Kung makadungog ka sa pulong nga "cryptography," ang ubang mga tawo makahinumdom sa ilang password sa WiFi, ang berde nga padlock sunod sa adres sa ilang paborito nga website, ug unsa ka lisud ang pagsulod sa email sa laing tawo. Ang uban nahinumdom sa sunod-sunod nga mga kahuyangan sa bag-ohay nga mga tuig uban sa pagsulti sa mga pinamubo (DROWN, FREAK, POODLE...), estilo nga mga logo ug usa ka pasidaan sa dinalian nga pag-update sa imong browser.

Ang kriptograpiya naglangkob sa tanan, apan diwa sa sa lain. Ang punto mao nga adunay usa ka maayong linya tali sa yano ug komplikado. Ang ubang mga butang sayon ​​​​buhaton, apan lisud ibalik, sama sa pagbuak sa itlog. Ang ubang mga butang sayon ​​​​buhaton apan lisud ibalik kung ang usa ka gamay, importante, importante nga bahin nawala: pananglitan, pag-abli sa sirado nga pultahan kung ang "mahinungdanon nga bahin" mao ang yawe. Gitun-an sa kriptograpiya kini nga mga sitwasyon ug kung giunsa kini magamit sa praktis.

Sa bag-ohay nga mga tuig, ang koleksyon sa mga pag-atake sa cryptographic nahimo nga usa ka zoo sa mga flashy nga mga logo, napuno sa mga pormula gikan sa siyentipikong mga papel, ug naghatag sa usa ka kinatibuk-ang masulub-on nga pagbati nga ang tanan nabuak. Apan sa pagkatinuod, daghan sa mga pag-atake gibase sa pipila ka kinatibuk-ang mga prinsipyo, ug ang walay katapusan nga mga pahina sa mga pormula kasagarang gilat-an ngadto sa sayon ​​​​sabton nga mga ideya.

Niini nga serye sa mga artikulo, atong tan-awon ang lain-laing mga matang sa cryptographic nga mga pag-atake, uban ang paghatag gibug-aton sa sukaranang mga prinsipyo. Sa kinatibuk-an nga mga termino ug dili eksakto niini nga han-ay, apan atong tabonan ang mosunod:

• Panguna nga mga estratehiya: brute force, frequency analysis, interpolation, downgrading ug cross-protocols.
• Branded nga mga kahuyangan: FREAK, KRIMEN, POODLE, LUNOG, Logjam.
• Abanteng mga estratehiya: pag-atake sa orakulo (pag-atake sa Vodenet, pag-atake sa Kelsey); meet-in-the-middle method, birthday attack, statistical bias (differential cryptanalysis, integral cryptanalysis, ug uban pa).
• Pag-atake sa side channel ug ang ilang suod nga mga paryente, mga pamaagi sa pagtuki sa kapakyasan.
• Mga pag-atake sa public key cryptography: cube root, broadcast, related nga mensahe, Coppersmith attack, Pohlig-Hellman algorithm, number sieve, Wiener attack, Bleichenbacher attack.

Kining partikular nga artikulo naglangkob sa materyal sa ibabaw hangtod sa pag-atake ni Kelsey.

Pangunang mga Istratehiya

Ang mga mosunud nga pag-atake yano ra sa kahulugan nga kini hapit hingpit nga ipasabut nga wala’y daghang teknikal nga detalye. Atong ipasabot ang matag matang sa pag-atake sa pinakasimple nga mga termino, nga dili moadto sa komplikadong mga pananglitan o mga advanced nga kaso sa paggamit.

Ang uban niini nga mga pag-atake sa kadaghanan nahimong karaan na ug wala na gigamit sulod sa daghang katuigan. Ang uban mao ang mga tigulang nga kanunay nga nagtago sa wala’y pagduda nga mga nag-develop sa cryptosystem sa ika-21 nga siglo. Ang panahon sa modernong cryptography maisip nga nagsugod sa pag-abot sa IBM DES, ang unang cipher nga nakasugakod sa tanang mga pag-atake niini nga listahan.

Simple nga brute force

Ang encryption scheme naglangkob sa duha ka bahin: 1) ang encryption function, nga nagkinahanglan sa usa ka mensahe (plaintext) inubanan sa usa ka yawe, ug unya nagmugna sa usa ka encrypted nga mensahe - ciphertext; 2) usa ka function sa decryption nga nagkuha sa ciphertext ug ang yawe ug naghimo sa plaintext. Ang pag-encrypt ug pag-decryption kinahanglan nga sayon ​​​​sa pag-compute gamit ang yawe-ug lisud ang pag-compute kung wala kini.

Ibutang nato nga makita nato ang ciphertext ug sulayan nga i-decrypt kini nga walay bisan unsang dugang nga impormasyon (kini gitawag ug ciphertext-only attack). Kung sa usa ka paagi makit-an naton ang husto nga yawe, dali naton mapamatud-an nga husto kini kung ang sangputanan usa ka makatarunganon nga mensahe.

Timan-i nga adunay duha ka implicit nga mga pangagpas dinhi. Una, nahibal-an namon kung giunsa ang paghimo sa decryption, nga mao, kung giunsa ang paglihok sa cryptosystem. Kini usa ka sukaranan nga pangagpas kung maghisgot sa kriptograpiya. Ang pagtago sa mga detalye sa pagpatuman sa cipher gikan sa mga tig-atake mahimong ingon og usa ka dugang nga sukod sa seguridad, apan sa higayon nga ang tig-atake makahibalo niini nga mga detalye, kining dugang nga seguridad hilom ug dili na mabalik. Ingon niana Prinsipyo sa Kerchoffs: Ang sistema nga nahulog sa mga kamot sa kaaway kinahanglan dili magpahinabog kahasol.

Ikaduha, atong hunahunaon nga ang husto nga yawe mao lamang ang yawe nga mosangpot sa usa ka makatarunganon nga decryption. Kini usa usab ka makatarunganon nga pangagpas; kini matagbaw kon ang ciphertext mas taas kay sa yawe ug mabasa. Kini kasagaran ang mahitabo sa tinuod nga kalibutan, gawas dako nga dili praktikal nga mga yawe o uban pang mga kabuang nga labing maayo nga isalikway (kung dili nimo gusto nga gilaktawan namon ang pagpatin-aw, palihug tan-awa ang Theorem 3.8 dinhi).

Gihatag sa ibabaw, usa ka estratehiya ang mitungha: susiha ang matag posible nga yawe. Gitawag kini nga brute force, ug ang ingon nga pag-atake gigarantiyahan nga molihok batok sa tanan nga praktikal nga mga cipher - sa katapusan. Pananglitan, ang brute force igo na aron ma-hack Caesar cipher, usa ka karaang cipher diin ang yawe maoy usa ka letra sa alpabeto, nga nagpasabot ug kapin sa 20 ka posibleng yawe.

Ikasubo alang sa mga cryptanalyst, ang pagdugang sa yawe nga gidak-on usa ka maayong depensa batok sa brute force. Samtang nagkadako ang gidak-on sa yawe, ang gidaghanon sa posible nga mga yawe modaghan. Uban sa modernong mga gidak-on sa yawe, ang yano nga brute force hingpit nga dili praktikal. Aron masabtan kung unsa ang among gipasabut, atong kuhaon ang labing paspas nga nailhan nga supercomputer sa tungatunga sa 2019: Summit gikan sa IBM, nga adunay kinatas-ang pasundayag nga mga 1017 ka operasyon kada segundo. Karon, ang kasagaran nga yawe nga gitas-on mao ang 128 bits, nga nagpasabut nga 2128 nga posible nga mga kombinasyon. Sa pagpangita sa tanang mga yawe, ang Summit supercomputer magkinahanglan ug panahon nga gibana-bana nga 7800 ka pilo sa edad sa Uniberso.

Ang brute force angay bang isipon nga historikal nga pagkamausisaon? Dili sa tanan: kini usa ka kinahanglanon nga sangkap sa cryptanalysis cookbook. Talagsa ra ang mga cipher nga huyang kaayo nga mahimo lamang kini mabuak pinaagi sa usa ka maabtik nga pag-atake, nga wala gigamit ang kusog sa usa ka degree o lain. Daghang malampuson nga mga hack ang naggamit ug algorithmic nga pamaagi aron paluyahon una ang target cipher, ug dayon maghimo usa ka brute force nga pag-atake.

Pagtuki sa frequency

Kadaghanan sa mga teksto dili bugalbugal. Pananglitan, sa English nga mga teksto adunay daghang letra nga 'e' ug mga artikulo nga 'the'; sa binary files, adunay daghang zero bytes isip padding tali sa mga piraso sa impormasyon. Ang pagtuki sa frequency mao ang bisan unsang pag-atake nga nagpahimulos niini nga kamatuoran.

Ang kanonikal nga pananglitan sa usa ka cipher nga bulnerable niini nga pag-atake mao ang yano nga substitution cipher. Niini nga cipher, ang yawe usa ka lamesa nga gipulihan sa tanan nga mga letra. Pananglitan, ang 'g' gipulihan sa 'h', 'o' sa j, mao nga ang pulong nga 'go' nahimong 'hj'. Kini nga cipher lisud i-brute force tungod kay adunay daghan nga posible nga lookup tables. Kung interesado ka sa matematika, ang epektibo nga yawe nga gitas-on mga 88 ka bit: kana
. Apan ang pag-analisa sa frequency kasagaran dali nga mahuman ang trabaho.

Tagda ang mosunod nga ciphertext nga giproseso gamit ang yanong substitution cipher:

XDYLY ALY UGLY XDWNKE WN DYAJYN ANF YALXD DGLAXWG XDAN ALY FLYAUX GR WN OGQL ZDWBGEGZDO

Sukad sa Y kanunay mahitabo, lakip sa katapusan sa daghang mga pulong, mahimo natong hunahunaon nga kini ang sulat e:

XDeLe ALe UGLe XDWNKE WN DeAJeN ANF eALXD DGLAXWG XDAN ALe FLeAUX GR WN OGQL ZDWBGEGZDO

Magtiayon XD gisubli sa sinugdanan sa pipila ka mga pulong. Sa partikular, ang kombinasyon nga XDeLe tin-aw nga nagsugyot sa pulong these o there, mao nga magpadayon kita:

ANG LE ALE UGLE IKAW UG PAGHIMO SA KATAPUSAN NGA DGLAtWG kay sa ALe FLEAUt GR WN OGQL ZDWBGEGZDO

Ato pa nga hunahunaon kana L соответствует r, A - a ug uban pa. Mahimong magkinahanglan kini og pipila ka pagsulay, apan itandi sa usa ka bug-os nga brute force nga pag-atake, kini nga pag-atake nagpahiuli sa orihinal nga teksto sa dali nga panahon:

adunay daghang mga butang sa langit ug yuta horatio kay sa gidamgo sa imong pilosopiya

Alang sa pipila, ang pagsulbad sa ingon nga mga "cryptograms" usa ka kulbahinam nga kalingawan.

Ang ideya sa pag-analisa sa frequency labi ka sukaranan kaysa sa una nga pagtan-aw. Ug kini magamit sa labi ka komplikado nga mga cipher. Sa tibuok kasaysayan, lain-laing mga disenyo sa cipher misulay sa pagsumpo sa maong pag-atake gamit ang "polyalphabetic substitution". Dinhi, sa panahon sa proseso sa pag-encrypt, ang lamesa sa pag-ilis sa letra giusab sa komplikado apan matag-an nga mga paagi nga nagdepende sa yawe. Ang tanan niini nga mga cipher giisip nga lisud bungkagon sa usa ka higayon; ug bisan pa ang kasarangan nga pag-analisa sa frequency sa katapusan napildi silang tanan.

Ang labing ambisyoso nga polyalphabetic cipher sa kasaysayan, ug tingali ang labing inila, mao ang Enigma cipher sa Ikaduhang Gubat sa Kalibutan. Kini medyo komplikado kumpara sa mga gisundan niini, apan human sa daghang paningkamot, ang mga cryptanalyst sa Britanya nag-crack niini gamit ang frequency analysis. Siyempre, dili sila makahimo og usa ka elegante nga pag-atake sama sa gipakita sa ibabaw; kinahanglan nila nga itandi ang nailhan nga mga parisan sa plaintext ug ciphertext (ang gitawag nga "plaintext attack"), bisan sa paghagit sa mga tiggamit sa Enigma sa pag-encrypt sa pipila ka mga mensahe ug pag-analisar sa resulta (ang "pinili nga plaintext nga pag-atake"). Apan wala kini makapasayon ​​sa kapalaran sa napildi nga mga kasundalohan sa kaaway ug nalunod nga mga submarino.

Human niini nga kadaugan, ang frequency analysis nawala gikan sa kasaysayan sa cryptanalysis. Ang mga cipher sa modernong digital nga edad gidesinyo sa pagtrabaho sa mga piraso, dili mga letra. Labaw sa tanan, kini nga mga cipher gidisenyo nga adunay ngitngit nga pagsabut sa kung unsa ang nailhan sa ulahi balaod ni Schneier: Bisan kinsa makahimo og encryption algorithm nga sila mismo dili makaguba. Dili kini igo alang sa sistema sa pag-encrypt murag lisud: aron pamatud-an ang bili niini, kinahanglan nga moagi kini sa walay kaluoy nga pagrepaso sa seguridad sa daghang mga cryptanalyst nga mobuhat sa ilang labing maayo sa pag-crack sa cipher.

Preliminary kalkulasyon

Kuhaa ang hypothetical nga siyudad sa Precom Heights, populasyon nga 200. Ang matag panimalay sa siyudad adunay aberids nga $000 nga kantidad sa mga mahalon nga butang, apan dili mosobra sa $30. Sumala sa eksperto nga pagtuki, ang usa ka Coyote-class nga lock mahimo lamang nga mabuak sa usa ka komplikado kaayo nga hypothetical nga makina, ang pagmugna niini nagkinahanglan ug mga lima ka tuig ug $000 nga pamuhunan. Luwas ba ang siyudad?

Lagmit dili. Sa kadugayan, usa ka medyo ambisyoso nga kriminal ang motungha. Siya mangatarongan nga sama niini: “Oo, ako mogasto ug dagkong mga galastohan. Lima ka tuig nga paghulat sa pasyente, ug $ 50. Apan kung nahuman na ako, adunay ako access sa ang tanang bahandi niining siyudad. Kung tama ang pagdula sa akong mga kard, kini nga pagpamuhunan magbayad alang sa iyang kaugalingon sa daghang mga higayon. ”

Tinuod usab kini sa cryptography. Ang mga pag-atake batok sa usa ka partikular nga cipher gipailalom sa usa ka walay kaluoy nga pag-analisar sa gasto-kaayohan. Kung ang ratio paborable, ang pag-atake dili mahitabo. Apan ang mga pag-atake nga molihok batok sa daghang mga potensyal nga biktima sa usa ka higayon hapit kanunay nga nagbayad, diin ang labing kaayo nga praktis sa pagdesinyo mao ang paghunahuna nga nagsugod sila gikan sa unang adlaw. Kita adunay usa ka cryptographic nga bersyon sa Murphy's Law: "Bisan unsa nga tinuod nga makaguba sa sistema makaguba sa sistema."

Ang pinakasimple nga panig-ingnan sa usa ka cryptosystem nga bulnerable sa usa ka precomputation nga pag-atake mao ang usa ka kanunay nga keyless cipher. Kini ang nahitabo sa Ang cipher ni Caesar, nga yanong ibalhin ang matag letra sa alpabeto tulo ka letra sa unahan (ang lamesa gi-loop, mao nga ang kataposang letra sa alpabeto ma-encrypt nga ikatulo). Dinhi pag-usab ang prinsipyo sa Kerchhoff nagdula: sa higayon nga ang usa ka sistema ma-hack, kini ma-hack hangtod sa hangtod.

Simple ra ang konsepto. Bisan ang usa ka bag-ong developer sa cryptosystem lagmit makaila sa hulga ug mag-andam sumala niana. Sa pagtan-aw sa ebolusyon sa cryptography, ang ingon nga mga pag-atake dili angay alang sa kadaghanan sa mga cipher, gikan sa una nga gipaayo nga mga bersyon sa Caesar cipher hangtod sa pagkunhod sa polyalphabetic ciphers. Ang ingon nga mga pag-atake mibalik lamang sa pag-abut sa modernong panahon sa cryptography.

Kini nga pagbalik tungod sa duha ka hinungdan. Una, ang igo nga komplikado nga mga cryptosystem sa katapusan nagpakita, diin ang posibilidad sa pagpahimulos pagkahuman sa pag-hack dili klaro. Ikaduha, ang cryptography nahimong kaylap kaayo nga milyon-milyon nga mga laygo ang naghimog mga desisyon kada adlaw kon asa ug unsa nga mga bahin sa cryptography ang gamiton pag-usab. Nagkinahanglan kini og pipila ka panahon sa wala pa makaamgo ang mga eksperto sa mga risgo ug gipataas ang alarma.

Hinumdomi ang pag-atake sa precomputation: sa katapusan sa artikulo atong tan-awon ang duha ka tinuod nga kinabuhi nga cryptographic nga mga pananglitan diin kini adunay importante nga papel.

Pag-uban

Ania ang bantog nga detektib nga si Sherlock Holmes, nga naghimo sa usa ka interpolation nga pag-atake sa alaot nga si Dr. Watson:

Nakatag-an dayon ko nga gikan ka sa Afghanistan... Ang akong gihunahuna mao ang mosunod: “Kini nga tawo usa ka doktor sa tipo, apan siya adunay kalabotan sa militar. Busa, usa ka doktor sa militar. Bag-o lang siyang miabot gikan sa tropiko - ang iyang nawong itom, apan dili kini natural nga landong sa iyang panit, tungod kay ang iyang mga pulso mas puti. Haggard ang nawong - klaro nga nag-antos siya ug nag-antos sa sakit. Nasamdan siya sa iyang wala nga kamot - gigunitan niya kini nga wala’y paglihok ug medyo dili natural. Diin sa tropiko ang usa ka Ingles nga doktor sa militar makaagwanta sa mga kalisdanan ug masamdan? Siyempre, sa Afghanistan." Ang tibuok tren sa paghunahuna wala magdugay bisan usa ka segundo. Ug mao nga giingon ko nga gikan ka sa Afghanistan, ug natingala ka.

Makuha ni Holmes ang gamay kaayo nga kasayuran gikan sa matag piraso sa ebidensya nga tinagsa. Makab-ot lamang niya ang iyang konklusyon pinaagi sa pagkonsiderar kanilang tanan. Ang pag-atake sa interpolation parehas nga molihok pinaagi sa pagsusi sa nahibal-an nga plaintext ug ciphertext nga mga pares nga resulta sa parehas nga yawe. Gikan sa matag pares, ang indibidwal nga mga obserbasyon gikuha nga nagtugot sa usa ka kinatibuk-ang konklusyon bahin sa yawe nga makuha. Kining tanan nga mga konklusyon dili klaro ug ingon og walay kapuslanan hangtud nga sila kalit nga moabut sa usa ka kritikal nga masa ug mosangpot sa bugtong posible nga konklusyon: bisan unsa pa kini ka talagsaon, kini kinahanglan nga tinuod. Pagkahuman niini, bisan ang yawe ipadayag, o ang proseso sa pag-decryption mahimong labi ka dalisay nga mahimo’g makopya.

Atong iilustrar sa usa ka yano nga pananglitan kung giunsa ang interpolation molihok. Ingnon ta nga gusto natong basahon ang personal nga diary sa atong kaaway, si Bob. Gi-encrypt niya ang matag numero sa iyang journal gamit ang usa ka yano nga cryptosystem nga iyang nahibal-an gikan sa usa ka ad sa magasin nga "A Mock of Cryptography." Ang sistema naglihok sama niini: Si Bob mipili og duha ka numero nga iyang ganahan: и . Sukad karon, aron ma-encrypt ang bisan unsang numero , kini nagkalkula . Pananglitan, kung gipili ni Bob и , unya ang numero ma-encrypt ingon .

Ingnon ta nga kaniadtong Disyembre 28 namatikdan namon nga si Bob adunay gikumot sa iyang diary. Kon mahuman na siya, hilom natong kuhaon ug tan-awon ang kataposang entry:

Petsa: 235/520

Minahal nga Diary,

Karon usa ka maayong adlaw. Pinaagi sa 64 Karon naa koy date ni Alisa, nga nagpuyo sa usa ka apartment 843. Nagtuo gyud ko nga basin siya 26!

Tungod kay seryoso kaayo mi sa pagsunod kang Bob sa iyang date (kamong duha 15 anyos sa niini nga senaryo), importante nga mahibaloan ang petsa ingon man ang adres ni Alice. Maayo na lang, among namatikdan nga ang cryptosystem ni Bob daling madala sa usa ka interpolation attack. Tingali wala kita mahibalo и , apan nahibal-an namon ang petsa karon, mao nga kami adunay duha ka pares nga plaintext-ciphertext. Sa ato pa, nahibal-an namon kana naka-encrypt sa ug - sa . Mao kini ang atong isulat:

Tungod kay kami 15 anyos, nahibal-an na namon ang bahin sa usa ka sistema sa duha nga mga equation nga adunay duha nga wala nahibal-an, nga sa kini nga kahimtang igo na aron makit-an. и walay problema. Ang matag pares nga plaintext-ciphertext nagbutang ug usa ka pagpugong sa yawe ni Bob, ug ang duha ka mga pagpugong nga magkauban igo na aron hingpit nga mabawi ang yawe. Sa atong pananglitan ang tubag mao и (sa , mao na 26 sa talaadlawan katumbas sa pulong nga 'ang usa', nga mao, "ang parehas" - gibanabana. lane).

Ang mga pag-atake sa interpolation, siyempre, dili limitado sa yano nga mga pananglitan. Ang matag cryptosystem nga mokunhod ngadto sa usa ka nasabtan nga butang sa matematika ug usa ka lista sa mga parameter anaa sa risgo sa usa ka interpolation attack-ang mas masabtan ang butang, mas taas ang risgo.

Ang mga bag-ohan kasagarang moreklamo nga ang cryptography mao “ang arte sa pagdesinyo sa mga butang nga mangil-ad kutob sa mahimo.” Ang mga pag-atake sa interpolation lagmit ang dakong basulon. Mahimong mogamit si Bob og usa ka elegante nga disenyo sa matematika o itago ang iyang petsa uban ni Alice nga pribado - apan alaot, kasagaran dili nimo kini mahimo sa duha ka paagi. Kini mahimong klaro kaayo kung kita sa katapusan moabut sa hilisgutan sa publiko nga yawe cryptography.

Cross protocol/downgrade

Sa Now You See Me (2013), usa ka grupo sa mga ilusyonista nga misulay sa pagpangilad sa korap nga insurance magnate nga si Arthur Tressler gikan sa iyang tibuok nga bahandi. Aron ma-access ang bank account ni Arthur, ang mga ilusyonista kinahanglang mohatag sa iyang username ug password o pugson siya nga personal nga magpakita sa bangko ug moapil sa laraw.

Ang duha ka mga kapilian lisud kaayo; Ang mga lalaki naanad sa pagpasundayag sa entablado, ug dili pag-apil sa mga operasyon sa paniktik. Busa gipili nila ang ikatulo nga posible nga kapilian: ang ilang kauban nagtawag sa bangko ug nagpakaaron-ingnon nga si Arthur. Ang bangko nangutana og daghang mga pangutana aron mapamatud-an ang pagkatawo, sama sa ngalan sa uyoan ug ang ngalan sa unang binuhi; atong mga bayani daan dali nilang makuha kini nga impormasyon gikan kang Arthur gamit ang maalamong social engineering. Gikan niini nga punto, ang maayo kaayo nga seguridad sa password dili na hinungdanon.

(Sumala sa usa ka urban legend nga personal namong gipamatud-an ug gipamatud-an, ang cryptographer nga si Eli Beaham kas-a nakasugat sa usa ka teller sa bangko nga miinsistir sa paghimo og pangutana sa seguridad. Sa dihang ang teller nangutana sa ngalan sa iyang inahan nga lola, si Beaham nagsugod sa pagdiktar: “Capital X, gamay y, tulo ... ").

Parehas kini sa cryptography, kung ang duha ka cryptographic protocol gigamit nga managsama aron mapanalipdan ang parehas nga asset, ug ang usa mas huyang kaysa sa lain. Ang resulta nga sistema mahimong bulnerable sa usa ka cross-protocol attack, diin ang mas huyang nga protocol giatake aron makuha ang premyo nga dili matandog ang mas kusgan.

Sa pipila ka komplikado nga mga kaso, dili igo nga makontak lang ang server gamit ang usa ka mas huyang nga protocol, apan nanginahanglan sa dili boluntaryo nga pag-apil sa usa ka lehitimong kliyente. Mahimo kining organisahon gamit ang gitawag nga downgrade attack. Aron masabtan kini nga pag-atake, atong hunahunaon nga ang atong mga ilusyonista adunay mas lisud nga buluhaton kaysa sa pelikula. Ibutang ta nga ang usa ka empleyado sa bangko (cashier) ug Arthur nakasugat ug pipila ka wala damhang mga kahimtang, nga miresulta sa mosunod nga dayalogo:

kawatan: Hello? Kini si Arthur Tressler. Gusto nako i-reset ang akong password.

Cashier: Nindot. Palihug tan-awa ang imong personal nga sekreto nga libro sa kodigo, panid 28, pulong 3. Ang tanan nga mosunod nga mga mensahe ma-encrypt gamit kining piho nga pulong isip yawe. PQJGH. LOTJNAM PGGY MXVRL ZZLQ SRIU HHNMLPPPV…

kawatan: Uy, uy, hulat, hulat. Kinahanglan ba gyud kini? Dili ba mahimo nga mag-istoryahanay lang kami sama sa normal nga mga tawo?

Cashier: Dili ko girekomenda nga buhaton kini.

kawatan: Ako lang... tan-awa, naa koy daotang adlaw, okay? Usa ako ka kliyente nga VIP ug wala ako sa mood nga magkubkob niining mga binuang nga mga libro sa code.

Cashier: Maayo. Kung moinsister ka, Mr. Tressler. Unsa imong gusto?

kawatan: Palihug, gusto nakong idonar ang tanan nakong kuwarta sa Arthur Tressler National Victims Fund.

(Paghunong).

Cashier: Klaro na ba karon. Palihug ihatag ang imong PIN para sa dagkong mga transaksyon.

kawatan: Akong unsa?

Cashier: Sa imong personal nga hangyo, ang mga transaksyon sa kini nga gidak-on nanginahanglan usa ka PIN alang sa dagkong mga transaksyon. Kini nga code gihatag kanimo sa dihang imong giablihan ang imong account.

kawatan:... Nawala nako. Kinahanglan ba gyud kini? Dili ba nimo maaprobahan ang deal?

Cashier: Dili. Pasayloa ko, Mr. Tressler. Sa makausa pa, kini ang lakang sa seguridad nga imong gipangayo. Kung gusto nimo, makapadala kami ug bag-ong PIN code sa imong mailbox.

Gi-postpone sa atong mga bayani ang operasyon. Nag-eavesdrop sila sa ubay-ubay nga dagkong mga transaksyon ni Tressler, naglaum nga makadungog sa PIN; apan sa matag higayon nga ang panag-istoryahanay mahimong coded gibberish sa wala pa ang bisan unsa nga makapaikag nga gisulti. Sa katapusan, usa ka maayong adlaw, ang plano gipatuman. Sila mapailubon nga naghulat alang sa higayon nga si Tressler kinahanglan nga mohimo sa usa ka dako nga transaksyon sa telepono, siya moadto sa linya, ug unya...

Tressler: Hello. Gusto ko nga makompleto ang usa ka layo nga transaksyon, palihug.

Cashier: Nindot. Palihug tan-awa ang imong personal nga sekreto nga libro sa code, panid...

(Gipindot sa kawatan ang buton; ang tingog sa cashier nahimong dili masabtan nga kasaba).

Cashier: - #@$#@$#*@$$@#* kay ma-encrypt kini nga pulong isip yawe. AAAYRR PLRQRZ MMNJK LOJBAN…

Tressler: Sorry, wala kaayo ko kasabot. Pag-usab? Sa unsa nga panid? Unsa nga pulong?

Cashier: Kini ang panid @#$@#*$)#*#@()#@$(#@*$(#@*.

Tressler: Unsa?

Cashier: Pulong numero kawhaan @$#@$#%#$.

Tressler: Seryoso! Igo na! Ikaw ug ang imong security protocol usa ka matang sa sirkus. Kabalo ko nga pwede ra ka makigstorya nako sa normal.

Cashier: Dili ko girekomenda…

Tressler: Ug wala ko magtambag kanimo nga usikan ang akong oras. Dili ko gusto nga makadungog pa bahin niini hangtod nga masulbad nimo ang mga problema sa linya sa imong telepono. Mahuman ba nato kini nga deal o dili?

Cashier:… Oo. Maayo. Unsa imong gusto?

Tressler: Gusto nakong ibalhin ang $20 sa Lord Business Investments, account number...

Cashier: Usa ka minuto, palihog. Dako kaayo ni. Palihug ihatag ang imong PIN para sa dagkong mga transaksyon.

Tressler: Unsa? Oh, eksakto. 1234.

Ania ang usa ka ubos nga pag-atake. Ang mas huyang nga protocol nga "direkta lang ang pagsulti" gilantaw nga kapilian sa kaso sa emerhensya. Ug bisan pa dinhi kita.

Mahimong maghunahuna ka kung kinsa sa ilang husto nga hunahuna ang magdesinyo sa usa ka tinuod nga "luwas hangtod gipangutana kung dili" nga sistema sama sa gihulagway sa ibabaw. Apan sama nga ang usa ka fictional nga bangko nameligro aron mapadayon ang mga kostumer nga dili gusto sa cryptography, ang mga sistema sa kinatibuk-an kanunay nga nadani sa mga kinahanglanon nga wala’y pagtagad o bisan sa hingpit nga kontra sa seguridad.

Mao gyud kini ang nahitabo sa SSLv2 protocol kaniadtong 1995. Ang gobyerno sa US dugay na nga nagsugod sa pagtan-aw sa cryptography isip usa ka hinagiban nga labing maayo nga gipalayo sa mga langyaw ug lokal nga mga kaaway. Ang mga piraso sa code tagsa-tagsa nga giaprobahan alang sa pag-eksport gikan sa Estados Unidos, kasagaran sa kondisyon nga ang algorithm gituyo nga gipaluya. Ang Netscape, ang developer sa pinakasikat nga browser, ang Netscape Navigator, gihatagan og permiso para sa SSLv2 lamang sa kinaiyanhong huyang nga 512-bit RSA key (ug 40-bit para sa RC4).

Sa pagtapos sa milenyo, ang mga lagda relaks ug ang pag-access sa modernong encryption nahimong kaylap nga magamit. Bisan pa, ang mga kliyente ug mga server nagsuporta sa huyang nga "export" nga kriptograpiya sa daghang mga tuig tungod sa parehas nga inertia nga nagmintinar sa suporta alang sa bisan unsang sistema sa kabilin. Nagtuo ang mga kliyente nga mahimo nilang masugatan ang usa ka server nga wala’y suporta bisan unsa pa. Ang mga tigtagad nagbuhat sa samang paagi. Siyempre, ang SSL protocol nagdiktar nga ang mga kliyente ug mga server kinahanglan nga dili mogamit sa usa ka huyang nga protocol kung adunay usa nga mas maayo. Apan ang parehas nga premise gigamit sa Tressler ug sa iyang bangko.

Kini nga teorya nakit-an sa duha ka taas nga profile nga mga pag-atake nga nag-uyog sa seguridad sa SSL protocol kaniadtong 2015, parehong nadiskubre sa mga tigdukiduki sa Microsoft ug INRIA. Una, ang mga detalye sa FREAK nga pag-atake gipadayag sa Pebrero, gisundan tulo ka bulan sa ulahi sa lain nga susama nga pag-atake nga gitawag Logjam, nga atong hisgotan sa mas detalye sa diha nga kita mopadayon sa mga pag-atake sa publiko nga yawe cryptography.

Kaluyahon BAKA (nailhan usab nga "Smack TLS") nahayag sa dihang gisusi sa mga tigdukiduki ang mga pagpatuman sa kliyente/server sa TLS ug nakit-an ang usa ka us aka bug. Sa kini nga mga pagpatuman, kung ang kliyente wala gani mangutana sa paggamit sa huyang nga export cryptography, apan ang server motubag gihapon sa ingon nga mga yawe, ang kliyente moingon "Oh maayo" ug mobalhin sa usa ka huyang nga cipher suite.

Niadtong panahona, ang kriptograpiya sa pag-eksport kay kaylap nga gikonsiderar nga wala na sa panahon ug wala nay limitasyon, mao nga ang pag-atake miabut ingon nga usa ka hingpit nga kakurat ug nakaapekto sa daghang importante nga mga dominyo, lakip ang White House, IRS, ug NSA nga mga site. Mas grabe pa, kini nahimo nga daghang mga mahuyang nga mga server ang nag-optimize sa pasundayag pinaagi sa paggamit pag-usab sa parehas nga mga yawe kaysa paghimo og mga bag-o alang sa matag sesyon. Kini nahimong posible, human sa pag-downgrade sa protocol, sa paghimo sa usa ka pre-computation pag-atake: cracking sa usa ka yawe nagpabilin nga medyo mahal ($100 ug 12 ka oras sa panahon sa publikasyon), apan ang praktikal nga gasto sa pag-atake sa koneksyon mao ang kamahinungdanon pagkunhod. Igo na nga pilion ang yawe sa server sa makausa ug i-crack ang encryption alang sa tanan nga sunud-sunod nga mga koneksyon gikan nianang higayona.

Ug sa dili pa kita magpadayon, adunay usa ka abante nga pag-atake nga kinahanglan hisgutan ...

Pag-atake sa Oracle

Moxie Marlinspike labing nailhan nga amahan sa cross-platform crypto messaging app Signal; apan kami personal nga ganahan sa usa sa iyang dili kaayo nailhan nga mga inobasyon - prinsipyo sa cryptographic nga kalaglagan (Cryptographic Doom nga Prinsipyo). Sa paraphrase gamay, mahimo natong isulti kini: "Kung ang protocol molihok bisan kinsa Naghimo og cryptographic nga operasyon sa usa ka mensahe gikan sa usa ka posibleng makadaot nga tinubdan ug lahi ang paggawi depende sa resulta, kini malaglag." O sa mas hait nga porma: "Ayaw pagkuha og impormasyon gikan sa kaaway alang sa pagproseso, ug kung kinahanglan nimo, nan labing menos ayaw ipakita ang resulta."

Ibilin nato ang mga buffer overflows, command injection, ug uban pa; sila labaw pa sa kasangkaran niini nga diskusyon. Ang paglapas sa "prinsipyo sa kalaglagan" nagdala sa grabe nga mga hack sa cryptography tungod sa kamatuoran nga ang protocol naglihok sama sa gipaabut.

Isip usa ka pananglitan, magkuha kita og usa ka tinumotumo nga disenyo nga adunay usa ka mahuyang nga substitution cipher, ug dayon ipakita ang usa ka posible nga pag-atake. Samtang nakakita na kami og usa ka pag-atake sa usa ka substitution cipher gamit ang frequency analysis, kini dili lang "laing paagi sa pagbungkag sa sama nga cipher." Sa kasukwahi, ang mga pag-atake sa orakulo usa ka labi ka moderno nga imbensyon, magamit sa daghang mga sitwasyon kung diin napakyas ang pag-analisar sa frequency, ug atong makita ang usa ka pagpakita niini sa sunod nga seksyon. Dinhi gipili ang yano nga cipher aron mas klaro ang pananglitan.

Mao nga si Alice ug Bob nakigsulti gamit ang usa ka yano nga substitution cipher gamit ang usa ka yawe nga nahibal-an ra nila. Estrikto kaayo sila mahitungod sa gitas-on sa mga mensahe: kini eksaktong 20 ka karakter ang gitas-on. Mao nga nagkauyon sila nga kung adunay gusto nga magpadala usa ka mas mubo nga mensahe, kinahanglan nila nga idugang ang pipila ka dummy nga teksto sa katapusan sa mensahe aron mahimo kini nga eksakto nga 20 nga mga karakter. Human sa pipila ka panaghisgot, nakahukom sila nga dawaton lang nila ang mosunod nga mga dummy text: a, bb, ccc, dddd ug uban pa. Busa, nahibal-an ang usa ka dummy nga teksto sa bisan unsang gikinahanglan nga gitas-on.

Kung makadawat si Alice o Bob og mensahe, susihon una nila kung husto ba ang gitas-on sa mensahe (20 ka karakter) ug nga ang suffix mao ang husto nga dummy nga teksto. Kung dili kini ang kahimtang, nan sila motubag sa usa ka angay nga mensahe sa sayup. Kung ok ang gitas-on sa teksto ug dummy nga teksto, ang nakadawat magbasa mismo sa mensahe ug magpadala usa ka naka-encrypt nga tubag.

Atol sa pag-atake, ang tig-atake nagpakaaron-ingnon kang Bob ug nagpadalag mga peke nga mensahe ngadto kang Alice. Ang mga mensahe bug-os nga walay pulos - ang tig-atake walay yawe, ug busa dili makahimo og makahuluganon nga mensahe. Apan tungod kay ang protocol naglapas sa prinsipyo sa kalaglagan, ang usa ka tig-atake mahimo gihapon nga lit-ag si Alice sa pagpadayag sa mahinungdanong impormasyon, sama sa gipakita sa ubos.

kawatan: PREWF ZHJKL MMMN. LA

Alice: Dili balido nga dummy text.

kawatan: PREWF ZHJKL MMMN. LB

Alice: Dili balido nga dummy text.

kawatan: PREWF ZHJKL MMMN. LC

Alice: ILCT? TLCT RUWO PUT KCAW CPS OWPOW!

Ang kawatan walay ideya kung unsa ang gisulti ni Alice, apan nahibal-an nga ang simbolo C kinahanglan magkaparehas a, kay gidawat ni Alice ang dummy nga text.

kawatan: REWF ZHJKL MMMN. LAA

Alice: Dili balido nga dummy text.

kawatan: REWF ZHJKL MMMN. LBB

Alice: Dili balido nga dummy text.

Pagkahuman sa daghang mga pagsulay ...

kawatan: REWF ZHJKL MMMN. LGG

Alice: Dili balido nga dummy text.

kawatan: REWF ZHJKL MMMN. LHH

Alice: TLQO JWCRO FQAW SUY LCR C OWQXYJW. IW PWWR TU TCFA CHUYT TLQO JWFCTQUPOLQZ.

Sa makausa pa, ang tig-atake walay ideya kung unsa ang gisulti ni Alice, apan nahibal-an nga ang H kinahanglan nga katumbas sa b sukad gidawat ni Alice ang dummy nga teksto.

Ug uban pa hangtod nga nahibal-an sa tig-atake ang kahulogan sa matag karakter.

Sa una nga pagtan-aw, ang pamaagi susama sa usa ka gipili nga pag-atake sa plaintext. Sa katapusan, gipili sa tig-atake ang mga ciphertext, ug ang server masunuron nga nagproseso niini. Ang nag-unang kalainan nga naghimo niini nga mga pag-atake nga mabuhi sa tinuod nga kalibutan mao nga ang tig-atake wala magkinahanglan og access sa aktuwal nga transcript-usa ka tubag sa server, bisan usa nga dili makadaot sama sa "Invalid dummy text," igo na.

Samtang kini nga partikular nga pag-atake usa ka pagtudlo, ayaw pag-abut sa mga detalye sa "dummy text" nga laraw, ang piho nga cryptosystem nga gigamit, o ang eksaktong pagkasunod-sunod sa mga mensahe nga gipadala sa nag-atake. Ang sukaranan nga ideya mao ang lahi nga reaksyon ni Alice base sa mga kabtangan sa plaintext, ug gibuhat kini nga wala magpamatuod nga ang katugbang nga ciphertext gikan gyud sa usa ka kasaligan nga partido. Sa ingon, gitugotan ni Alice ang tig-atake sa pagpuga sa sekretong impormasyon gikan sa iyang mga tubag.

Adunay daghan nga mahimong mabag-o sa kini nga senaryo. Ang mga simbolo nga gitubag ni Alice, o ang kalainan sa iyang pamatasan, o bisan ang cryptosystem nga gigamit. Apan ang prinsipyo magpabilin nga pareho, ug ang pag-atake sa kinatibuk-an magpabilin nga mabuhi sa usa ka porma o lain. Ang sukaranan nga pagpatuman niini nga pag-atake nakatabang sa pagdiskobre sa daghang mga bug sa seguridad, nga atong tan-awon sa dili madugay; apan una adunay pipila ka teoretikal nga mga leksyon nga makat-unan. Giunsa paggamit kining tinumotumo nga "Alice script" sa usa ka pag-atake nga mahimo sa usa ka tinuod nga modernong cipher? Posible ba kini, bisan sa teorya?

Niadtong 1998, ang Swiss cryptographer nga si Daniel Bleichenbacher mitubag niini nga pangutana sa positibo. Gipakita niya ang usa ka pag-atake sa orakulo sa kaylap nga gigamit nga public key cryptosystem RSA, gamit ang usa ka piho nga laraw sa mensahe. Sa pipila ka mga pagpatuman sa RSA, ang server motubag sa lain-laing mga mensahe sa sayop depende sa kung ang plaintext mohaum sa laraw o dili; igo na kini aron mahimo ang pag-atake.

Upat ka tuig ang milabay, sa 2002, ang Pranses nga cryptographer nga si Serge Vaudenay nagpakita sa usa ka oracle nga pag-atake nga halos parehas sa gihulagway sa Alice scenario sa ibabaw - gawas nga imbes nga usa ka tinumotumo nga cipher, iyang gibuak ang tibuok nga respetado nga klase sa modernong ciphers nga gigamit sa mga tawo. Sa partikular, ang pag-atake ni Vaudenay nagpunting sa mga fixed input size ciphers ("block ciphers") kung kini gigamit sa gitawag nga "CBC encryption mode" ug uban sa usa ka popular nga padding scheme, kasagaran katumbas sa usa sa Alice scenario.

Usab sa 2002, ang American cryptographer nga si John Kelsey - co-author Kaluha - gisugyot ang lainlaing mga pag-atake sa orakulo sa mga sistema nga nag-compress sa mga mensahe ug dayon gi-encrypt kini. Ang labing talalupangdon niini mao ang usa ka pag-atake nga nagpahimulos sa kamatuoran nga kasagarang posible nga mahibal-an ang orihinal nga gitas-on sa plaintext gikan sa gitas-on sa ciphertext. Sa teorya, kini nagtugot sa usa ka orakulo nga pag-atake nga nagbawi sa mga bahin sa orihinal nga plaintext.

Sa ubos naghatag kami og mas detalyado nga paghulagway sa mga pag-atake sa Vaudenay ug Kelsey (atong ihatag ang mas detalyado nga paghulagway sa pag-atake sa Bleichenbacher kung magpadayon kami sa mga pag-atake sa public key cryptography). Bisan pa sa atong labing maayo nga mga paningkamot, ang teksto mahimong medyo teknikal; mao nga kung ang sa ibabaw igo na alang kanimo, laktawan ang sunod nga duha ka seksyon.

Pag-atake ni Vodene

Aron masabtan ang pag-atake sa Vaudenay, kinahanglan una natong hisgutan ang gamay pa bahin sa mga block cipher ug mga mode sa pag-encrypt. Ang usa ka "block cipher" kay, sama sa nahisgutan, usa ka cipher nga nagkuha ug yawe ug usa ka input sa usa ka piho nga gitas-on ("block ang gitas-on") ug nagpatungha ug usa ka naka-encrypt nga bloke sa parehas nga gitas-on. Ang block cipher kay kaylap nga gigamit ug gikonsiderar nga medyo luwas. Ang karon nga retiradong DES, giisip nga unang modernong cipher, usa ka block cipher. Sama sa gihisgutan sa ibabaw, mao usab ang tinuod alang sa AES, nga kaylap nga gigamit karon.

Ikasubo, ang mga block cipher adunay usa ka klaro nga kahuyang. Ang kasagaran nga gidak-on sa block mao ang 128 bits, o 16 ka karakter. Dayag nga, ang modernong kriptograpiya nanginahanglan nga magtrabaho uban ang labi ka daghang data sa pag-input, ug kini diin ang mga mode sa pag-encrypt nagdula. Ang mode sa pag-encrypt usa ka hack: kini usa ka paagi aron magamit ang usa ka block cipher nga modawat lamang sa input sa usa ka piho nga gidak-on sa input sa usa ka arbitraryong gitas-on.

Ang pag-atake ni Vodene naka-focus sa sikat nga CBC (Cipher Block Chaining) mode of operation. Ang pag-atake nagtratar sa nagpahiping block cipher ingon nga usa ka mahika, dili mabuntog nga itom nga kahon ug hingpit nga gilaktawan ang seguridad niini.

Ania ang usa ka diagram nga nagpakita kung giunsa ang CBC mode molihok:

Ang gilingin nga plus nagpasabot sa XOR (eksklusibo OR) nga operasyon. Pananglitan, ang ikaduhang block sa ciphertext nadawat:

1. Pinaagi sa pagbuhat ug XOR nga operasyon sa ikaduhang plaintext block nga adunay unang ciphertext block.
2. Pag-encrypt sa resulta nga block gamit ang block cipher gamit ang key.

Tungod kay ang CBC naghimo sa ingon ka bug-at nga paggamit sa binary XOR nga operasyon, atong hinumdoman ang pipila sa mga kabtangan niini:

• Idempotency:
• Commutativity:
• Associativity:
• Pagkabag-o sa kaugalingon:
• Gidak-on sa byte: byte n sa = (byte n sa ) (byte n sa )

Kasagaran, kini nga mga kabtangan nagpasabut nga kung kita adunay usa ka equation nga naglambigit sa mga operasyon sa XOR ug usa nga wala mailhi, mahimo kini masulbad. Pananglitan, kon kita nahibalo niana uban sa wala mailhi ug sikat и , unya kita makasalig sa nahisgotan nga mga kabtangan sa ibabaw aron masulbad ang equation alang sa . Pinaagi sa paggamit sa XOR sa duha ka kilid sa equation uban sa , atong makuha . Kini tanan mahimong labi ka hinungdanon sa usa ka gutlo.

Adunay duha ka gamay nga kalainan ug usa ka dakong kalainan tali sa among senaryo sa Alice ug sa pag-atake ni Vaudenay. Duha ka menor de edad:

• Sa script, gipaabot ni Alice ang mga plaintext nga matapos sa mga karakter a, bb, ccc ug uban pa. Sa pag-atake sa Wodene, ang biktima naglaum hinuon nga ang plaintexts motapos sa N nga mga panahon uban sa N byte (nga mao, hexadecimal 01 o 02 02, o 03 03 03, ug uban pa). Kini usa ra ka kalainan sa kosmetiko.
• Sa senaryo ni Alice, dali nga mahibal-an kung gidawat ba ni Alice ang mensahe pinaagi sa tubag nga "Dili husto nga dummy text." Sa pag-atake ni Vodene, gikinahanglan ang dugang pagtuki ug ang tukma nga pagpatuman sa kiliran sa biktima importante; pero para sa kamubo, atong isipon nga kini nga pagtuki mahimo pa.

Panguna nga kalainan:

• Tungod kay wala kami naggamit sa parehas nga cryptosystem, ang relasyon tali sa mga byte sa ciphertext nga kontrolado sa tig-atake ug ang mga sekreto (key ug plaintext) klaro nga magkalainlain. Busa, ang tig-atake kinahanglang mogamit ug laing estratehiya sa paghimog ciphertexts ug paghubad sa mga tubag sa server.

Kining dakong kalainan mao ang kataposang piraso sa puzzle aron masabtan ang pag-atake sa Vaudenay, mao nga maghunahuna kita sa makadiyot kon ngano ug sa unsang paagi ang pag-atake sa orakulo sa CBC mahimong ma-mount sa unang dapit.

Ibutang ta nga gihatagan kita ug CBC ciphertext nga 247 ka bloke, ug gusto namong i-decrypt kini. Makapadala kami og mga peke nga mensahe ngadto sa server, sama nga kami makapadala ug peke nga mga mensahe ngadto kang Alice kaniadto. Ang server mag-decrypt sa mga mensahe alang kanamo, apan dili magpakita sa decryption - sa baylo, pag-usab, sama kang Alice, ang server magreport lang ug usa ka gamay nga impormasyon: kung ang plaintext adunay balido nga padding o wala.

Hunahunaa nga sa senaryo ni Alice kami adunay mosunod nga mga relasyon:

$$display$$text{SIMPLE_SUBSTITUTION}(text{ciphertext},text{key}) = text{plaintext}$$display$$

Tawgon nato kini nga "Alice's equation." Among gikontrol ang ciphertext; ang server (Alice) nag-leak sa dili klaro nga impormasyon bahin sa nadawat nga plaintext; ug kini nagtugot kanato sa paghubit sa impormasyon mahitungod sa katapusan nga butang - ang yawe. Pinaagi sa analohiya, kung makit-an naton ang ingon nga koneksyon alang sa script sa CBC, mahimo usab naton makuha ang pipila nga sekreto nga kasayuran didto.

Swerte, naa gyuy mga relasyon diha nga magamit nato. Hunahunaa ang output sa katapusang tawag sa pag-decrypt sa usa ka block cipher ug itudlo kini nga output ingon . Gipunting usab namo ang mga bloke sa plaintext ug mga bloke sa ciphertext . Tan-awa usab ang CBC diagram ug tan-awa kung unsa ang mahitabo:

Tawgon nato kini nga "CBC equation."

Sa senaryo ni Alice, pinaagi sa pagmonitor sa ciphertext ug pagtan-aw sa katugbang nga plaintext leak, nakahimo kami sa pag-mount sa usa ka pag-atake nga nakabawi sa ikatulo nga termino sa equation—ang yawe. Sa senaryo sa CBC, gimonitor usab namo ang ciphertext ug naobserbahan ang mga pagtulo sa impormasyon sa katugbang nga plaintext. Kon ang analogy naghupot, kita makakuha og impormasyon mahitungod sa .

Ibutang ta nga naulian gyud ta , unsa man? Bueno, mahimo naton i-print ang tibuuk nga katapusan nga bloke sa plaintext sa usa ka higayon (), pinaagi lang sa pagsulod (nga naa kanato) ug
nadawat sa CBC equation.

Karon nga malaumon na kami bahin sa kinatibuk-ang plano sa pag-atake, panahon na aron mahibal-an ang mga detalye. Palihug hatagi ug pagtagad kung giunsa pag-leak ang plaintext nga impormasyon sa server. Sa script ni Alice, nahitabo ang leak tungod kay motubag lang si Alice gamit ang saktong mensahe kung ang $inline$text{SIMPLE_SUBSTITUTION}(text{ciphertext},text{key})$inline$ natapos sa linya a (o bb, ug uban pa, apan ang mga kahigayonan nga kini nga mga kondisyon nga na-trigger sa sulagma gamay ra kaayo). Sama sa CBC, gidawat sa server ang padding kung ug kung kung matapos sa hexadecimal 01. Mao nga atong sulayan ang parehas nga limbong: pagpadala mga peke nga ciphertext gamit ang kaugalingon naton nga peke nga kantidad hangtod nga gidawat sa server ang pagpuno.

Kung gidawat sa server ang usa ka padding alang sa usa sa among mga peke nga mensahe, kini nagpasabut nga:

Karon atong gigamit ang byte-byte XOR property:

Nahibal-an namon ang una ug ikatulo nga termino. Ug nakita na namon nga kini nagtugot kanamo nga mabawi ang nahabilin nga termino - ang katapusan nga byte gikan sa :

Naghatag usab kini kanato sa katapusang byte sa katapusang plaintext block pinaagi sa CBC equation ug sa byte-by-byte nga kabtangan.

Mahimo natong biyaan kini ug matagbaw nga nakahimo kita og pag-atake sa usa ka lig-on nga cipher sa teoriya. Apan sa tinuud daghan pa ang mahimo naton: mahimo naton mabawi ang tanan nga teksto. Nagkinahanglan kini og usa ka limbong nga wala sa orihinal nga script ni Alice ug wala kinahanglana alang sa pag-atake sa orakulo, apan takus gihapon kini nga tun-an.

Aron masabtan kini, timan-i una nga ang resulta sa pag-output sa husto nga kantidad sa katapusang byte mao naa tay bag-ong abilidad. Karon, kung mag-forging sa mga ciphertext, mahimo natong manipulahon ang katapusang byte sa katugbang nga plaintext. Pag-usab, kini may kalabutan sa CBC equation ug sa byte-by-byte property:

Tungod kay nahibal-an na nato ang ikaduha nga termino, mahimo natong gamiton ang atong pagkontrol sa una aron makontrol ang ikatulo. Gikalkulo lang namo:

Dili namo mahimo kini kaniadto tungod kay wala pa kami adunay katapusan nga byte .

Sa unsang paagi kini makatabang kanato? Ibutang ta nga kita karon naghimo sa tanan nga ciphertexts sa ingon nga sa katugbang nga plaintexts ang katapusan nga byte katumbas sa 02. Ang server karon modawat lamang sa padding kung ang plaintext matapos sa 02 02. Tungod kay gitul-id namo ang katapusang byte, mahitabo lamang kini kung ang penultimate byte sa plaintext mao usab ang 02. Nagpadayon kami sa pagpadala sa peke nga mga bloke sa ciphertext, pag-usab sa penultimate byte, hangtud nga ang server modawat sa padding alang sa usa niini. Niini nga punto atong makuha:

Ug among gipahiuli ang penultimate byte sama sa kataposang gipasig-uli. Nagpadayon kami sa parehas nga espiritu: gitul-id namon ang katapusang duha ka byte sa plaintext sa 03 03, gisubli namo kini nga pag-atake alang sa ikatulo nga byte gikan sa katapusan ug uban pa, sa katapusan hingpit nga pagpasig-uli .

Komosta ang ubang bahin sa teksto? Palihug timan-i nga ang bili mao gyud ang $inline$text{BLOCK_DECRYPT}(text{key},C_{247})$inline$. Mahimo namong ibutang ang bisan unsang laing block , ug ang pag-atake molampos gihapon. Sa tinuud, mahimo namong hangyoon ang server nga buhaton ang $inline$text{BLOCK_DECRYPT}$inline$ para sa bisan unsang datos. Niining puntoha, nahuman na ang dula - mahimo natong i-decrypt ang bisan unsang ciphertext (tan-awa usab ang CBC decryption diagram aron makita kini; ug timan-i nga ang IV kay publiko).

Kini nga partikular nga pamaagi adunay hinungdanon nga papel sa pag-atake sa orakulo nga atong masugatan sa ulahi.

Pag-atake ni Kelsey

Ang among buotan nga si John Kelsey naglatid sa mga prinsipyo nga nagpahipi sa daghang posible nga mga pag-atake, dili lang ang mga detalye sa usa ka piho nga pag-atake sa usa ka piho nga cipher. Iyang Ang artikulo sa 2002 sa tuig mao ang usa ka pagtuon sa posibleng mga pag-atake sa encrypted compressed data. Naghunahuna ka ba nga ang kasayuran nga ang datos gi-compress sa wala pa ang pag-encrypt dili igo aron mahimo ang usa ka pag-atake? Kini nahimo nga igo na.

Kining makapakurat nga resulta maoy tungod sa duha ka prinsipyo. Una, adunay lig-on nga relasyon tali sa gitas-on sa plaintext ug sa gitas-on sa ciphertext; alang sa daghang mga cipher eksaktong pagkaparehas. Ikaduha, kung ang compression gihimo, adunay usa usab ka lig-on nga correlation tali sa gitas-on sa compressed nga mensahe ug sa lebel sa "kasaba" sa plaintext, nga mao, ang proporsyon sa dili nagbalikbalik nga mga karakter (ang teknikal nga termino mao ang "taas nga entropy" ).

Aron makita ang prinsipyo sa paglihok, tagda ang duha ka plaintext:

Plaintext 1: AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA

Plaintext 2: ATVXCAGTRSVPTVVULSJQHGEYCMQPCRQBGCYIXCFJGJ

Ibutang nato nga ang duha ka plaintext gi-compress ug dayon gi-encrypt. Makuha nimo ang duha ka resulta nga ciphertext ug kinahanglan nga tag-an kung unsang ciphertext ang motugma sa plaintext:

Ciphertext 1: PVOVEYBPJDPVANEAWVGCIUWAABCIYIKOOURMYDTA

Ciphertext 2: DWKJZXYU

Klaro ang tubag. Taliwala sa mga plaintext, ang plaintext 1 ra ang mahimong ma-compress sa gamay nga gitas-on sa ikaduhang ciphertext. Gihunahuna namo kini nga walay nahibal-an mahitungod sa compression algorithm, ang encryption key, o bisan ang cipher mismo. Kung itandi sa hierarchy sa posible nga pag-atake sa cryptographic, kini usa ka matang sa buang.

Si Kelsey dugang nga nagpunting nga ubos sa pipila ka talagsaon nga mga kahimtang kini nga prinsipyo magamit usab sa paghimo sa usa ka pag-atake sa orakulo. Sa partikular, gihubit niini kung giunsa pagbawi sa usa ka tig-atake ang sekreto nga plaintext kung mahimo niyang pugson ang server nga i-encrypt ang data sa porma (ang plaintext nga gisundan sa samtang siya ang nagkontrol ug sa usa ka paagi masusi ang gitas-on sa naka-encrypt nga resulta.

Pag-usab, sama sa ubang mga pag-atake sa orakulo, kami adunay relasyon:

Pag-usab, gikontrol namon ang usa ka termino (), nakita namo ang gamay nga leak sa impormasyon bahin sa laing miyembro (ciphertext) ug naningkamot nga mabawi ang kataposang (plaintext). Bisan pa sa analohiya, kini usa ka dili kasagaran nga kahimtang kung itandi sa ubang mga pag-atake sa orakulo nga among nakita.

Aron mailustrar kung unsa ang mahimo sa ingon nga pag-atake, gamiton nato ang usa ka tinumotumo nga compression scheme nga bag-o lang natong nahimo: TOYZIP. Gipangita niini ang mga linya sa teksto nga nagpakita kaniadto sa teksto ug gipulihan kini sa tulo ka mga placeholder byte nga nagpakita kung asa makit-an ang usa ka sayo nga pananglitan sa linya ug kung pila ka beses kini makita didto. Pananglitan, ang linya helloworldhello mahimong i-compress sa helloworld[00][00][05] 13 bytes ang gitas-on kon itandi sa orihinal nga 15 bytes.

Ibutang ta nga ang usa ka tig-atake mosulay sa pagbawi sa plaintext sa usa ka porma password=..., diin ang password mismo wala mailhi. Sumala sa modelo sa pag-atake ni Kelsey, ang usa ka tig-atake mahimong mohangyo sa server sa pag-compress ug dayon pag-encrypt sa mga mensahe sa porma (plaintext nga gisundan sa ), diin  - libre nga teksto. Kung ang server nahuman na sa pagtrabaho, kini nagtaho sa gitas-on sa resulta. Ang pag-atake ingon niini:

kawatan: Palihug i-compress ug i-encrypt ang plaintext nga walay bisan unsang padding.

Server: Ang gitas-on sa resulta 14.

kawatan: Palihug i-compress ug i-encrypt ang plaintext diin gidugang password=a.

Server: Ang gitas-on sa resulta 18.

Ang cracker nag-ingon: [orihinal 14] + [tulo ka byte nga gipuli password=] + a

kawatan: Palihug i-compress ug i-encrypt ang plaintext nga gidugang password=b.

Server: Ang gitas-on sa resulta 18.

kawatan: Palihug i-compress ug i-encrypt ang plaintext nga gidugang password=с.

Server: Ang gitas-on sa resulta 17.

Ang cracker nag-ingon: [orihinal 14] + [tulo ka byte nga gipuli password=c]. Nagtuo kini nga ang orihinal nga plaintext adunay sulud password=c. Sa ato pa, ang password nagsugod sa usa ka letra c

kawatan: Palihug i-compress ug i-encrypt ang plaintext nga gidugang password=сa.

Server: Ang gitas-on sa resulta 18.

Ang cracker nag-ingon: [orihinal 14] + [tulo ka byte nga gipuli password=с] + a

kawatan: Palihug i-compress ug i-encrypt ang plaintext nga gidugang password=сb.

Server: Ang gitas-on sa resulta 18.

(… Paglabay sa pipila ka panahon…)

kawatan: Palihug i-compress ug i-encrypt ang plaintext nga gidugang password=со.

Server: Ang gitas-on sa resulta 17.

Ang cracker nag-ingon: [orihinal 14] + [tulo ka byte nga gipuli password=co]. Gamit ang parehas nga lohika, ang tig-atake naghinapos nga ang password nagsugod sa mga letra co

Ug uban pa hangtod mabalik ang tibuuk nga password.

Ang magbabasa mapasaylo sa paghunahuna nga kini usa ka lunsay nga akademikong ehersisyo ug nga ang ingon nga senaryo sa pag-atake dili gyud motungha sa tinuud nga kalibutan. Alaut, ingon sa atong makita sa dili madugay, mas maayo nga dili mohunong sa cryptography.

Mga kahuyangan sa brand: KRIMEN, POODLE, LUNOG

Sa katapusan, pagkahuman sa pagtuon sa teorya sa detalye, atong makita kung giunsa kini nga mga pamaagi gigamit sa tinuud nga kinabuhi nga mga pag-atake sa cryptographic.

KRUS

Kung ang pag-atake gitumong sa browser ug network sa biktima, ang uban mas sayon ​​ug ang uban mas lisud. Pananglitan, dali nga makita ang trapiko sa biktima: lingkod lang uban kaniya sa parehas nga cafe nga adunay WiFi. Tungod niini nga rason, ang mga potensyal nga biktima (ie tanan) kasagaran gitambagan sa paggamit sa usa ka naka-encrypt nga koneksyon. Mas lisud, apan posible gihapon, ang paghimo sa mga hangyo sa HTTP alang sa biktima sa pipila ka site sa ikatulo nga partido (pananglitan, Google). Ang tig-atake kinahanglang modani sa biktima ngadto sa usa ka malisyosong web page nga adunay script nga naghimo sa hangyo. Ang web browser awtomatik nga mohatag sa angay nga session cookie.

Kini daw talagsaon. Kung moadto si Bob evil.com, mahimo bang hangyoon lang sa script sa kini nga site ang Google nga i-email ang password ni Bob [email protected]? Aw, sa teorya oo, apan sa tinuud dili. Kini nga senaryo gitawag og cross-site request forgery attack (Cross-Site Request Forgery, CSRF), ug kini popular sa tunga-tunga sa 90s. Karon kon evil.com Gisulayan kini nga limbong, ang Google (o bisan unsang website nga nagtahod sa kaugalingon) kasagarang motubag sa, "Maayo, apan ang imong CSRF token alang niini nga transaksyon mahimong... um... три триллиона и семь. Palihug balika kini nga numero." Ang modernong mga browser adunay usa ka butang nga gitawag og "same-origin policy" diin ang mga script sa site A walay access sa impormasyon nga gipadala sa website B. Busa ang script sa evil.com makapadala ug mga hangyo sa google.com, apan dili makabasa sa mga tubag o makompleto gyud ang transaksyon.

Kinahanglan natong hatagan og gibug-aton nga gawas kon si Bob naggamit ug naka-encrypt nga koneksyon, kining tanan nga mga panalipod walay kahulogan. Ang usa ka tig-atake kay makabasa lang sa trapiko ni Bob ug makabawi sa cookie sa sesyon sa Google. Uban niini nga cookie, mag-abli lang siya og bag-ong tab sa Google nga dili mobiya sa iyang kaugalingong browser ug magpakaaron-ingnon nga si Bob nga wala makasugat og makaluluoy nga sama nga gigikanan nga mga palisiya. Apan, ikasubo alang sa usa ka kawatan, kini nahimong dili kaayo komon. Ang Internet sa kinatibuk-an dugay na nga nagdeklarar og gubat sa mga unencrypted nga koneksyon, ug ang outgoing nga trapiko ni Bob lagmit naka-encrypt, ganahan man siya o dili. Dugang pa, gikan sa sinugdanan sa pagpatuman sa protocol, ang trapiko usab mikunhod sa wala pa ang pag-encrypt; komon kini nga praktis aron makunhuran ang latency.

Kini mao ang dapit diin kini moabut ngadto sa play KRUS (Compression Ratio Infoleak Made Easy, simple nga pagtulo pinaagi sa compression ratio). Ang pagkahuyang gipadayag kaniadtong Setyembre 2012 sa mga tigdukiduki sa seguridad nga sila Juliano Rizzo ug Thai Duong. Gisusi na namo ang tibuok teoretikal nga basehan, nga nagtugot kanamo nga masabtan kung unsa ang ilang gibuhat ug kung giunsa. Mahimong pugson sa usa ka tig-atake ang browser ni Bob nga magpadala og mga hangyo sa Google ug dayon maminaw sa mga tubag sa lokal nga network sa usa ka compressed, encrypted nga porma. Busa kita adunay:

Dinhi gikontrol sa tig-atake ang hangyo ug adunay access sa traffic sniffer, lakip ang gidak-on sa pakete. Nabuhi ang fictional nga senaryo ni Kelsey.

Sa pagsabut sa teorya, ang mga tagsulat sa CRIME naghimo og usa ka pagpahimulos nga mahimong mangawat sa mga cookies sa sesyon alang sa usa ka halapad nga mga site, lakip ang Gmail, Twitter, Dropbox ug Github. Ang pagkahuyang nakaapekto sa kadaghanan sa modernong mga web browser, nga miresulta sa mga patch nga gipagawas nga hilom nga naglubong sa compression feature sa SSL aron dili na kini magamit. Ang usa ra nga giprotektahan gikan sa pagkahuyang mao ang halangdon nga Internet Explorer, nga wala gyud gigamit ang SSL compression.

POODLE

Niadtong Oktubre 2014, ang Google security team mihimo og mga wave sa security community. Nahimo nila nga pahimuslan ang usa ka kahuyang sa SSL protocol nga gi-patch kapin sa napulo ka tuig ang milabay.

Kini nahimo nga samtang ang mga server nagpadagan sa sinaw nga bag-ong TLSv1.2, daghan ang nagbilin og suporta alang sa kabilin SSLv3 alang sa atrasado nga pagkaangay sa Internet Explorer 6. Nahisgotan na namo ang mahitungod sa mga pag-atake sa pag-downgrade, aron imong mahanduraw kung unsa ang nahitabo. Usa ka maayo nga pagkahan-ay nga pagsabotahe sa protocol sa handshake ug ang mga server andam na nga mobalik sa maayo nga daan nga SSLv3, nga hinungdanon nga gitangtang ang katapusan nga 15 ka tuig nga panukiduki sa seguridad.

Alang sa konteksto sa kasaysayan, ania ang usa ka mubo nga summary sa kasaysayan sa SSL hangtod sa bersyon 2 gikan sa Matthew Green:

Ang Transport Layer Security (TLS) mao ang labing importante nga protocol sa seguridad sa Internet. [..] halos tanang transaksyon nga imong gihimo sa Internet nagdepende sa TLS. [..] Apan ang TLS dili kanunay TLS. Ang protocol nagsugod sa kinabuhi niini Komunikasyon sa Netscape gitawag nga "Secure Sockets Layer" o SSL. Ang hungihong adunay kini nga ang unang bersyon sa SSL makalilisang kaayo nga ang mga developers nangolekta sa tanan nga mga printout sa code ug gilubong kini sa usa ka sekreto nga landfill sa New Mexico. Ingon usa ka sangputanan, ang una nga magamit sa publiko nga bersyon sa SSL sa tinuud bersyon SSL 2. Makahadlok kaayo kini, ug [..] kini usa ka produkto sa tungatunga sa dekada 90, nga giisip sa mga modernong cryptographer nga "mangitngit nga mga katuigan sa cryptography" Daghan sa labing makalilisang nga mga pag-atake sa cryptographic nga nahibal-an naton karon wala pa nadiskobrehan. Ingon usa ka sangputanan, ang mga nag-develop sa protocol sa SSLv2 gipasagdan nga maglibog sa ilang dalan sa kangitngit, ug sila nag-atubang daghang makalilisang nga mga monsters - sa ilang kalagot ug sa atong kaayohan, tungod kay ang mga pag-atake sa SSLv2 nagbilin ug bililhong mga leksyon alang sa sunod nga henerasyon sa mga protocol.

Pagkahuman niini nga mga panghitabo, kaniadtong 1996, ang usa ka napakyas nga Netscape nagdisenyo pag-usab sa SSL protocol gikan sa wala. Ang resulta mao ang bersyon sa SSL 3, nga giayo ang daghang nahibal-an nga isyu sa seguridad sa gisundan niini.

Maayo na lang alang sa mga kawatan, ang "pipila" wala magpasabut nga "tanan." Sa kinatibuk-an, ang SSLv3 naghatag sa tanan nga gikinahanglan nga mga bloke sa pagtukod aron maglunsad og pag-atake sa Vodene. Ang protocol migamit ug CBC mode block cipher ug insecure padding scheme (kini gitul-id sa TLS; busa gikinahanglan ang pag-atake sa downgrade). Kung nahinumduman nimo ang laraw sa padding sa among orihinal nga paghulagway sa pag-atake sa Vaudenay, ang laraw sa SSLv3 parehas kaayo.

Apan, ikasubo alang sa mga kawatan, ang "parehas" wala magpasabut nga "parehas." Ang SSLv3 padding scheme mao ang "N random bytes nga gisundan sa numero N". Sulayi, ubos niini nga mga kondisyon, sa pagpili og hinanduraw nga bloke sa ciphertext ug adto sa tanang mga lakang sa orihinal nga laraw ni Vaudene: imong makaplagan nga ang pag-atake malamposong mikuha sa kataposang byte gikan sa katugbang nga bloke sa plaintext, apan dili mopadayon. Ang pag-decrypt sa matag ika-16 nga byte sa ciphertext usa ka maayong limbong, apan dili kini kadaugan.

Nag-atubang sa kapakyasan, ang Google team midangop sa usa ka katapusan nga paagi: mibalhin sila sa usa ka mas kusgan nga modelo sa hulga - ang gigamit sa KRIMEN. Sa pag-ingon nga ang tig-atake usa ka script nga nagdagan sa tab sa browser sa biktima ug mahimo’g makuha ang mga cookies sa sesyon, ang pag-atake makapahingangha gihapon. Samtang ang mas lapad nga modelo sa hulga dili kaayo realistiko, among nakita sa miaging seksyon nga kini nga partikular nga modelo mahimo.

Tungod niining mas kusgan nga mga kapabilidad sa pag-atake, ang pag-atake mahimo nang magpadayon. Timan-i nga nahibal-an sa tig-atake kung diin makita ang na-encrypt nga cookie sa sesyon sa ulohan ug gikontrol ang gitas-on sa hangyo sa HTTP nga nag-una niini. Busa, kini makahimo sa pagmaniobra sa HTTP nga hangyo aron ang katapusan nga byte sa cookie nahiuyon sa katapusan sa block. Karon kini nga byte angay alang sa pag-decryption. Mahimo nimong idugang ang usa ka karakter sa hangyo, ug ang penultimate byte sa cookie magpabilin sa parehas nga lugar ug angay alang sa pagpili gamit ang parehas nga pamaagi. Ang pag-atake nagpadayon sa ingon niini nga paagi hangtod ang cookie file hingpit nga mapasig-uli. Gitawag kini nga POODLE: Padding Oracle sa Gi-downgrade nga Legacy Encryption.

LUNOG

Sama sa among gihisgutan, ang SSLv3 adunay mga sayup, apan lahi kini sa gisundan niini, tungod kay ang leaky nga SSLv2 usa ka produkto sa lahi nga panahon. Didto mahimo nimong mabalda ang mensahe sa tunga: соглашусь на это только через мой труп nahimong соглашусь на это; ang kliyente ug server mahimong magkita online, magtukod og pagsalig ug magbinayloay og mga sekreto sa atubangan sa tig-atake, kinsa dali nga makasundog sa duha. Adunay usab ang problema sa export cryptography, nga among gihisgutan kung gikonsiderar ang FREAK. Kini mao ang cryptographic nga Sodoma ug Gomorra.

Kaniadtong Marso 2016, usa ka grupo sa mga tigdukiduki gikan sa lainlaing mga teknikal nga natad ang naghiusa ug nakahimo usa ka makapakurat nga pagdiskobre: ​​Ang SSLv2 gigamit gihapon sa mga sistema sa seguridad. Oo, ang mga tig-atake dili na maka-downgrade sa modernong mga sesyon sa TLS ngadto sa SSLv2 tungod kay ang maong lungag gisirhan human sa FREAK ug POODLE, apan sila makakonektar gihapon sa mga server ug makasugod sa mga sesyon sa SSLv2 sa ilang kaugalingon.

Mahimong mangutana ka, nganong nagpakabana kita sa ilang gibuhat didto? Adunay sila usa ka huyang nga sesyon, apan dili kini makaapekto sa ubang mga sesyon o sa seguridad sa server - dili ba? Aw, dili kaayo. Oo, ingon niana ang kinahanglan sa teorya. Apan dili - tungod kay ang pagmugna og mga sertipiko sa SSL nagpahamtang sa usa ka piho nga palas-anon, nga nagresulta sa daghang mga server nga naggamit sa parehas nga mga sertipiko ug, ingon usa ka sangputanan, parehas nga mga yawe sa RSA alang sa mga koneksyon sa TLS ug SSLv2. Sa paghimo sa mga butang nga mas grabe, tungod sa usa ka OpenSSL bug, ang "Disable SSLv2" nga kapilian sa niini nga popular nga SSL pagpatuman wala sa aktuwal nga trabaho.

Kini nagpaposible sa usa ka cross-protocol attack sa TLS, nga gitawag LUNOG (Pag-decrypting sa RSA nga adunay Obsolete ug Weakened eNcryption, pag-decrypting sa RSA nga adunay obsolete ug weakened encryption). Hinumdomi nga kini dili sama sa usa ka mubo nga pag-atake; ang tig-atake dili kinahanglan nga molihok ingon nga usa ka "tawo sa tunga-tunga" ug dili kinahanglan nga iapil ang kliyente sa pag-apil sa usa ka dili sigurado nga sesyon. Ang mga tig-atake nagpasiugda lang sa usa ka walay kasegurohan nga sesyon sa SSLv2 uban sa server mismo, nag-atake sa huyang nga protocol, ug nagbawi sa RSA nga pribadong yawe sa server. Kini nga yawe balido usab alang sa mga koneksyon sa TLS, ug gikan niining puntoha, walay kantidad sa seguridad sa TLS ang makapugong niini nga makompromiso.

Apan aron ma-crack kini, kinahanglan nimo ang usa ka nagtrabaho nga pag-atake batok sa SSLv2, nga nagtugot kanimo nga mabawi dili lamang ang piho nga trapiko, kondili usab ang sekreto nga RSA server key. Bisan kung kini usa ka komplikado nga pag-setup, ang mga tigdukiduki makapili sa bisan unsang pagkahuyang nga hingpit nga gisirhan pagkahuman sa SSLv2. Sa katapusan nakit-an nila ang usa ka angay nga kapilian: ang pag-atake sa Bleichenbacher, nga among gihisgutan sa sayo pa ug nga among ipasabut sa detalye sa sunod nga artikulo. Ang SSL ug TLS gipanalipdan gikan niini nga pag-atake, apan ang pipila ka random nga mga bahin sa SSL, inubanan sa mugbong mga yawe sa export-grade cryptography, nagpaposible niini. usa ka piho nga pagpatuman sa DROWN.

Sa panahon sa pagmantala, 25% sa mga nag-unang mga site sa Internet ang naapektuhan sa pagkahuyang sa DROWN, ug ang pag-atake mahimo nga himuon gamit ang kasarangan nga mga kapanguhaan nga magamit bisan sa mga daotan nga nag-inusarang mga hacker. Ang pagkuha sa RSA nga yawe sa server nanginahanglan ug walo ka oras nga pag-compute ug $440, ug ang SSLv2 mibalhin gikan sa karaan ngadto sa radioactive.

Teka, komosta ang Heartbleed?

Dili kini usa ka cryptographic nga pag-atake sa diwa nga gihulagway sa ibabaw; Kini usa ka buffer overflow.

Pahuway ta

Nagsugod kami sa pipila ka sukaranang mga teknik: brute force, interpolation, downgrading, cross-protocol, ug precomputation. Dayon among gitan-aw ang usa ka abante nga teknik, tingali ang nag-unang bahin sa modernong pag-atake sa cryptographic: ang pag-atake sa orakulo. Gigugol namo ang pipila ka mga panahon sa paghunahuna niini - ug nasabtan dili lamang ang nagpahiping prinsipyo, apan usab ang mga teknikal nga detalye sa duha ka piho nga pagpatuman: ang pag-atake sa Vaudenay sa CBC encryption mode ug ang pag-atake sa Kelsey sa pre-compression encryption protocols.

Sa pagrepaso sa mga pag-atake sa downgrade ug precomputation, among gilatid sa makadiyot ang FREAK attack, nga naggamit sa duha ka pamaagi pinaagi sa pag-downgrade sa mga target nga site ngadto sa huyang nga mga yawe ug dayon gamiton pag-usab ang samang mga yawe. Alang sa sunod nga artikulo, among i-save ang (parehas kaayo) nga pag-atake sa Logjam, nga nagpunting sa mga algoritmo sa yawe sa publiko.

Dayon among gitan-aw ang tulo pa ka pananglitan sa paggamit niini nga mga prinsipyo. Una, KRIMEN ug POODLE: duha ka pag-atake nga nagsalig sa abilidad sa tig-atake sa pag-inject sa arbitraryong plaintext sunod sa target nga plaintext, dayon susiha ang mga tubag sa server ug unya, gamit ang pamaagi sa pag-atake sa oracle, pahimusli kining gamay nga impormasyon aron, partial nga mabawi ang plaintext. Ang KRIMEN miadto sa ruta sa pag-atake ni Kelsey sa SSL compression, samtang ang POODLE sa baylo migamit sa usa ka variant sa pag-atake ni Vaudenay sa CBC nga adunay parehas nga epekto.

Dayon among gipunting ang among atensyon sa cross-protocol DROWN attack, nga nagtukod og koneksyon sa server gamit ang legacy SSLv2 protocol ug dayon gibawi ang sekreto nga mga yawe sa server gamit ang Bleichenbacher attack. Among gilaktawan ang teknikal nga mga detalye niini nga pag-atake sa pagkakaron; sama sa Logjam, kini kinahanglan nga maghulat hangtud nga kita adunay usa ka maayo nga pagsabot sa publiko nga yawe cryptosystems ug sa ilang mga kahuyang.

Sa sunod nga artikulo maghisgot kita bahin sa mga advanced attacks sama sa meet-in-the-middle, differential cryptanalysis ug birthday attacks. Atong sugdan dayon ang pag-atake sa side-channel, ug dayon mopadayon sa makalingaw nga bahin: public key cryptosystems.

Source: www.habr.com