DUHK (Don’t Use Hard-coded Keys) adalah kerentanan penerapan kriptografi ‘non-trivial‘ baru yang memungkinkan penyerang memulihkan kunci enkripsi dari koneksi VPN aman dan sesi penjelajahan web.
DUHK adalah kerentanan ketiga terkait kripto yang dilaporkan bulan ini setelah serangan KRACK Wi-Fi dan serangan faktorisasi ROCA.
Kerentanan tersebut mempengaruhi produk dari puluhan vendor, termasuk Fortinet, Cisco, TechGuard, yang perangkatnya bergantung pada ANSI X9.31 RNG – algoritma generasi bilangan pseudorandom yang ketinggalan jaman – ‘bersamaan dengan kunci seed Hard-Coded‘.
Sebelum dihapus dari daftar kumpulan algoritma bilangan pseudorandom FIPS yang disetujui pada bulan Januari 2016, ANSI X9.31 RNG dimasukkan ke dalam berbagai standar kriptografi selama tiga dekade terakhir.
Generator bilangan pseudorandom (PRNGs) tidak menghasilkan bilangan acak sama sekali. Sebaliknya, ini adalah algoritma deterministik yang menghasilkan urutan bit berdasarkan nilai rahasia awal yang disebut seed dan keadaan saat ini. Ini selalu menghasilkan urutan bit yang sama untuk digunakan dengan nilai awal yang sama.
Beberapa vendor menyimpan nilai seed ‘rahasia’ ini hard-coded ke dalam kode sumber produk mereka, sehingga rentan terhadap firmware reverse-engineering.
