Когато чуете думата „криптография“, някои хора си спомнят паролата си за WiFi, зеления катинар до адреса на любимия им уебсайт и колко трудно е да влезете в имейла на някой друг. Други си припомнят поредица от уязвимости през последните години с красноречиви съкращения (DROWN, FREAK, POODLE...), стилни лога и предупреждение за спешна актуализация на вашия браузър.

Криптографията покрива всичко, но същността на в друг. Въпросът е, че има тънка граница между простото и сложното. Някои неща са лесни за правене, но трудни за сглобяване, като счупването на яйце. Други неща са лесни за правене, но трудни за връщане, когато малка, важна, решаваща част липсва: например отваряне на заключена врата, когато „решаващата част“ е ключът. Криптографията изучава тези ситуации и как те могат да бъдат използвани на практика.

През последните години колекцията от криптографски атаки се превърна в зоопарк от крещящи лога, пълни с формули от научни статии и поражда общо мрачно усещане, че всичко е счупено. Но всъщност много от атаките се основават на няколко общи принципа и безкрайните страници от формули често се свеждат до лесни за разбиране идеи.

В тази поредица от статии ще разгледаме различните видове криптографски атаки, като акцентираме върху основните принципи. Най-общо и не точно в този ред, но ще разгледаме следното:

• Основни стратегии: груба сила, честотен анализ, интерполация, понижаване и кръстосани протоколи.
• Брандирани уязвимости: ИЗРОД, ПРЕСТЪПЛЕНИЕ, ПУДЕЛ, УДАВЯНЕ, ДЪЛГА.
• Разширени стратегии: оракулски атаки (атака на Воденет, атака на Келси); метод на среща по средата, атака на рожден ден, статистическо отклонение (диференциален криптоанализ, интегрален криптоанализ и др.).
• Атаки по страничен канал и техни близки роднини, техники за анализ на отказите.
• Атаки срещу криптография с публичен ключ: кубичен корен, излъчване, свързано съобщение, атака на Coppersmith, алгоритъм на Pohlig-Hellman, числово сито, атака на Wiener, атака на Bleichenbacher.

Тази конкретна статия обхваща горния материал до атаката на Келси.

Основни стратегии

Следните атаки са прости в смисъл, че могат да бъдат почти напълно обяснени без много технически подробности. Нека обясним всеки тип атака с най-прости думи, без да навлизаме в сложни примери или случаи на напреднала употреба.

Някои от тези атаки до голяма степен са остарели и не са били използвани от много години. Други са стари хора, които все още редовно се промъкват на нищо неподозиращи разработчици на криптосистеми през 21 век. Ерата на съвременната криптография може да се счита за започнала с появата на IBM DES, първият шифър, който устоя на всички атаки в този списък.

Обикновена груба сила

Схемата за криптиране се състои от две части: 1) функцията за криптиране, която приема съобщение (обикновен текст), комбинирано с ключ, и след това създава криптирано съобщение - шифрован текст; 2) функция за декриптиране, която взема шифрования текст и ключа и произвежда обикновен текст. И криптирането, и декриптирането трябва да са лесни за изчисляване с ключа и трудни за изчисляване без него.

Да приемем, че виждаме шифрования текст и се опитваме да го дешифрираме без допълнителна информация (това се нарича атака само с шифрован текст). Ако по някакъв магически начин намерим правилния ключ, можем лесно да проверим дали той наистина е правилен, ако резултатът е разумно съобщение.

Обърнете внимание, че тук има две имплицитни предположения. Първо, знаем как да извършим дешифриране, тоест как работи криптосистемата. Това е стандартно предположение, когато се говори за криптография. Скриването на подробностите за внедряването на шифъра от нападателите може да изглежда като допълнителна мярка за сигурност, но след като нападателят разбере тези подробности, тази допълнителна сигурност се губи тихо и необратимо. Ето как Принцип на Керхоф: Системата, попадаща в ръцете на врага, не трябва да причинява неудобства.

Второ, приемаме, че правилният ключ е единственият ключ, който ще доведе до разумно дешифриране. Това също е разумно предположение; то е удовлетворено, ако шифрованият текст е много по-дълъг от ключа и е четим. Това обикновено се случва в реалния свят, освен огромни непрактични ключове или други глупости, които е най-добре да оставите настрана (ако не ви харесва, че сме пропуснали обяснението, моля, вижте теорема 3.8 тук).

Като се има предвид горното, възниква стратегия: проверете всеки възможен ключ. Това се нарича груба сила и такава атака е гарантирано да работи срещу всички практични шифри - в крайна сметка. Например грубата сила е достатъчна за хакване Шифър на Цезар, древен шифър, където ключът е една буква от азбуката, което предполага малко над 20 възможни ключа.

За съжаление на криптоаналитиците, увеличаването на размера на ключа е добра защита срещу груба сила. С увеличаването на размера на ключа броят на възможните ключове нараства експоненциално. Със съвременните размери на ключовете простата груба сила е напълно непрактична. За да разберем какво имаме предвид, нека вземем най-бързия известен суперкомпютър от средата на 2019 г.: Връх от IBM, с пикова производителност от около 1017 операции в секунда. Днес типичната дължина на ключа е 128 бита, което означава 2128 възможни комбинации. За да търси във всички ключове, суперкомпютърът Summit ще се нуждае от време, което е приблизително 7800 пъти по-голямо от възрастта на Вселената.

Трябва ли грубата сила да се счита за историческо любопитство? Съвсем не: това е необходима съставка в готварската книга за криптоанализа. Рядко шифрите са толкова слаби, че могат да бъдат разбити само чрез умна атака, без използването на сила в една или друга степен. Много успешни хакове използват алгоритмичен метод, за да отслабят първо целевия шифър и след това да извършат атака с груба сила.

Честотен анализ

Повечето текстове не са безсмислици. Например, в английските текстове има много букви "e" и членове "the"; в двоичните файлове има много нулеви байтове като подложка между части от информация. Честотният анализ е всяка атака, която се възползва от този факт.

Каноничният пример за шифър, уязвим на тази атака, е простият заместващ шифър. В този шифър ключът е таблица с всички заменени букви. Например „g“ се заменя с „h“, „o“ с j, така че думата „go“ става „hj“. Този шифър е труден за груба сила, защото има толкова много възможни справочни таблици. Ако се интересувате от математиката, ефективната дължина на ключа е около 88 бита: това е
. Но честотният анализ обикновено върши работата бързо.

Помислете за следния шифрован текст, обработен с прост заместващ шифър:

XDYLY ALY UGLY XDWNKE WN DYAJYN ANF YALXD DGLAXWG XDAN ALY FLYAUX GR WN OGQL ZDWBGEGZDO

От Y се среща често, включително в края на много думи, можем условно да предположим, че това е буквата e:

XDeLe Ale UGLe XDWNKE WN DeAJeN ANF eALXD DGLAXWG XDAN Ale FleAUX GR WN OGQL ZDWBGEGZDO

Двойка XD повтаря се в началото на няколко думи. По-специално, комбинацията XDeLe ясно подсказва думата these или there, така че нека продължим:

theLe ALe UGLe thWNKE WN heAJeN ANF eALth DGLAtWG THAN ALe FleAUt GR WN OGQL ZDWBGEGZDO

Нека по-нататък приемем, че L соответствует r, A - a и така нататък. Вероятно ще отнеме няколко опита, но в сравнение с атака с пълна груба сила, тази атака възстановява оригиналния текст за нула време:

има повече неща на небето и земята horatio, отколкото са мечтани във вашата философия

За някои решаването на такива „криптограми“ е вълнуващо хоби.

Идеята за честотен анализ е по-фундаментална, отколкото изглежда на пръв поглед. И се отнася за много по-сложни шифри. През цялата история различни дизайни на шифри са се опитвали да противодействат на такава атака, използвайки "полиазбучно заместване". Тук, по време на процеса на криптиране, таблицата за заместване на буквите се модифицира по сложни, но предвидими начини, които зависят от ключа. Всички тези шифри се смятаха за трудни за разбиване наведнъж; и въпреки това скромният честотен анализ в крайна сметка победи всички тях.

Най-амбициозният полиазбучен шифър в историята и вероятно най-известният е шифърът Енигма от Втората световна война. Той беше сравнително сложен в сравнение с предшествениците си, но след много упорита работа британските криптоаналитици го разбиха с помощта на честотен анализ. Разбира се, те не можеха да развият елегантна атака като тази, показана по-горе; те трябваше да сравняват известни двойки обикновен и шифрован текст (така наречената „атака с обикновен текст“), като дори провокираха потребителите на Enigma да криптират определени съобщения и да анализират резултата („атаката с избран обикновен текст“). Но това не улесни съдбата на победените вражески армии и потъналите подводници.

След този триумф честотният анализ изчезва от историята на криптоанализата. Шифрите в съвременната дигитална ера са предназначени да работят с битове, а не с букви. По-важното е, че тези шифри са проектирани с тъмното разбиране на това, което по-късно става известно като Закон на Шнайер: Всеки може да създаде алгоритъм за криптиране, който сам не може да разбие. Не е достатъчно за системата за криптиране изглеждаше трудно: за да докаже стойността си, той трябва да бъде подложен на безмилостен преглед на сигурността от много криптоаналитици, които ще направят всичко възможно, за да разбият шифъра.

Предварителни изчисления

Вземете хипотетичния град Precom Heights с население 200 000 души. Всеки дом в града съдържа ценности на стойност средно $30 000, но не повече от $50 000. Пазарът за сигурност в Precom е монополизиран от ACME Industries, която произвежда легендарните брави за врати от клас Coyote™. Според експертен анализ ключалка от клас Coyote може да бъде разбита само от много сложна хипотетична машина, чието създаване изисква около пет години и $50 000 инвестиции. Безопасен ли е градът?

Най-вероятно не. В крайна сметка ще се появи доста амбициозен престъпник. Той ще разсъждава така: „Да, ще направя големи първоначални разходи. Пет години търпеливо чакане и $50 000. Но когато свърша, ще имам достъп до цялото богатство на този град. Ако изиграя правилно картите си, тази инвестиция ще се изплати многократно.“

Същото важи и за криптографията. Атаките срещу определен шифър са обект на безмилостен анализ на разходите и ползите. Ако съотношението е благоприятно, атаката няма да се случи. Но атаките, които работят срещу много потенциални жертви наведнъж, почти винаги се отплащат, като в този случай най-добрата практика за проектиране е да приемем, че са започнали от първия ден. По същество имаме криптографска версия на Закона на Мърфи: „Всичко, което действително може да счупи системата, ще счупи системата.“

Най-простият пример за криптосистема, която е уязвима на предварителна изчислителна атака, е шифър без ключ. Такъв беше случаят с Шифърът на Цезар, който просто измества всяка буква от азбуката три букви напред (таблицата е зациклена, така че последната буква в азбуката е криптирана трета). Тук отново влиза в действие принципът на Kerchhoffs: веднъж хакната система, тя остава завинаги.

Концепцията е проста. Дори начинаещ разработчик на криптосистеми вероятно ще разпознае заплахата и ще се подготви по съответния начин. Разглеждайки еволюцията на криптографията, такива атаки са били неподходящи за повечето шифри, от първите подобрени версии на шифъра на Цезар до упадъка на полиазбучните шифри. Такива атаки се завърнаха едва с настъпването на модерната ера на криптографията.

Тази възвръщаемост се дължи на два фактора. Първо, най-накрая се появиха достатъчно сложни криптосистеми, където възможността за експлоатация след хакване не беше очевидна. Второ, криптографията стана толкова широко разпространена, че милиони неспециалисти всеки ден взимаха решения за това къде и какви части от криптографията да използват повторно. Отне известно време, преди експертите да осъзнаят рисковете и да вдигнат тревога.

Спомнете си атаката с предварително изчисление: в края на статията ще разгледаме два криптографски примера от реалния живот, където тя играе важна роля.

Интерполация

Ето го известният детектив Шерлок Холмс, който извършва интерполационна атака срещу нещастния д-р Уотсън:

Веднага се досетих, че сте дошли от Афганистан... Мисълта ми беше следната: „Този ​​човек е лекар по тип, но има военна осанка. И така, военен лекар. Той току-що пристигна от тропиците - лицето му е тъмно, но това не е естественият нюанс на кожата му, тъй като китките му са много по-бели. Лицето е изтощено - явно много е страдал и боледувал. Ранен е в лявата ръка - държи я неподвижно и малко неестествено. Къде в тропиците английски военен лекар би могъл да понесе трудности и да бъде ранен? Разбира се, в Афганистан“. Цялата поредица от мисли не отне дори секунда. И така казах, че идвате от Афганистан и вие бяхте изненадани.

Холмс можеше да извлече много малко информация от всяко доказателство поотделно. Можеше да стигне до заключението си само като ги разгледа всички заедно. Атаката с интерполация работи по подобен начин, като изследва известни двойки обикновен текст и шифрован текст, произтичащи от един и същ ключ. От всяка двойка се извличат индивидуални наблюдения, които позволяват да се направи общо заключение за ключа. Всички тези заключения са неясни и изглеждат безполезни, докато внезапно не достигнат критична маса и не доведат до единственото възможно заключение: колкото и невероятно да е, трябва да е истина. След това или ключът се разкрива, или процесът на декриптиране става толкова рафиниран, че може да бъде възпроизведен.

Нека илюстрираме с прост пример как работи интерполацията. Да кажем, че искаме да прочетем личния дневник на нашия враг Боб. Той криптира всяко число в дневника си с помощта на проста криптосистема, за която научи от реклама в списанието „A Mock of Cryptography“. Системата работи по следния начин: Боб избира две числа, които харесва: и . От сега нататък, за да шифровате произволен номер , изчислява . Например, ако Боб избере и , след това числото ще бъдат шифровани като .

Да кажем, че на 28 декември забелязахме, че Боб драска нещо в дневника си. Когато той приключи, тихо ще го вземем и ще гледаме последния запис:

Дата: 235/520

Скъпо дневниче,

Днес беше хубав ден. През 64 днес имам среща с Алиса, която живее в апартамент 843. Наистина мисля, че може да е 26!

Тъй като сме много сериозни в това да следваме Боб на срещата му (и двамата сме на 15 в този сценарий), важно е да знаем датата, както и адреса на Алис. За щастие забелязваме, че криптосистемата на Боб е уязвима на интерполационна атака. Може и да не знаем и , но знаем днешната дата, така че имаме две двойки обикновен текст-шифрован текст. А именно това го знаем криптиран в И - в . Ето какво ще запишем:

Тъй като сме на 15 години, вече знаем за система от две уравнения с две неизвестни, което в тази ситуация е достатъчно, за да намерим и без никакви проблеми. Всяка двойка обикновен текст-шифрован текст поставя ограничение върху ключа на Боб и двете ограничения заедно са достатъчни за пълното възстановяване на ключа. В нашия пример отговорът е и (в , така 26 в дневника съответства на думата „единият“, тоест „същият“ - ок. платно).

Интерполационните атаки, разбира се, не се ограничават до такива прости примери. Всяка криптосистема, която се свежда до добре разбираем математически обект и списък от параметри, е изложена на риск от интерполационна атака – колкото по-разбираем е обектът, толкова по-висок е рискът.

Новодошлите често се оплакват, че криптографията е „изкуството да се проектират нещата възможно най-грозни“. Атаките с интерполация вероятно са до голяма степен виновни. Боб може или да използва елегантен математически дизайн, или да запази срещата си с Алис поверителна - но уви, обикновено не можете да имате и двете. Това ще стане пределно ясно, когато най-накрая стигнем до темата за криптографията с публичен ключ.

Крос протокол/понижаване

В Now You See Me (2013) група илюзионисти се опитват да измъкнат корумпирания застрахователен магнат Артър Треслър от цялото му състояние. За да получат достъп до банковата сметка на Артур, илюзионистите трябва или да предоставят неговото потребителско име и парола, или да го принудят да се яви лично в банката и да участва в схемата.

И двата варианта са много трудни; Момчетата са свикнали да играят на сцената, а не да участват в разузнавателни операции. Затова те избират третия възможен вариант: съучастникът им се обажда в банката и се представя за Артър. Банката задава няколко въпроса, за да потвърди самоличността, като името на чичото и името на първия домашен любимец; нашите герои предварително те лесно извличат тази информация от Артър, използвайки умно социално инженерство. От този момент нататък отличната сигурност на паролата вече няма значение.

(Според градска легенда, която лично проверихме и проверихме, криптографът Ели Бийхам веднъж се натъкна на банков служител, който настоя да зададе защитен въпрос. Когато касиерът поиска името на баба му по майчина линия, Бийхам започна да диктува: „Главно X, малко у, три...“).

Същото е и в криптографията, ако два криптографски протокола се използват паралелно за защита на един и същ актив и единият е много по-слаб от другия. Получената система става уязвима на атака между протоколи, при която се атакува по-слаб протокол, за да се стигне до наградата, без да се докосва по-силният.

В някои сложни случаи не е достатъчно просто да се свържете със сървъра, използвайки по-слаб протокол, но изисква неволно участие на легитимен клиент. Това може да се организира с помощта на така наречената downgrade атака. За да разберем тази атака, нека приемем, че нашите илюзионисти имат по-трудна задача от тази във филма. Да приемем, че банков служител (касиер) и Артър се натъкнаха на непредвидени обстоятелства, което доведе до следния диалог:

крадец: Здравейте? Това е Артър Треслър. Бих искал да нулирам паролата си.

Касиер: Страхотен. Моля, погледнете вашата лична секретна кодова книга, страница 28, дума 3. Всички следващи съобщения ще бъдат криптирани с помощта на тази конкретна дума като ключ. PQJGH. LOTJNAM PGGY MXVRL ZZLQ SRIU HHNMLPPPV…

крадец: Хей, хей, чакай, чакай. Това наистина ли е необходимо? Не можем ли просто да говорим като нормални хора?

Касиер: Не препоръчвам да правите това.

крадец: Просто... вижте, имах кофти ден, нали? Аз съм ВИП клиент и не съм в настроение да ровя из тези глупави книги с кодове.

Касиер: Глоба. Ако настоявате, г-н Треслър. Какво искаш?

крадец: Моля, бих искал да даря всичките си пари на Националния фонд за жертвите на Артър Треслър.

(Пауза).

Касиер: Сега ясно ли е. Моля, предоставете своя ПИН за големи транзакции.

крадец: Моето какво?

Касиер: По ваша лична заявка транзакции с такъв размер изискват ПИН за големи транзакции. Този код ви беше даден, когато отворихте акаунта си.

крадец:... Загубих го. Това наистина ли е необходимо? Не можеш ли просто да одобриш сделката?

Касиер: Не. Съжалявам, г-н Треслър. Отново, това е мярката за сигурност, която поискахте. Ако желаете, можем да изпратим нов ПИН код във вашата пощенска кутия.

Нашите герои отлагат операцията. Те подслушват няколко от големите транзакции на Tressler, надявайки се да чуят ПИН кода; но всеки път разговорът се превръща в кодирани безсмислици, преди да се каже нещо интересно. Най-накрая, един прекрасен ден, планът е приложен в действие. Те чакат търпеливо момента, в който Треслър трябва да направи голяма транзакция по телефона, той се обажда и тогава...

Треслер: Здравейте. Бих искал да извърша дистанционна транзакция, моля.

Касиер: Страхотен. Моля, погледнете вашата лична секретна кодова книга, страница...

(Крадецът натиска бутона; гласът на касиерката се превръща в неразбираем шум).

Касиер: - #@$#@$#*@$$@#* ще бъде криптиран с тази дума като ключ. AAAYRR PLRQRZ MMNJK LOJBAN…

Треслер: Съжалявам, не разбрах съвсем. Отново? На коя страница? каква дума?

Касиер: Това е страницата @#$@#*$)#*#@()#@$(#@*$(#@*.

Треслер: Какво?

Касиер: Дума номер двадесет @$#@$#%#$.

Треслер: Сериозно! Стига вече! Вие и вашият протокол за сигурност сте някакъв цирк. Знам, че можеш да говориш нормално с мен.

Касиер: Не препоръчвам…

Треслер: И не те съветвам да ми губиш времето. Не искам да чувам повече за това, докато не разрешите проблемите с телефонната си линия. Можем ли да финализираме тази сделка или не?

Касиер:… Да. Глоба. Какво искаш?

Треслер: Бих искал да преведа $20 000 на Lord Business Investments, номер на сметка...

Касиер: Една минута Моля. Това е голяма работа. Моля, предоставете своя ПИН за големи транзакции.

Треслер: Какво? О, точно така. 1234.

Ето една атака надолу. По-слабият протокол „просто говори директно“ беше предвиден като опция в случай на спешност. И все пак тук сме.

Може би се чудите кой със здрав разум би проектирал истинска система „безопасно, докато не бъде попитано друго“ като описаната по-горе. Но точно както една измислена банка поема рискове, за да задържи клиенти, които не харесват криптографията, системите като цяло често гравитират към изисквания, които са безразлични или дори откровено враждебни към сигурността.

Точно това се случи с протокола SSLv2 през 1995 г. Правителството на САЩ отдавна е започнало да гледа на криптографията като на оръжие, което е най-добре да се пази далеч от външни и вътрешни врагове. Части от код бяха индивидуално одобрени за износ от Съединените щати, често с условието, че алгоритъмът беше умишлено отслабен. Netscape, разработчикът на най-популярния браузър, Netscape Navigator, получи разрешение за SSLv2 само с присъщия уязвим 512-битов RSA ключ (и 40-битов за RC4).

До края на хилядолетието правилата бяха облекчени и достъпът до модерно криптиране стана широко достъпен. Клиентите и сървърите обаче поддържат отслабена "експортна" криптография от години поради същата инерция, която поддържа поддръжка за всяка наследена система. Клиентите смятат, че могат да срещнат сървър, който не поддържа нищо друго. Сървърите направиха същото. Разбира се, SSL протоколът диктува клиентите и сървърите никога да не използват слаб протокол, когато е наличен по-добър. Но същата предпоставка се отнася за Треслър и неговата банка.

Тази теория намери своето място в две високопрофилни атаки, които разтърсиха сигурността на SSL протокола през 2015 г., и двете открити от изследователи на Microsoft и INRIA. Първо, подробности за атаката FREAK бяха разкрити през февруари, последвани три месеца по-късно от друга подобна атака, наречена Logjam, която ще обсъдим по-подробно, когато преминем към атаките срещу криптографията с публичен ключ.

Уязвимост FREAK (известен също като "Smack TLS") излезе наяве, когато изследователите анализираха реализациите на TLS клиент/сървър и откриха любопитна грешка. При тези реализации, ако клиентът дори не поиска да използва слаба криптография за експортиране, но сървърът все още отговаря с такива ключове, клиентът казва „О, добре“ и превключва към пакет със слаби шифри.

По онова време криптографията за експорт се смяташе за остаряла и забранена, така че атаката дойде като пълен шок и засегна много важни домейни, включително сайтовете на Белия дом, IRS и NSA. Дори по-лошо, оказва се, че много уязвими сървъри оптимизират производителността, като използват повторно едни и същи ключове, вместо да генерират нови за всяка сесия. Това направи възможно, след понижаване на протокола, да се извърши атака преди изчисление: кракването на един ключ остава относително скъпо ($100 и 12 часа към момента на публикуване), но практическите разходи за атака на връзката бяха значително намалени. Достатъчно е да изберете сървърния ключ веднъж и да разбиете криптирането за всички следващи връзки от този момент нататък.

И преди да продължим, има една напреднала атака, която трябва да се спомене...

Атака на Oracle

Мокси Марлинспайк най-известен като бащата на кросплатформеното приложение за крипто съобщения Signal; но ние лично харесваме една от неговите по-малко известни иновации - принцип на криптографската гибел (Принцип на криптографската гибел). За да перифразираме леко, можем да кажем следното: „Ако протоколът работи всякакви извършва криптографска операция върху съобщение от потенциално злонамерен източник и се държи различно в зависимост от резултата, то е обречено." Или в по-остра форма: „Не вземайте информация от врага за обработка и ако трябва, тогава поне не показвайте резултата.“

Нека оставим настрана препълването на буфера, инжектирането на команди и други подобни; те са извън обхвата на тази дискусия. Нарушаването на "принципа на гибелта" води до сериозни криптографски хакове поради факта, че протоколът се държи точно както се очаква.

Като пример, нека вземем фиктивен дизайн с уязвим шифър за заместване и след това демонстрираме възможна атака. Въпреки че вече сме виждали атака срещу заместващ шифър с помощта на честотен анализ, това не е просто „друг начин за разбиване на същия шифър“. Напротив, оракул атаките са много по-модерно изобретение, приложимо в много ситуации, в които честотният анализ е неуспешен, и ще видим демонстрация на това в следващия раздел. Тук простият шифър е избран само за да направи примера по-ясен.

Така Алис и Боб комуникират с помощта на прост заместващ шифър, използвайки ключ, известен само на тях. Те са много стриктни по отношение на дължината на съобщенията: те са дълги точно 20 знака. Така че те се съгласиха, че ако някой иска да изпрати по-кратко съобщение, трябва да добави някакъв фиктивен текст в края на съобщението, за да бъде точно 20 знака. След известно обсъждане те решиха, че ще приемат само следните фиктивни текстове: a, bb, ccc, dddd и т.н. По този начин е известен фиктивен текст с произволна необходима дължина.

Когато Алис или Боб получат съобщение, те първо проверяват дали съобщението е с правилната дължина (20 знака) и дали суфиксът е правилният фиктивен текст. Ако това не е така, те отговарят с подходящо съобщение за грешка. Ако дължината на текста и фиктивният текст са наред, получателят прочита самото съобщение и изпраща шифрован отговор.

По време на атаката нападателят се представя за Боб и изпраща фалшиви съобщения на Алис. Съобщенията са пълни глупости - нападателят няма ключа и следователно не може да фалшифицира смислено съобщение. Но тъй като протоколът нарушава принципа на гибелта, нападателят все още може да хване Алис в капан, за да разкрие ключовата информация, както е показано по-долу.

крадец: PREWF ZHJKL MMMN. LA

Алис: Невалиден фиктивен текст.

крадец: PREWF ZHJKL MMMN. LB

Алис: Невалиден фиктивен текст.

крадец: PREWF ZHJKL MMMN. LC

Алис: ILCT? TLCT RUWO PUT KCAW CPS OWPOW!

Крадецът няма представа какво каза Алис току-що, но отбелязва, че символът C трябва да съответстват a, тъй като Алис прие фиктивния текст.

крадец: REWF ZHJKL MMMN. LAA

Алис: Невалиден фиктивен текст.

крадец: REWF ZHJKL MMMN. LBB

Алис: Невалиден фиктивен текст.

След редица опити...

крадец: REWF ZHJKL MMMN. LGG

Алис: Невалиден фиктивен текст.

крадец: REWF ZHJKL MMMN. LHH

Алис: TLQO JWCRO FQAW SUY LCR C OWQXYJW. IW PWWR TU TCFA CHUYT TLQO JWFCTQUPOLQZ.

Отново нападателят няма представа какво току-що е казала Алис, но отбелязва, че H трябва да съвпада с b, тъй като Алис е приела фиктивния текст.

И така нататък, докато нападателят разбере значението на всеки знак.

На пръв поглед методът прилича на атака с избран обикновен текст. В крайна сметка нападателят избира шифрованите текстове и сървърът послушно ги обработва. Основната разлика, която прави тези атаки жизнеспособни в реалния свят, е, че нападателят не се нуждае от достъп до действителния препис - отговорът на сървъра, дори толкова безвреден като „Невалиден фиктивен текст“, е достатъчен.

Въпреки че тази конкретна атака е поучителна, не се вкопчвайте твърде много в спецификата на схемата за „фалшив текст“, конкретната използвана криптосистема или точната последователност от съобщения, изпратени от нападателя. Основната идея е как Алис реагира по различен начин въз основа на свойствата на открития текст и го прави без да проверява дали съответният шифрован текст действително идва от доверена страна. Така Алиса позволява на нападателя да изтръгне тайна информация от нейните отговори.

Има много неща, които могат да се променят в този сценарий. Символите, на които Алиса реагира, или самата разлика в нейното поведение, или дори използваната криптосистема. Но принципът ще остане същият и атаката като цяло ще остане жизнеспособна под една или друга форма. Основното изпълнение на тази атака помогна за разкриването на няколко грешки в сигурността, които ще разгледаме скоро; но първо трябва да научите някои теоретични уроци. Как да използваме този измислен "скрипт на Алис" в атака, която може да работи върху истински модерен шифър? Възможно ли е това дори на теория?

През 1998 г. швейцарският криптограф Даниел Блайхенбахер отговори утвърдително на този въпрос. Той демонстрира атака на оракул срещу широко използваната криптосистема с публичен ключ RSA, използвайки специфична схема за съобщения. В някои реализации на RSA сървърът отговаря с различни съобщения за грешка в зависимост от това дали обикновеният текст съвпада със схемата или не; това беше достатъчно за извършване на атаката.

Четири години по-късно, през 2002 г., френският криптограф Серж Воденей демонстрира атака на оракул, почти идентична с тази, описана в сценария на Алис по-горе - с изключение на това, че вместо фиктивен шифър, той разби цял уважаван клас съвременни шифри, които хората всъщност използват. По-специално, атаката на Vaudenay е насочена към шифри с фиксиран входен размер („блокови шифри“), когато се използват в така наречения „режим на криптиране на CBC“ и с определена популярна схема за подпълване, по същество еквивалентна на тази в сценария на Алис.

Също през 2002 г. американският криптограф Джон Келси - съавтор Две рибки — предложени различни оракулски атаки срещу системи, които компресират съобщения и след това ги криптират. Най-забележителната сред тях беше атака, която се възползва от факта, че често е възможно да се направи извод за оригиналната дължина на открития текст от дължината на шифрования текст. На теория това позволява атака на оракул, която възстановява части от оригиналния открит текст.

По-долу предоставяме по-подробно описание на атаките на Vaudenay и Kelsey (ще дадем по-подробно описание на атаката на Bleichenbacher, когато преминем към атаките срещу криптографията с публичен ключ). Въпреки всичките ни усилия, текстът става някак технически; така че ако горното е достатъчно за вас, пропуснете следващите два раздела.

Атаката на Водене

За да разберем атаката на Vaudenay, първо трябва да поговорим малко повече за блоковите шифри и режимите на криптиране. „Блоков шифър“ е, както беше споменато, шифър, който приема ключ и вход с определена фиксирана дължина („дължина на блок“) и произвежда криптиран блок със същата дължина. Блоковите шифри са широко използвани и се считат за относително сигурни. Вече пенсионираният DES, смятан за първия модерен шифър, беше блоков шифър. Както бе споменато по-горе, същото важи и за AES, който се използва широко днес.

За съжаление, блоковите шифри имат една явна слабост. Типичният размер на блока е 128 бита или 16 знака. Очевидно съвременната криптография изисква работа с по-големи входни данни и тук влизат в действие режимите на криптиране. Режимът на шифроване е по същество хак: това е начин по някакъв начин да се приложи блоков шифър, който приема само въвеждане с определен размер към въвеждане с произволна дължина.

Атаката на Водене е фокусирана върху популярния режим на работа CBC (Cipher Block Chaining). Атаката третира основния блоков шифър като магическа, непревземаема черна кутия и напълно заобикаля нейната сигурност.

Ето диаграма, която показва как работи режимът CBC:

Ограденият плюс означава операцията XOR (изключително ИЛИ). Например получава се вторият блок от шифрован текст:

1. Чрез извършване на операция XOR върху втория блок с обикновен текст с първия блок с шифрован текст.
2. Шифроване на получения блок с блоков шифър с помощта на ключ.

Тъй като CBC използва толкова интензивно двоичната операция XOR, нека отделим малко време, за да си припомним някои от нейните свойства:

• Идемпотентност:
• Комутативност:
• Асоциативност:
• Самообратимост:
• Размер на байта: байт n от = (байт n от ) (байт n от )

Обикновено тези свойства предполагат, че ако имаме уравнение, включващо операции XOR и едно неизвестно, то може да бъде решено. Например, ако знаем, че с неизвестното и известен и , тогава можем да разчитаме на гореспоменатите свойства по-горе, за да решим уравнението за . Чрез прилагане на XOR от двете страни на уравнението с , получаваме . Всичко това ще стане много актуално след малко.

Има две незначителни разлики и една голяма разлика между нашия сценарий на Алис и атаката на Воденей. Две второстепенни:

• В сценария Алис очаква обикновените текстове да завършват с героите a, bb, ccc и така нататък. При атаката на Wodene жертвата вместо това очаква откритите текстове да завършват N пъти с N байта (тоест шестнадесетичен 01 или 02 02, или 03 03 03 и т.н.). Това е чисто козметична разлика.
• В сценария на Алис беше лесно да се разбере дали Алис е приела съобщението чрез отговора „Неправилен фиктивен текст“. При атаката на Водене е необходим повече анализ и е важна прецизната реализация от страна на жертвата; но за краткост нека приемем за даденост, че този анализ все още е възможен.

Основна разлика:

• Тъй като не използваме една и съща криптосистема, връзката между контролираните от нападателя байтове на шифрован текст и тайните (ключ и обикновен текст) очевидно ще бъде различна. Следователно нападателят ще трябва да използва различна стратегия, когато създава шифровани текстове и интерпретира отговорите на сървъра.

Тази основна разлика е последното парче от пъзела за разбиране на атаката на Vaudenay, така че нека отделим малко време, за да помислим защо и как може да се монтира атака на оракул срещу CBC на първо място.

Да предположим, че ни е даден CBC шифрован текст от 247 блока и искаме да го дешифрираме. Можем да изпращаме фалшиви съобщения до сървъра, точно както преди можехме да изпращаме фалшиви съобщения до Алис. Сървърът ще декриптира съобщенията вместо нас, но няма да покаже декриптирането - вместо това, отново, както при Алиса, сървърът ще докладва само един бит информация: дали обикновеният текст има валидна подложка или не.

Помислете, че в сценария на Алиса имахме следните взаимоотношения:

$$display$$text{SIMPLE_SUBSTITUTION}(text{ciphertext},text{key}) = текст{plaintext}$$display$$

Нека наречем това "уравнението на Алис". Ние контролирахме шифрования текст; сървърът (Alice) изтече неясна информация за получения обикновен текст; и това ни позволи да изведем информация за последния фактор - ключът. По аналогия, ако можем да намерим такава връзка за CBC скрипта, може да успеем да извлечем и някаква секретна информация там.

За щастие наистина има връзки, които можем да използваме. Помислете за изхода от последното извикване за дешифриране на блоков шифър и означете този изход като . Ние също обозначаваме блокове от открит текст и блокове с шифрован текст . Погледнете отново CBC диаграмата и забележете какво се случва:

Нека наречем това „уравнение на CBC“.

В сценария на Алис, чрез наблюдение на шифрования текст и наблюдаване на съответното изтичане на открит текст, ние успяхме да организираме атака, която възстанови третия член в уравнението - ключът. В сценария CBC ние също наблюдаваме шифрования текст и наблюдаваме изтичане на информация в съответния открит текст. Ако аналогията е валидна, можем да получим информация за .

Да приемем, че наистина сме възстановили , какво тогава? Е, тогава можем да отпечатаме целия последен блок от обикновен текст наведнъж (), просто като въведете (който имаме) и
получени в уравнението на CBC.

Сега, когато сме оптимисти за общия план за атака, време е да уточним подробностите. Моля, обърнете внимание как точно информацията в обикновен текст изтича на сървъра. В скрипта на Алис изтичането на информация е станало, защото Алис ще отговори с правилното съобщение само ако $inline$text{SIMPLE_SUBSTITUTION}(text{ciphertext},text{key})$inline$ завършва с реда a (Or bbи т.н., но шансовете тези условия да бъдат предизвикани случайно бяха много малки). Подобно на CBC, сървърът приема подпълването само ако завършва на шестнадесетичен 01. Така че нека опитаме същия трик: изпращане на фалшиви шифровани текстове с нашите собствени фалшиви стойности докато сървърът приеме пълненето.

Когато сървърът приеме подложка за едно от нашите фалшиви съобщения, това означава, че:

Сега използваме свойството байт-байт XOR:

Знаем първия и третия член. И вече видяхме, че това ни позволява да възстановим оставащия термин - последния байт от :

Това също така ни дава последния байт от крайния блок с обикновен текст чрез уравнението CBC и свойството байт по байт.

Можем да го оставим така и да сме доволни, че сме извършили атака срещу теоретично силен шифър. Но всъщност можем да направим много повече: всъщност можем да възстановим целия текст. Това изисква трик, който не беше в оригиналния скрипт на Alice и не е необходим за атаката на оракула, но все пак си струва да се научи.

За да го разберете, първо отбележете, че резултатът от извеждането на правилната стойност на последния байт е имаме нова способност. Сега, когато подправяме шифровани текстове, можем да манипулираме последния байт на съответния открит текст. Отново, това е свързано с уравнението CBC и свойството байт по байт:

Тъй като вече знаем втория член, можем да използваме нашия контрол над първия, за да контролираме третия. Просто изчисляваме:

Не можехме да направим това преди, защото все още нямахме последния байт .

Как ще ни помогне това? Да предположим, че сега създаваме всички шифровани текстове, така че в съответните открити текстове последният байт да е равен на 02. Сървърът вече приема подпълване само ако обикновеният текст завършва с 02 02. Тъй като коригирахме последния байт, това ще се случи само ако предпоследният байт на обикновения текст също е 02. Ние продължаваме да изпращаме фалшиви блокове с шифрован текст, променяйки предпоследния байт, докато сървърът приеме подпълването за един от тях. В този момент получаваме:

И възстановяваме предпоследния байт точно както последният беше възстановен. Продължаваме в същия дух: коригираме последните два байта от отворения текст на 03 03, повтаряме тази атака за третия байт от края и така нататък, като в крайна сметка напълно възстановяваме .

Какво ще кажете за останалата част от текста? Моля, имайте предвид, че стойността всъщност е $inline$text{BLOCK_DECRYPT}(text{key},C_{247})$inline$. Вместо това можем да поставим всеки друг блок , и атаката пак ще бъде успешна. Всъщност можем да поискаме от сървъра да направи $inline$text{BLOCK_DECRYPT}$inline$ за всякакви данни. На този етап играта приключи – можем да дешифрираме всеки шифрован текст (погледнете отново диаграмата за декриптиране на CBC, за да видите това; и имайте предвид, че IV е публичен).

Този конкретен метод играе решаваща роля в атаката на оракул, с която ще се сблъскаме по-късно.

Атаката на Келси

Нашият конгениален Джон Келси изложи принципите, лежащи в основата на много възможни атаки, а не само подробностите за конкретна атака срещу конкретен шифър. Неговата 2002 статия за годината е проучване на възможни атаки срещу криптирани компресирани данни. Смятате ли, че информацията, че данните са били компресирани преди криптиране, не е достатъчна за извършване на атака? Оказва се, че това е достатъчно.

Този изненадващ резултат се дължи на два принципа. Първо, има силна връзка между дължината на открития текст и дължината на шифрования текст; за много шифри точно равенство. Второ, когато се извършва компресия, също има силна корелация между дължината на компресираното съобщение и степента на "шум" на обикновения текст, тоест делът на неповтарящите се знаци (техническият термин е "висока ентропия" ).

За да видите принципа в действие, разгледайте два открити текста:

Прав текст 1: AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA

Прав текст 2: ATVXCAGTRSVPTVVULSJQHGEYCMQPCRQBGCYIXCFJGJ

Да приемем, че и двата открити текста са компресирани и след това криптирани. Получавате два резултатни шифротекста и трябва да познаете кой шифротекст отговаря на кой обикновен текст:

Шифран текст 1: PVOVEYBPJDPVANEAWVGCIUWAABCIYIKOOURMYDTA

Шифран текст 2: DWKJZXYU

Отговорът е ясен. Сред откритите текстове само открит текст 1 може да бъде компресиран в оскъдната дължина на втория шифрован текст. Разбрахме това, без да знаем нищо за алгоритъма за компресиране, ключа за криптиране или дори самия шифър. В сравнение с йерархията на възможните криптографски атаки, това е някаква лудост.

Освен това Келси посочва, че при определени необичайни обстоятелства този принцип може да се използва и за извършване на атака на оракул. По-специално, той описва как нападателят може да възстанови тайния открит текст, ако може да принуди сървъра да шифрова данните на формуляра (чистият текст, последван от докато той контролира и може по някакъв начин да провери дължината на шифрования резултат.

Отново, подобно на други оракулски атаки, имаме връзката:

Отново контролираме един термин (), виждаме малко изтичане на информация за друг член (шифрован текст) и се опитваме да възстановим последния (обикновен текст). Въпреки аналогията, това е донякъде необичайна ситуация в сравнение с други оракулски атаки, които сме виждали.

За да илюстрираме как може да работи такава атака, нека използваме фиктивна схема за компресиране, която току-що измислихме: TOYZIP. Той търси редове от текст, които са се появявали преди това в текста, и ги замества с три байта запазени места, които показват къде да се намери по-ранно копие на реда и колко пъти се появява там. Например линията helloworldhello може да се компресира в helloworld[00][00][05] Дължина 13 байта в сравнение с оригиналните 15 байта.

Да предположим, че нападател се опитва да възстанови открития текст на формуляр password=..., където самата парола е неизвестна. Според модела на атака на Келси, нападателят може да поиска от сървъра да компресира и след това да шифрова съобщения от формуляри (обикновен текст, последван от ) къде  - свободен текст. Когато сървърът приключи работа, той отчита дължината на резултата. Атаката протича така:

крадец: Моля, компресирайте и шифровайте обикновения текст без подпълване.

Сървър: Дължина на резултата 14.

крадец: Моля, компресирайте и шифровайте обикновения текст, към който е добавен password=a.

Сървър: Дължина на резултата 18.

Кракерът отбелязва: [оригинал 14] + [три заменени байта password=] + a

крадец: Моля, компресирайте и шифровайте обикновения текст, към който се добавя password=b.

Сървър: Дължина на резултата 18.

крадец: Моля, компресирайте и шифровайте обикновения текст, към който се добавя password=с.

Сървър: Дължина на резултата 17.

Кракерът отбелязва: [оригинал 14] + [три заменени байта password=c]. Това предполага, че оригиналният обикновен текст съдържа низа password=c. Тоест паролата започва с буква c

крадец: Моля, компресирайте и шифровайте обикновения текст, към който се добавя password=сa.

Сървър: Дължина на резултата 18.

Кракерът отбелязва: [оригинал 14] + [три заменени байта password=с] + a

крадец: Моля, компресирайте и шифровайте обикновения текст, към който се добавя password=сb.

Сървър: Дължина на резултата 18.

(… Малко по-късно…)

крадец: Моля, компресирайте и шифровайте обикновения текст, към който се добавя password=со.

Сървър: Дължина на резултата 17.

Кракерът отбелязва: [оригинал 14] + [три заменени байта password=co]. Използвайки същата логика, нападателят заключава, че паролата започва с буквите co

И така докато се възстанови цялата парола.

На читателя ще бъде простено да си помисли, че това е чисто академично упражнение и че такъв сценарий на атака никога няма да възникне в реалния свят. Уви, както скоро ще видим, по-добре е да не се отказвате от криптографията.

Уязвимости на марката: CRIME, POODLE, DROWN

И накрая, след като изучим подробно теорията, можем да видим как тези техники се прилагат в реални криптографски атаки.

ПРЕСТЪПНОСТ

Ако атаката е насочена към браузъра и мрежата на жертвата, някои ще бъдат по-лесни, а други по-трудни. Например, лесно е да видите трафика на жертвата: просто седнете с него в едно и също кафене с WiFi. Поради тази причина потенциалните жертви (т.е. всички) обикновено се съветват да използват криптирана връзка. Ще бъде по-трудно, но все пак възможно, да правите HTTP заявки от името на жертвата към някой сайт на трета страна (например Google). Нападателят трябва да примами жертвата към злонамерена уеб страница със скрипт, който прави заявката. Уеб браузърът автоматично ще предостави съответната бисквитка за сесия.

Това изглежда невероятно. Ако Боб отиде при evil.com, може ли скриптът на този сайт просто да поиска от Google да изпрати паролата на Боб по имейл до [email protected]? Е, на теория да, но реално не. Този сценарий се нарича атака за фалшифициране на заявка между сайтове (Фалшифициране на междусайтови заявки, CSRF), и беше популярен около средата на 90-те години. Днес ако evil.com опита този трик, Google (или всеки уважаващ себе си уебсайт) обикновено ще отговори с: „Страхотно, но вашият CSRF токен за тази транзакция ще бъде... хм... три триллиона и семь. Моля, повторете този номер." Съвременните браузъри имат нещо, наречено „политика за един и същи произход“, според която скриптовете на сайт А нямат достъп до информацията, изпратена от уебсайт Б. Така че скриптът на evil.com може да изпраща заявки до google.com, но не може да прочете отговорите или действително да завърши транзакцията.

Трябва да подчертаем, че освен ако Боб не използва криптирана връзка, всички тези защити са безсмислени. Нападателят може просто да прочете трафика на Боб и да възстанови сесийната бисквитка на Google. С тази бисквитка той просто ще отвори нов раздел на Google, без да излиза от собствения си браузър, и ще се представя за Боб, без да се натъква на досадни правила за същия произход. Но, за съжаление на един крадец, това става все по-рядко. Интернет като цяло отдавна е обявил война на некриптираните връзки и изходящият трафик на Боб вероятно е криптиран, независимо дали му харесва или не. Освен това от самото начало на прилагането на протокола трафикът също беше сви се преди криптиране; това беше обичайна практика за намаляване на латентността.

Тук влиза в действие ПРЕСТЪПНОСТ (Compression Ratio Infoleak Made Easy, просто изтичане през степента на компресия). Уязвимостта беше разкрита през септември 2012 г. от изследователите по сигурността Juliano Rizzo и Thai Duong. Вече разгледахме цялата теоретична база, която ни позволява да разберем какво са направили и как. Хакер може да принуди браузъра на Боб да изпраща заявки до Google и след това да слуша отговорите в локалната мрежа в компресирана, криптирана форма. Следователно имаме:

Тук нападателят контролира заявката и има достъп до снифера на трафика, включително размера на пакета. Измисленият сценарий на Келси оживя.

Разбирайки теорията, авторите на CRIME създадоха експлойт, който може да открадне сесийни бисквитки за широк набор от сайтове, включително Gmail, Twitter, Dropbox и Github. Уязвимостта засегна повечето съвременни уеб браузъри, в резултат на което бяха пуснати пачове, които тихо погребаха функцията за компресиране в SSL, така че да не се използва изобщо. Единственият защитен от уязвимостта беше почтеният Internet Explorer, който изобщо не използва SSL компресия.

пудел

През октомври 2014 г. екипът по сигурността на Google предизвика вълни в общността по сигурността. Те успяха да използват уязвимост в SSL протокола, която беше коригирана преди повече от десет години.

Оказва се, че докато сървърите работят с лъскавия нов TLSv1.2, много от тях са оставили поддръжка за наследения SSLv3 за обратна съвместимост с Internet Explorer 6. Вече говорихме за атаки за понижаване, така че можете да си представите какво става. Добре организиран саботаж на протокола за ръкостискане и сървърите са готови да се върнат към добрия стар SSLv3, по същество отменяйки последните 15 години изследвания на сигурността.

За исторически контекст, ето кратко резюме на историята на SSL до версия 2 от Матю Грийн:

Сигурността на транспортния слой (TLS) е най-важният протокол за сигурност в Интернет. [..] почти всяка транзакция, която правите в Интернет, зависи от TLS. [..] Но TLS не винаги е бил TLS. Протоколът започна своя живот през Netscape Communications наречен "Слой със защитени сокети" или SSL. Говори се, че първата версия на SSL е била толкова ужасна, че разработчиците са събрали всички разпечатки на кода и са ги заровили в тайно депо в Ню Мексико. В резултат на това първата публично достъпна версия на SSL всъщност е версия SSL 2. Това е доста страшно и [..] беше продукт от средата на 90-те години, който съвременните криптографи смятат за "тъмните векове на криптографията" Много от най-отвратителните криптографски атаки, за които знаем днес, все още не са открити. В резултат на това разработчиците на протокола SSLv2 по същество бяха оставени да си проправят път в тъмното и се изправиха много ужасни чудовища - за тяхно огорчение и наша полза, тъй като атаките срещу SSLv2 оставиха безценни уроци за следващото поколение протоколи.

След тези събития през 1996 г. разочарованият Netscape преработи SSL протокола от нулата. Резултатът беше SSL версия 3, която поправи няколко известни проблема със сигурността на своя предшественик.

За щастие на крадците, „няколко“ не означава „всички“. Като цяло SSLv3 предостави всички необходими градивни елементи за стартиране на атака на Vodene. Протоколът използва блоков шифър в режим CBC и несигурна схема за допълване (това беше коригирано в TLS; оттук и необходимостта от атака за понижаване). Ако си спомняте схемата за подпълване в нашето оригинално описание на атаката на Vaudenay, схемата SSLv3 е много подобна.

Но, за съжаление на крадците, „подобен“ не означава „идентичен“. Схемата за подпълване на SSLv3 е "N произволни байта, последвани от числото N". Опитайте при тези условия да изберете въображаем блок от шифрован текст и да преминете през всички стъпки на оригиналната схема на Vaudene: ще откриете, че атаката успешно извлича последния байт от съответния блок от обикновен текст, но не отива по-нататък. Дешифрирането на всеки 16-ти байт от шифрования текст е страхотен трик, но не е победа.

Изправен пред провал, екипът на Google прибягна до последна мярка: преминаха към по-мощен модел на заплаха - този, използван в CRIME. Ако приемем, че атакуващият е скрипт, който се изпълнява в раздела на браузъра на жертвата и може да извлича сесийни бисквитки, атаката все още е впечатляваща. Въпреки че по-широкият модел на заплахата е по-малко реалистичен, в предишния раздел видяхме, че този конкретен модел е осъществим.

Предвид тези по-мощни възможности на атакуващия, атаката вече може да продължи. Обърнете внимание, че атакуващият знае къде се появява шифрованата бисквитка на сесията в заглавката и контролира дължината на HTTP заявката, която я предхожда. Следователно той може да манипулира HTTP заявката, така че последният байт на бисквитката да е подравнен с края на блока. Сега този байт е подходящ за дешифриране. Можете просто да добавите един символ към заявката, а предпоследният байт на бисквитката ще остане на същото място и е подходящ за избор по същия метод. Атаката продължава по този начин, докато файлът с бисквитките бъде напълно възстановен. Нарича се POODLE: Padding Oracle on Downgraded Legacy Encryption.

УДАВИ СЕ

Както споменахме, SSLv3 имаше своите недостатъци, но беше фундаментално различен от своя предшественик, тъй като пропускащият SSLv2 беше продукт на различна ера. Там можете да прекъснете съобщението по средата: соглашусь на это только через мой труп се превърна в соглашусь на это; клиентът и сървърът могат да се срещнат онлайн, да установят доверие и да обменят тайни пред нападателя, който след това може лесно да се представи и за двамата. Съществува и проблемът с експортната криптография, който споменахме при разглеждането на FREAK. Това бяха криптографските Содом и Гомор.

През март 2016 г. екип от изследователи от различни технически области се събра и направи изумително откритие: SSLv2 все още се използва в системите за сигурност. Да, атакуващите вече не могат да понижат съвременните TLS сесии до SSLv2, тъй като тази дупка беше затворена след FREAK и POODLE, но те все още могат да се свързват със сървъри и сами да инициират SSLv2 сесии.

Може да попитате защо ни интересува какво правят там? Те имат уязвима сесия, но това не трябва да засяга други сесии или сигурността на сървъра - нали? Е, не съвсем. Да, така трябва да бъде на теория. Но не - защото генерирането на SSL сертификати налага известна тежест, което води до много сървъри, които използват едни и същи сертификати и в резултат на това едни и същи RSA ключове за TLS и SSLv2 връзки. За да влошат нещата, поради грешка в OpenSSL, опцията „Деактивиране на SSLv2“ в тази популярна реализация на SSL всъщност не работи.

Това направи възможна атака между протоколи срещу TLS, наречена УДАВИ СЕ (Декриптиране на RSA с остаряло и отслабено криптиране, дешифриране на RSA с остаряло и отслабено криптиране). Спомнете си, че това не е същото като кратка атака; нападателят не трябва да действа като "човек по средата" и не трябва да включва клиента да участва в несигурна сесия. Нападателите просто инициират несигурна SSLv2 сесия със самия сървър, атакуват слабия протокол и възстановяват личния RSA ключ на сървъра. Този ключ е валиден и за TLS връзки и от този момент нататък никаква TLS защита няма да го предотврати от компрометиране.

Но за да го разбиете, имате нужда от работеща атака срещу SSLv2, която ви позволява да възстановите не само конкретен трафик, но и секретния ключ на RSA сървъра. Въпреки че това е сложна настройка, изследователите могат да изберат всяка уязвимост, която е напълно затворена след SSLv2. В крайна сметка те намериха подходящ вариант: атаката на Bleichenbacher, която споменахме по-рано и която ще обясним подробно в следващата статия. SSL и TLS са защитени от тази атака, но някои произволни функции на SSL, комбинирани с кратки ключове в криптографията за експортиране, направиха това възможно специфично изпълнение на DROWN.

По време на публикуването 25% от най-популярните сайтове в Интернет са били засегнати от уязвимостта DROWN и атаката може да бъде извършена със скромни ресурси, достъпни дори за злонамерени самотни хакери. Извличането на RSA ключа на сървъра изисква осем часа изчисления и $440, а SSLv2 стана радиоактивен от остарял.

Чакай, какво ще кажеш за Heartbleed?

Това не е криптографска атака в смисъла, описан по-горе; Това е препълване на буфера.

Нека си дадем почивка

Започнахме с някои основни техники: груба сила, интерполация, понижаване, кръстосан протокол и предварително изчисление. След това разгледахме една усъвършенствана техника, може би основният компонент на съвременните криптографски атаки: атаката на оракул. Прекарахме доста време в измислянето му - и разбрахме не само основния принцип, но и техническите детайли на две конкретни реализации: атаката на Vaudenay срещу режима на криптиране CBC и атаката на Kelsey срещу протоколите за криптиране преди компресия.

При прегледа на атаките за понижаване и предварително изчисление, ние накратко очертахме атаката FREAK, която използва и двата метода, като накара целевите сайтове да се понижат до слаби ключове и след това да използват повторно същите ключове. За следващата статия ще запазим (много подобна) Logjam атака, която е насочена към алгоритми с публичен ключ.

След това разгледахме още три примера за прилагането на тези принципи. Първо, CRIME и POODLE: две атаки, които разчитаха на способността на атакуващия да инжектира произволен обикновен текст до целевия обикновен текст, след което изследва отговорите на сървъра и след това, използвайки методологията за атака на oracle, използвайте тази оскъдна информация, за да възстановите частично обикновения текст. CRIME тръгна по пътя на атаката на Kelsey срещу SSL компресията, докато POODLE вместо това използва вариант на атаката на Vaudenay срещу CBC със същия ефект.

След това насочихме вниманието си към атаката DROWN с кръстосани протоколи, която установява връзка със сървъра с помощта на наследения протокол SSLv2 и след това възстановява тайните ключове на сървъра с помощта на атаката на Bleichenbacher. Засега пропуснахме техническите подробности за тази атака; подобно на Logjam, ще трябва да изчака, докато разберем добре криптосистемите с публичен ключ и техните уязвимости.

В следващата статия ще говорим за напреднали атаки като среща по средата, диференциален криптоанализ и атаки за рожден ден. Нека да направим бърз набег на атаките по страничните канали и след това да преминем към забавната част: криптосистеми с публичен ключ.

Източник: www.habr.com