainment vehicle system, IVI), ki se lahko tudi posodablja. Čeprav je zaščiten s šifrirnimi ključi, ki naj bi načeloma preprečevali nepooblaščene posege in posodobitve, je Hyundai uporabil kar javno dostopne zasebne ključe, ki so v internetni literaturi o šifriranju navedeni med primeri.

Eden izmed lastnikov modela Hyundai Ioniq SEL (2021) je želel zamenjati IVI. Ugotovil je, kako se povezati z računalnikom. Sistem je nastavljen tako, da sprejema nadgradnje v obliki z geslom zaščitene datoteke ZIP. Opis in geslo je našel na spletni strani Mobis, kar mu je omogočilo izdelavo primerno zaščitene datotek ZIP, ki jo sistem prepozna in samodejno namesti. Toda odtis operacijskega sistema (firmware image) mora biti šifriran s simetričnim ključem AES CBC (Cipher-Block-Chaining). Ta sicer že dlje časa velja za nezadosten način zaščite, a to ni glavni problem. Še vedno namreč potrebujemo ključ, s katerim zašifriramo vsebino. V teoriji bi ga moral imeti le Hyundai.

Izkazalo se je, da je Hyundai uporabil kar 128-bitni ključ, ki je kot primer naveden v NIST-ovem dokumentu SP800-38A. S tem je uporabnik lahko odšifriral tovarniški firmware. Ugotovil je, da so tudi za asimetrično šifriranje uporabili ključa, ki sta javno navedena v spletnih priročnikih, denimo "RSA Encryption & Decryption Example with OpenSSL in C. Z drugimi besedami, Hyundai je v kodo zapisal javni ključ, ki ga spletno iskanje odkrije v javnem priročniku. Ta priročnik pa vsebuje tudi pripadajoč zasebni ključ, ki deluje.

Lahko bi ugovarjali, da je s tem Hyundai v resnici poskrbel, da je programska oprema nadgradljiva in da lahko kupci popravljajo svoja vozila. Zaklepanje izdelkov pred posegi je svojevrsten problem, ki je trenutno najbolj pereč pri kmetijski mehanizaciji, a to ni zgodba o tem. Predvsem pa Hyundai tega ni želel. Bili so samo - površni.