Järgnev näide on ehk liialt tehniline ja nüansirohke, aga palun siiski lugejal veidi vaeva näha sellesse süvenemisega. Krüptoloogia (informatsiooni kaitsmine vaid valituile kasutatavaks muutes) on maailmas aina olulisem, sest inimeste endi välja mõeldud infosüsteemid mängivad igapäevaelus looduslike süsteemide lähedast rolli.

Hiljuti tutvustasid Norras tegutsevad noored krüptoloogid Tartus oma teadustööd, mille sisuks oli 2002. aastal esmakordselt avastatud infotehnoloogiliste turvaseadmete vastu suunatud ründe kiirendamine (ingl padding oracle attack – polsterdusoraakli rünne). Rünnet saab kasutada juhul, kui seade, mis kasutab krüpteerimiseks salajasi võtmeid, vastab veateatega, kui dekrüptimiseks saadetud pakett on valesti formeeritud. Sõnumi krüpteerimiseks jagatakse pikk sõnum ühepikkusteks plokkideks. Kuna algne sõnum ei pruugi olla täpselt täisarv plokke, siis tuleb viimasele plokile etteantud reeglite järgi sümboleid lisada, n-ö polsterdada. Kui dekrüpteerimise tulemusena tekib plokk, mis ei vasta sümbolite lisamise reeglitele ja seade väljastab veateate, siis nimetatakse sellist seadet oraakliks. Seade ei avalda krüpteerimiseks ja dekrüpteerimiseks kasutatavat salajast võtit, kuid pakettidega katsetades õnnestub salajase võtmega tehtav operatsiooni tulemus teada saada. Algselt kutsuti rünnet miljoni paketi ründeks, kuna katsetuste arv, mis tuli teha, oli väga suur. Teadlaste panus seisneb selles, et nad tegid ründe suurusjärgu võrra kiiremaks, kasutades teravmeelset meetodit katsepakettide valiku vähendamiseks. Põhjus, miks seadmed veateateid annavad, tuleneb ühest standardist (huvilistele ka selle nimi: PKCS #1 v1.5), mida kasutatakse krüpteerimiseksdekrüpteerimiseks, s.t standard ise sisaldab turvanõrkust. Mainitud standard on rakendatud maailma juhtivate elektrooniliste isikutuvastusvahendite tootjate seadmetes, mis on tavapäraselt kiipkaardi või USB-pulga kujul. Teadlased väitsid, et nad on murdnud isikutuvastamisvahendite turvalisuse ja tõid välja tundidest kuni päevadeni kuluva aja, mis kulub ründe läbiviimiseks eri tootjate seadmete puhul.

Teadlased jätsid selgelt välja toomata ründe korraldamise eeldused. Selleks et autentimisvahend annaks välja veateate, peab seade kasutama salajast võtit ja paketi dekrüpteerima. Salajast võtit saab dekrüpteerimiseks kasutada ainult pärast autentimisvahendi omaniku PIN koodi sisestamist. Seega peab ründajal olema juurdepääs seadmele ja PIN -koodile. Kui ründajal on juba ohvri PIN-kood, siis pole põhjust tunde ja päevi katsetada, vaid on võimalik kohe ühe käsuga dekrüpteerida või moodustada signatuur. Seega sellisel ründel väärtust ei ole.

Oma tööle näiliselt praktilise väärtuse andmiseks mõtlesid teadlased välja situatsiooni, millal ohver on ise oma arvutis PIN -koodi sisestanud ja ründaja kasutab seadmega suhtlemiseks juba loodud seanssi. Sellise olukorra eelduseks on ründaja kontroll tarkvara üle, mis suhtleb autentimisvahendiga. See on võimalik, kui ohvri masinasse istutada kurivara, mis võtab üle kontrolli arvuti üle. Rünne on võimalik, kuid tegu on teist tüüpi, mitte krüptograafilise ründega. Kurivara, mis võtab kontrolli arvuti üle, on palju liikvel. Arvuteid, mis on üle võetud ja allutatud kesksele juhtimisele, nimetatakse botnetiks. Mida botnetti kuuluva arvutiga teha saab, sõltub ohvri arvutis oleva botneti tarkvara võimekusest. Kurivarad suudavad dokumente varastada, mikrofoni või kaamera käima panna ja pildi ründajale edastada, ohvri eest ja tema nimel tegutseda ja tehinguid sooritada jpm.

Eelmisel aastal ilmnes, et Venemaal oli välja arendatud Zeusi-nimeline botneti tarkvara suhtlema ühest Venemaa pangast väljastatud kiipkaardiga. Kõigepealt talletas kurivara kaardi PIN -koodid ja kui kaart oli arvutisse jäetud, siis tehti omaniku teadmata pangaülekandeid. Seega, kui ründajal on kontroll ohvri arvuti üle ja ohver on juba PIN -koodi sisestanud, siis pole ründajal vaja tundide viisi katsetada. Ründaja võib kohe anda kaardile käsu soovitud toimingute tegemiseks.

Krüptoloogide töö on teadusmaailmas kahtlemata väärtuslik. Kuid teadlased läksid kaugemale, kui võiks eeldada akadeemilist korrektsust järgivatelt inimestelt. Tartus toimunud seminari kutses teatasid teadlased, et on avastanud võimaluse, kuidas koostada allkirju ilma salajast võtit ja PIN-koodi teadmata. Sisuliselt ei vasta väide tõele, kuna salajaste võtmetega manipuleerimiseks on vaja teada PIN-koodi.

Juhtivaid krüptoseadmeid tootev firma RSA on oma blogis (http://blogs.rsa.com/curry/dont-believe-everything-you-read-your-rsa-securid-token-is-not-cracked) krüptoloogide väited ümber lükanud. Tuleb tõdeda, et noored on siiski oma eesmärgi saavutanud: tänu sensatsioonihõnguliste pooltõdede esitamisele nende teadustööst kirjutatakse ja see tekitab elevust. Teadlane peaks siiski tajuma vastutust, mis tal lasub, kui ta teab, et tema väiteid võidakse massimeedias vääriti tõlgendada.

Noorte auahnete krüptoloogide odava populaarsuse janustel tegudel on peale lühiajalise segaduse tekitamise ka kaugemale ulatuv mõju. Nagu muinasjutus, kus karjapoiss põhjuseta külaelanikke hundi peletamiseks appi hüüdis, kaotasid külaelanikud usu karjapoissi tõelise ohu puhul. Samamoodi muudab väärmuljet jätvate teadusartiklite seisukohtade refereerimine ajakirjanduses ühiskonna paksunahaliseks. Teadustulemust peetakse abstraktseks ja ebaoluliseks. Rahvale tundub, et olulised sõnumid tulevad igapäevaelu korraldavatelt inimestelt. Lõpuks tekib põhjendatud küsimus, miks pidada maksumaksja raha eest üleval seltskonda, kes on igapäevaelust kaugel, mõlgutab oma lõbuks keerukaid mõtteid ja põhjustab vahetevahel segadust.

Ühiskond liigub vales suunas, kui teadmiste usaldusväärus tuleneb institutsioonidest ja nende suurusest, mitte vabast akadeemilisest mõttest, kui teadlaskonna väiteist on usutavam seisukoht, mille avaldab soliidne firma või täitevvõimu asutus.