Pan glywch y gair “cryptograffeg,” mae rhai pobl yn cofio eu cyfrinair WiFi, y clo clap gwyrdd wrth ymyl cyfeiriad eu hoff wefan, a pha mor anodd yw hi i fynd i mewn i e-bost rhywun arall. Mae eraill yn cofio cyfres o wendidau yn ystod y blynyddoedd diwethaf gyda thalfyriadau dweud (DROWN, FREAK, POODLE...), logos steilus a rhybudd i ddiweddaru eich porwr ar frys.
Mae cryptograffeg yn cwmpasu'r cyfan, ond y hanfod mewn un arall. Y pwynt yw bod llinell denau rhwng syml a chymhleth. Mae rhai pethau'n hawdd i'w gwneud, ond yn anodd eu rhoi yn ôl at ei gilydd, fel torri wy. Mae pethau eraill yn hawdd i'w gwneud ond yn anodd eu cyrraedd yn ôl pan fydd rhan fach, bwysig, hanfodol ar goll: er enghraifft, agor drws wedi'i gloi pan mai'r "rhan hollbwysig" yw'r allwedd. Mae cryptograffeg yn astudio'r sefyllfaoedd hyn a sut y gellir eu defnyddio'n ymarferol.
Yn ystod y blynyddoedd diwethaf, mae'r casgliad o ymosodiadau cryptograffig wedi troi'n sw o logos fflachlyd, wedi'u llenwi â fformiwlâu o bapurau gwyddonol, ac wedi arwain at deimlad tywyll cyffredinol bod popeth wedi'i dorri. Ond mewn gwirionedd, mae llawer o'r ymosodiadau yn seiliedig ar ychydig o egwyddorion cyffredinol, ac mae tudalennau diddiwedd o fformiwlâu yn aml yn cael eu berwi i lawr i syniadau hawdd eu deall.
Yn y gyfres hon o erthyglau, byddwn yn edrych ar y gwahanol fathau o ymosodiadau cryptograffig, gyda phwyslais ar yr egwyddorion sylfaenol. Yn gyffredinol ac nid yn union yn y drefn hon, ond byddwn yn ymdrin â'r canlynol:
- Strategaethau sylfaenol: grym 'n ysgrublaidd, dadansoddi amlder, rhyngosod, israddio a chroesbrotocolau.
- Gwendidau wedi'u brandio: FREAK, TROSEDD, BOODLE, TROWN, Logjam.
- Strategaethau Uwch: ymosodiadau oracl (ymosodiad Vodenet, ymosodiad Kelsey); dull cyfarfod-yn-y-canol, ymosodiad pen-blwydd, tuedd ystadegol (cryptanalysis gwahaniaethol, cryptanalysis annatod, ac ati).
- Ymosodiadau sianel ochr a'u perthnasau agos, technegau dadansoddi methiant.
- Ymosodiadau ar cryptograffeg allwedd gyhoeddus: gwraidd ciwb, darllediad, neges gysylltiedig, ymosodiad Coppersmith, algorithm Pohlig-Hellman, rhidyll rhif, ymosodiad Wiener, ymosodiad Bleichenbacher.
Mae'r erthygl benodol hon yn ymdrin â'r deunydd uchod hyd at ymosodiad Kelsey.
Strategaethau Sylfaenol
Mae'r ymosodiadau canlynol yn syml yn yr ystyr y gellir eu hesbonio bron yn gyfan gwbl heb lawer o fanylion technegol. Gadewch i ni egluro pob math o ymosodiad yn y termau symlaf, heb fynd i mewn i enghreifftiau cymhleth neu achosion defnydd uwch.
Mae rhai o'r ymosodiadau hyn wedi dod yn ddarfodedig i raddau helaeth ac nid ydynt wedi'u defnyddio ers blynyddoedd lawer. Mae eraill yn hen-amserwyr sy'n dal i sleifio i fyny yn rheolaidd ar ddatblygwyr system crypto diniwed yn yr 21ain ganrif. Gellir ystyried bod cyfnod cryptograffeg fodern wedi dechrau gyda dyfodiad IBM DES, y seiffr cyntaf i wrthsefyll yr holl ymosodiadau ar y rhestr hon.
Grym 'n Ysgrublaidd syml
Mae'r cynllun amgryptio yn cynnwys dwy ran: 1) y swyddogaeth amgryptio, sy'n cymryd neges (testun plaen) wedi'i gyfuno ag allwedd, ac yna'n creu neges wedi'i hamgryptio - ciphertext; 2) swyddogaeth dadgryptio sy'n cymryd y testun cipher a'r allwedd ac yn cynhyrchu testun plaen. Rhaid i amgryptio a dadgryptio fod yn hawdd eu cyfrifo gyda'r allwedd - ac yn anodd ei gyfrifo hebddo.
Gadewch i ni dybio ein bod yn gweld y ciphertext ac yn ceisio ei ddadgryptio heb unrhyw wybodaeth ychwanegol (gelwir hyn yn ymosodiad ciphertext yn unig). Os byddwn rywsut yn dod o hyd i'r allwedd gywir yn hudol, gallwn yn hawdd wirio ei fod yn wir yn gywir os yw'r canlyniad yn neges resymol.
Sylwch fod dwy ragdybiaeth ymhlyg yma. Yn gyntaf, rydym yn gwybod sut i berfformio dadgryptio, hynny yw, sut mae'r cryptosystem yn gweithio. Mae hon yn dybiaeth safonol wrth drafod cryptograffeg. Efallai y bydd cuddio manylion gweithredu'r cipher rhag ymosodwyr yn ymddangos fel mesur diogelwch ychwanegol, ond unwaith y bydd yr ymosodwr yn nodi'r manylion hyn, mae'r diogelwch ychwanegol hwn yn cael ei golli yn dawel ac yn anadferadwy. Dyna sut : Ni ddylai'r system sy'n disgyn i ddwylo'r gelyn achosi anghyfleustra.
Yn ail, tybiwn mai'r allwedd gywir yw'r unig allwedd a fydd yn arwain at ddadgryptio rhesymol. Mae hon hefyd yn dybiaeth resymol; mae'n fodlon os yw'r testun cipher yn llawer hirach na'r allwedd ac yn ddarllenadwy. Dyma beth sy'n digwydd yn y byd go iawn fel arfer, ac eithrio neu (Os nad ydych yn hoffi hynny rydym wedi hepgor yr esboniad, gweler Theorem 3.8 ).
O ystyried yr uchod, mae strategaeth yn codi: gwiriwch bob allwedd bosibl. Gelwir hyn yn rym 'n Ysgrublaidd, ac mae ymosodiad o'r fath yn sicr o weithio yn erbyn pob seiffr ymarferol - yn y pen draw. Er enghraifft, mae grym 'n Ysgrublaidd yn ddigon i'w hacio , seiffr hynafol lle mae'r allwedd yn un llythyren o'r wyddor, yn awgrymu ychydig dros 20 allwedd posib.
Yn anffodus i cryptanalysts, mae cynyddu'r maint allweddol yn amddiffyniad da yn erbyn grym 'n Ysgrublaidd. Wrth i'r maint allweddol gynyddu, mae nifer yr allweddi posibl yn cynyddu'n esbonyddol. Gyda meintiau allweddol modern, mae grym 'n Ysgrublaidd syml yn gwbl anymarferol. I ddeall yr hyn a olygwn, gadewch i ni gymryd yr uwchgyfrifiadur cyflymaf y gwyddys amdano o ganol 2019: gan IBM, gyda pherfformiad brig o tua 1017 o lawdriniaethau yr eiliad. Heddiw, hyd allweddol nodweddiadol yw 128 did, sy'n golygu 2128 o gyfuniadau posibl. I chwilio trwy'r holl allweddi, bydd angen amser ar uwchgyfrifiadur Summit sydd tua 7800 gwaith oedran y Bydysawd.
A ddylid ystyried grym ysgrublaid yn chwilfrydedd hanesyddol? Ddim o gwbl: mae'n gynhwysyn angenrheidiol yn y llyfr coginio cryptanalysis. Anaml y mae seiffriaid mor wan fel mai dim ond trwy ymosodiad clyfar y gellir eu torri, heb ddefnyddio grym i raddau neu'i gilydd. Mae llawer o haciau llwyddiannus yn defnyddio dull algorithmig i wanhau'r seiffr targed yn gyntaf, ac yna'n perfformio ymosodiad 'n Ysgrublaidd.
Dadansoddiad amlder
Nid yw'r rhan fwyaf o'r testunau'n rhai gibberish. Er enghraifft, mewn testunau Saesneg mae llawer o lythrennau 'e' ac erthyglau 'the'; mewn ffeiliau deuaidd, mae llawer o sero beit fel padin rhwng darnau o wybodaeth. Dadansoddiad amlder yw unrhyw ymosodiad sy'n manteisio ar y ffaith hon.
Yr enghraifft ganonaidd o seiffr sy'n agored i'r ymosodiad hwn yw'r seiffr amnewid syml. Yn y seiffr hwn, yr allwedd yw tabl gyda'r holl lythrennau wedi'u disodli. Er enghraifft, mae 'h' yn lle 'g', 'o' gan j, felly mae'r gair 'mynd' yn dod yn 'hj'. Mae'r seiffr hwn yn anodd ei orfodi oherwydd bod cymaint o dablau chwilio posibl. Os oes gennych ddiddordeb yn y mathemateg, mae hyd yr allwedd effeithiol tua 88 did: hynny yw
. Ond mae dadansoddiad amlder fel arfer yn gwneud y gwaith yn gyflym.
Ystyriwch y testun seiffr canlynol wedi'i brosesu gyda seiffr amnewid syml:
XDYLY ALY UGLY XDWNKE WN DYAJYN ANF YALXD DGLAXWG XDAN ALY FLYAUX GR WN OGQL ZDWBGEGZDO
Ers Y digwydd yn aml, gan gynnwys ar ddiwedd llawer o eiriau, gallwn gymryd yn betrus mai dyma'r llythyren e:
XDeLe ALe UGLE XDWNKE WN DEAJeN ANF eALXD DGLAXWG XDAN ALe FLeAUX GR WN OGQL ZDWBGEGZDO
Cwpl XD ailadrodd ar ddechrau sawl gair. Yn benodol, mae'r cyfuniad XDeLe yn awgrymu'n glir y gair these neu there, felly rydym yn parhau:
yr ALe UGLE thWNKE WN HEAJen ANF eALth DGLAtWG NA ALe FLeAUt GR WN OGQL ZDWBGEGZDO
Gadewch inni dybio hynny ymhellach L соответствуетт r, A - a ac yn y blaen. Mae'n debyg y bydd yn cymryd ychydig o geisiau, ond o'i gymharu ag ymosodiad llawn grym 'n Ysgrublaidd, mae'r ymosodiad hwn yn adfer y testun gwreiddiol mewn dim o amser:
y mae mwy o bethau yn y nefoedd a'r ddaear horatio nag a freuddwydir am danynt yn eich athroniaeth
I rai, mae datrys "cryptogramau" o'r fath yn hobi cyffrous.
Mae'r syniad o ddadansoddi amledd yn fwy sylfaenol nag y mae'n ymddangos ar yr olwg gyntaf. Ac mae'n berthnasol i seiffrau llawer mwy cymhleth. Trwy gydol hanes, mae gwahanol ddyluniadau seiffr wedi ceisio atal ymosodiad o'r fath gan ddefnyddio "amnewidiad polyalffabetig". Yma, yn ystod y broses amgryptio, mae'r tabl amnewid llythrennau yn cael ei addasu mewn ffyrdd cymhleth ond rhagweladwy sy'n dibynnu ar yr allwedd. Ystyrid pob un o'r seiffrau hyn yn anodd i'w torri ar un adeg; ac eto trechodd dadansoddiad amlder cymedrol hwynt oll yn y diwedd.
Y seiffr aml-alffabetig mwyaf uchelgeisiol mewn hanes, ac mae'n debyg yr enwocaf, oedd seiffr Enigma yr Ail Ryfel Byd. Roedd yn gymharol gymhleth o'i gymharu â'i ragflaenwyr, ond ar ôl llawer o waith caled, fe wnaeth cryptanalysts Prydain ei gracio gan ddefnyddio dadansoddiad amlder. Wrth gwrs, ni allent ddatblygu ymosodiad cain fel yr un a ddangosir uchod; roedd yn rhaid iddynt gymharu parau hysbys o destun plaen a siphertext (yr hyn a elwir yn "ymosodiad plaendestun"), hyd yn oed yn ysgogi defnyddwyr Enigma i amgryptio rhai negeseuon a dadansoddi'r canlyniad (yr "ymosodiad plaendestun a ddewiswyd"). Ond ni wnaeth hyn ddim haws i dynged byddinoedd y gelyn a orchfygwyd a llongau tanfor suddo.
Ar ôl y fuddugoliaeth hon, diflannodd dadansoddiad amlder o hanes cryptanalysis. Mae ciffers yn yr oes ddigidol fodern wedi'u cynllunio i weithio gyda darnau, nid llythrennau. Yn bwysicach fyth, cynlluniwyd y seiffrau hyn gyda'r ddealltwriaeth dywyll o'r hyn a adwaenid yn ddiweddarach : Gall unrhyw un greu algorithm amgryptio na allant eu hunain ei dorri. Nid yw'n ddigon ar gyfer y system amgryptio ymddangosai anodd: i brofi ei werth, mae'n rhaid iddo gael adolygiad diogelwch didrugaredd gan lawer o ddadansoddwyr crypto a fydd yn gwneud eu gorau i dorri'r seiffr.
Cyfrifiadau rhagarweiniol
Cymerwch ddinas ddamcaniaethol Precom Heights, poblogaeth 200. Mae pob cartref yn y ddinas yn cynnwys gwerth $000 ar gyfartaledd o bethau gwerthfawr, ond dim mwy na $30.Mae'r farchnad ddiogelwch yn Precom yn cael ei fonopoleiddio gan ACME Industries, sy'n cynhyrchu cloeon drws dosbarth chwedlonol Coyote™. Yn ôl dadansoddiad arbenigol, dim ond peiriant damcaniaethol cymhleth iawn y gellir torri clo dosbarth Coyote, y mae angen tua phum mlynedd a $000 o fuddsoddiad i'w greu. Ydy'r ddinas yn ddiogel?
Yn fwyaf tebygol na. Yn y pen draw, bydd troseddwr gweddol uchelgeisiol yn ymddangos. Bydd yn rhesymu fel hyn: “Byddaf, byddaf yn mynd i gostau mawr ymlaen llaw. Pum mlynedd o aros claf, a $50.Ond pan fydda i wedi gorffen, bydda i'n cael mynediad i holl gyfoeth y ddinas hon. Os ydw i’n chwarae fy nghardiau’n iawn, bydd y buddsoddiad hwn yn talu amdano’i hun sawl gwaith drosodd.”
Mae'r un peth yn wir mewn cryptograffeg. Mae ymosodiadau yn erbyn seiffr penodol yn destun dadansoddiad cost a budd didostur. Os yw'r gymhareb yn ffafriol, ni fydd yr ymosodiad yn digwydd. Ond mae ymosodiadau sy'n gweithio yn erbyn llawer o ddioddefwyr posibl ar unwaith bron bob amser yn talu ar ei ganfed, ac os felly, yr arfer dylunio gorau yw cymryd yn ganiataol eu bod wedi cychwyn o'r diwrnod cyntaf. Yn y bôn mae gennym fersiwn cryptograffig o Gyfraith Murphy: "Bydd unrhyw beth a all dorri'r system mewn gwirionedd yn torri'r system."
Yr enghraifft symlaf o system crypto sy'n agored i ymosodiad rhaggyfrifiadura yw seiffr di-allwedd cyson. Roedd hyn yn wir gyda , sy'n syml yn symud pob llythyren o'r wyddor tair llythyren ymlaen (mae'r tabl wedi'i ddolennu, felly mae'r llythyren olaf yn yr wyddor wedi'i hamgryptio yn drydydd). Yma eto daw egwyddor Kerchhoffs i rym: unwaith y caiff system ei hacio, caiff ei hacio am byth.
Mae'r cysyniad yn syml. Bydd hyd yn oed datblygwr systemau crypto newydd yn debygol o gydnabod y bygythiad a pharatoi yn unol â hynny. Wrth edrych ar esblygiad cryptograffeg, roedd ymosodiadau o'r fath yn amhriodol i'r rhan fwyaf o seiffrau, o'r fersiynau gwell cyntaf o seiffr Cesar hyd at ddirywiad seiffrau aml-alffabetig. Dim ond gyda dyfodiad y cyfnod modern cryptograffeg y daeth ymosodiadau o'r fath yn ôl.
Mae'r adenillion hwn o ganlyniad i ddau ffactor. Yn gyntaf, ymddangosodd cryptosystemau digon cymhleth o'r diwedd, lle nad oedd y posibilrwydd o ecsbloetio ar ôl hacio yn amlwg. Yn ail, daeth cryptograffeg mor gyffredin fel bod miliynau o leygwyr yn gwneud penderfyniadau bob dydd ynghylch ble a pha rannau o cryptograffeg i'w hailddefnyddio. Cymerodd beth amser cyn i arbenigwyr sylweddoli'r risgiau a chodi'r larwm.
Cofiwch yr ymosodiad rhaggyfrifiadura: ar ddiwedd yr erthygl byddwn yn edrych ar ddwy enghraifft cryptograffig bywyd go iawn lle chwaraeodd ran bwysig.
Rhyngosod
Dyma'r ditectif enwog Sherlock Holmes, yn perfformio ymosodiad rhyngosod ar yr anhapus Dr. Watson:
Fe wnes i ddyfalu'n syth eich bod chi wedi dod o Afghanistan... Roedd fy nhrên i'n meddwl fel a ganlyn: “Mae'r dyn hwn yn feddyg yn ôl ei fath, ond mae ganddo ddylanwad milwrol. Felly, meddyg milwrol. Mae newydd gyrraedd o'r trofannau - mae ei wyneb yn dywyll, ond nid dyma gysgod naturiol ei groen, gan fod ei arddyrnau yn llawer gwynach. Mae'r wyneb yn haggard - yn amlwg, mae wedi dioddef llawer ac wedi dioddef o salwch. Cafodd ei glwyfo yn ei law chwith - mae'n ei dal yn fudr ac ychydig yn annaturiol. Ble yn y trofannau y gallai meddyg milwrol o Loegr ddioddef caledi a chael ei anafu? Wrth gwrs, yn Afghanistan." Ni chymerodd yr holl drên meddwl hyd yn oed eiliad. Ac felly dywedais eich bod yn dod o Afghanistan, a'ch bod wedi synnu.
Ychydig iawn o wybodaeth y gallai Holmes ei dynnu o bob darn o dystiolaeth yn unigol. Dim ond trwy eu hystyried gyda'i gilydd y gallai ddod i'w gasgliad. Mae ymosodiad rhyngosod yn gweithio'n debyg trwy archwilio parau testun plaen a seiffr-destun hysbys sy'n deillio o'r un allwedd. O bob pâr, tynnir arsylwadau unigol sy'n caniatáu dod i gasgliad cyffredinol am yr allwedd. Mae'r holl gasgliadau hyn yn amwys ac yn ymddangos yn ddiwerth nes eu bod yn sydyn yn cyrraedd màs critigol ac yn arwain at yr unig gasgliad posibl: ni waeth pa mor anhygoel ydyw, rhaid iddo fod yn wir. Ar ôl hyn, naill ai mae'r allwedd yn cael ei datgelu, neu mae'r broses ddadgryptio yn cael ei mireinio cymaint fel y gellir ei hailadrodd.
Gadewch i ni ddangos gydag enghraifft syml sut mae rhyngosod yn gweithio. Gadewch i ni ddweud ein bod ni eisiau darllen dyddiadur personol ein gelyn, Bob. Mae'n amgryptio pob rhif yn ei ddyddiadur gan ddefnyddio system crypto syml y dysgodd amdani o hysbyseb yn y cylchgrawn "A Mock of Cryptography." Mae'r system yn gweithio fel hyn: mae Bob yn dewis dau rif y mae'n eu hoffi: и . O hyn ymlaen, i amgryptio unrhyw rif , mae'n cyfrifo . Er enghraifft, os dewisodd Bob и , yna y rhif yn cael ei amgryptio fel .
Gadewch i ni ddweud i ni sylwi ar Ragfyr 28ain fod Bob yn crafu rhywbeth yn ei ddyddiadur. Pan fydd wedi gorffen, byddwn yn ei godi'n dawel ac yn gwylio'r cofnod olaf:
Dyddiad:
235/520Annwyl Dyddiadur,
Roedd heddiw yn ddiwrnod da. Trwy
64heddiw mae gen i ddêt gydag Alisa, sy'n byw mewn fflat843. Dwi wir yn meddwl efallai ei bod hi26!
Gan ein bod o ddifrif ynglŷn â dilyn Bob ar ei ddyddiad (rydym yn 15 yn y senario hwn), mae'n hanfodol gwybod y dyddiad yn ogystal â chyfeiriad Alice. Yn ffodus, rydym yn sylwi bod cryptosystem Bob yn agored i ymosodiad rhyngosod. Efallai na fyddwn yn gwybod и , ond rydyn ni'n gwybod y dyddiad heddiw, felly mae gennym ni ddau bâr plaentext-ciphertext. Sef, rydym yn gwybod hynny wedi'i amgryptio yn Ac - yn . Dyma beth fyddwn ni'n ei ysgrifennu:
Gan ein bod yn 15 oed, rydym eisoes yn gwybod am system o ddau hafaliad gyda dau anhysbys, sydd yn y sefyllfa hon yn ddigon i ddod o hyd iddo. и heb unrhyw broblemau. Mae pob pâr plaen-destun-ciphertext yn gosod cyfyngiad ar gywair Bob, ac mae'r ddau gyfyngiad gyda'i gilydd yn ddigon i adfer y cywair yn llwyr. Yn ein hesiampl yr ateb yw и (yn , felly 26 yn y dyddiadur yn cyfateb i'r gair 'yr un', hynny yw, "yr un un" - tua. lôn).
Nid yw ymosodiadau rhyngosod, wrth gwrs, yn gyfyngedig i enghreifftiau mor syml. Mae pob system crypto sy'n lleihau i wrthrych mathemategol a ddeellir yn dda a rhestr o baramedrau mewn perygl o ymosodiad rhyngosod - po fwyaf dealladwy yw'r gwrthrych, yr uchaf yw'r risg.
Mae newydd-ddyfodiaid yn aml yn cwyno mai cryptograffeg yw “y grefft o ddylunio pethau mor hyll â phosib.” Mae'n debyg mai ymosodiadau rhyngosod sydd ar fai i raddau helaeth. Gall Bob naill ai ddefnyddio dyluniad mathemategol cain neu gadw ei ddêt gydag Alice yn breifat - ond gwaetha'r modd, fel arfer ni allwch ei gael y ddwy ffordd. Bydd hyn yn dod yn gwbl amlwg pan fyddwn yn y pen draw yn cyrraedd y pwnc o cryptograffeg allwedd gyhoeddus.
Traws-brotocol/israddio
Yn Now You See Me (2013), mae grŵp o rhithwyr yn ceisio diarddel Arthur Tressler, cwmni yswiriant llygredig, o’i holl ffortiwn. Er mwyn cael mynediad i gyfrif banc Arthur, rhaid i'r rhithwyr naill ai ddarparu ei enw defnyddiwr a chyfrinair neu ei orfodi i ymddangos yn bersonol yn y banc a chymryd rhan yn y cynllun.
Mae'r ddau opsiwn yn anodd iawn; Mae'r bechgyn wedi arfer perfformio ar y llwyfan, a pheidio â chymryd rhan mewn gweithrediadau cudd-wybodaeth. Felly maen nhw'n dewis y trydydd opsiwn posibl: mae eu cynorthwy-ydd yn galw'r banc ac yn cymryd arno mai Arthur ydyw. Mae'r banc yn gofyn sawl cwestiwn i wirio hunaniaeth, megis enw'r ewythr ac enw'r anifail anwes cyntaf; ein harwyr ymlaen llaw . O hyn ymlaen, nid yw diogelwch cyfrinair rhagorol bellach yn bwysig.
(Yn ôl chwedl drefol yr ydym wedi'i gwirio a'i gwirio'n bersonol, daeth y cryptograffydd Eli Beaham ar draws rhifwr banc unwaith a oedd yn mynnu gosod cwestiwn diogelwch. Pan ofynnodd y rhifwr am enw ei fam-gu ar ochr ei fam, dechreuodd Beaham ddweud: "Capital X, bach y, tri...").
Mae yr un peth mewn cryptograffeg, os defnyddir dau brotocol cryptograffig ochr yn ochr i amddiffyn yr un ased, ac mae un yn llawer gwannach na'r llall. Mae'r system ddilynol yn dod yn agored i ymosodiad traws-brotocol, lle ymosodir ar brotocol gwannach er mwyn cyrraedd y wobr heb gyffwrdd â'r un cryfach.
Mewn rhai achosion cymhleth, nid yw'n ddigon cysylltu â'r gweinydd gan ddefnyddio protocol gwannach, ond mae angen cyfranogiad anwirfoddol cleient cyfreithlon. Gellir trefnu hyn gan ddefnyddio'r hyn a elwir yn ymosodiad israddio. I ddeall yr ymosodiad hwn, gadewch i ni dybio bod gan ein rhithwyr dasg anoddach nag yn y ffilm. Gadewch i ni dybio bod gweithiwr banc (ariannwr) ac Arthur wedi dod ar draws rhai amgylchiadau nas rhagwelwyd, gan arwain at y ddeialog ganlynol:
Byrgler: Helo? Dyma Arthur Tressler. Hoffwn ailosod fy nghyfrinair.
Ariannwr: Gwych. Edrychwch ar eich llyfr codau cyfrinachol personol, tudalen 28, gair 3. Bydd yr holl negeseuon canlynol yn cael eu hamgryptio gan ddefnyddio'r gair penodol hwn fel yr allwedd. PQJGH. LOTJNAM PGGY MXVRL ZZLQ SRIU HHNMLPPPV…
Byrgler: Hei, hei, aros, aros. A yw hyn yn wirioneddol angenrheidiol? Oni allwn siarad fel pobl normal yn unig?
Ariannwr: Nid wyf yn argymell gwneud hyn.
Byrgler: Fi jyst... edrych, ges i ddiwrnod lousy, iawn? Rwy'n gleient VIP ac nid wyf yn yr hwyliau i gloddio trwy'r llyfrau cod gwirion hyn.
Ariannwr: Iawn. Os mynnwch, Mr. Tressler. Beth wyt ti eisiau?
Byrgler: Os gwelwch yn dda, hoffwn roi fy holl arian i Gronfa Genedlaethol Dioddefwyr Arthur Tressler.
(Saib).
Ariannwr: A yw'n glir nawr. Rhowch eich PIN ar gyfer trafodion mawr.
Byrgler: Fy beth?
Ariannwr: Ar eich cais personol, mae trafodion o'r maint hwn angen PIN ar gyfer trafodion mawr. Rhoddwyd y cod hwn i chi pan wnaethoch chi agor eich cyfrif.
Byrgler:... collais i. A yw hyn yn wirioneddol angenrheidiol? Oni allwch chi gymeradwyo'r fargen yn unig?
Ariannwr: Nac ydw. Mae'n ddrwg gen i, Mr Tressler. Unwaith eto, dyma'r mesur diogelwch y gofynnoch amdano. Os dymunwch, gallwn anfon cod PIN newydd i'ch blwch post.
Mae ein harwyr yn gohirio'r llawdriniaeth. Maent yn clustfeinio ar nifer o drafodion mawr Tressler, gan obeithio clywed y PIN; ond bob tro mae'r sgwrs yn troi'n gibberish wedi'i godio cyn i unrhyw beth diddorol gael ei ddweud. Yn olaf, un diwrnod braf, caiff y cynllun ei roi ar waith. Maen nhw'n aros yn amyneddgar am y foment pan fydd yn rhaid i Tressler wneud trafodiad mawr dros y ffôn, mae'n mynd ar y llinell, ac yna ...
Tresler: Helo. Hoffwn gwblhau trafodiad o bell, os gwelwch yn dda.
Ariannwr: Gwych. Cymerwch olwg ar eich llyfr codau cyfrinachol personol, tudalen...
(Mae'r lleidr yn pwyso'r botwm; mae llais yr ariannwr yn troi'n sŵn annealladwy).
Ariannwr: - #@$#@$#*@$$@#* yn cael ei amgryptio gyda'r gair hwn fel yr allwedd. AAAYRR PLRQRZ MMNJK LOJBAN…
Tresler: Sori, doeddwn i ddim yn deall yn iawn. Eto? Ar ba dudalen? Pa air?
Ariannwr: Dyma'r dudalen @#$@#*$)#*#@()#@$(#@*$(#@*.
Tresler: Beth?
Ariannwr: Rhif y gair ugain @$#@$#%#$.
Tresler: O ddifrif! Digon yn barod! Rydych chi a'ch protocol diogelwch yn rhyw fath o syrcas. Rwy'n gwybod y gallwch chi siarad â mi fel arfer.
Ariannwr: Nid wyf yn argymell…
Tresler: Ac nid wyf yn eich cynghori i wastraffu fy amser. Dydw i ddim eisiau clywed mwy am hyn nes i chi drwsio'r problemau gyda'ch llinell ffôn. A allwn gwblhau'r fargen hon ai peidio?
Ariannwr:… Ydw. Iawn. Beth wyt ti eisiau?
Tresler: Hoffwn drosglwyddo $20 i Lord Business Investments, rhif cyfrif...
Ariannwr: Un funud, os gwelwch yn dda. Mae'n fargen fawr. Rhowch eich PIN ar gyfer trafodion mawr.
Tresler: Beth? O, yn union. 1234. llarieidd-dra eg.
Dyma ymosodiad ar i lawr. Roedd y protocol gwannach "dim ond siarad yn uniongyrchol" wedi'i ragweld fel opsiwn mewn achos o argyfwng. Ac eto dyma ni.
Efallai y byddwch chi'n meddwl tybed pwy yn eu iawn bwyll fyddai'n dylunio system "ddiogel hyd nes y gofynnir yn wahanol" fel yr un a ddisgrifir uchod. Ond yn union fel y mae banc ffuglennol yn cymryd risgiau i gadw cwsmeriaid nad ydynt yn hoffi cryptograffeg, mae systemau yn gyffredinol yn aml yn troi at ofynion sy'n ddifater neu hyd yn oed yn hollol elyniaethus i ddiogelwch.
Dyma'n union beth ddigwyddodd gyda'r protocol SSLv2 ym 1995. Mae llywodraeth yr UD wedi dechrau gweld cryptograffeg ers tro fel arf sy'n cael ei gadw orau oddi wrth elynion tramor a domestig. Cymeradwywyd darnau o god yn unigol i'w hallforio o'r Unol Daleithiau, yn aml gyda'r amod bod yr algorithm yn cael ei wanhau'n fwriadol. Rhoddwyd caniatâd i Netscape, datblygwr y porwr mwyaf poblogaidd, Netscape Navigator, ar gyfer SSLv2 yn unig gyda'r allwedd RSA 512-did sy'n agored i niwed yn ei hanfod (a 40-bit ar gyfer RC4).
Erbyn diwedd y mileniwm, roedd y rheolau wedi llacio a daeth mynediad at amgryptio modern ar gael yn eang. Fodd bynnag, mae cleientiaid a gweinyddwyr wedi cefnogi cryptograffeg "allforio" gwanhau ers blynyddoedd oherwydd yr un syrthni sy'n cynnal cefnogaeth i unrhyw system etifeddiaeth. Credai cleientiaid y gallent ddod ar draws gweinydd nad oedd yn cefnogi unrhyw beth arall. Gwnaeth y gweinyddion yr un peth. Wrth gwrs, mae'r protocol SSL yn mynnu na ddylai cleientiaid a gweinyddwyr byth ddefnyddio protocol gwan pan fydd un gwell ar gael. Ond roedd yr un rhagosodiad yn berthnasol i Tressler a'i fanc.
Canfu'r ddamcaniaeth hon ei ffordd i mewn i ddau ymosodiad proffil uchel a ysgydwodd ddiogelwch y protocol SSL yn 2015, y ddau wedi'u darganfod gan ymchwilwyr Microsoft a . Yn gyntaf, datgelwyd manylion ymosodiad FREAK ym mis Chwefror, ac yna dri mis yn ddiweddarach gan ymosodiad tebyg arall o'r enw Logjam, y byddwn yn ei drafod yn fanylach pan fyddwn yn symud ymlaen i ymosodiadau ar cryptograffeg allwedd gyhoeddus.
Bregusrwydd (a elwir hefyd yn "Smack TLS") i'r amlwg pan ddadansoddodd ymchwilwyr weithrediadau cleient/gweinydd TLS a darganfod byg chwilfrydig. Yn y gweithrediadau hyn, os nad yw'r cleient hyd yn oed yn gofyn am ddefnyddio cryptograffeg allforio gwan, ond mae'r gweinydd yn dal i ymateb gydag allweddi o'r fath, mae'r cleient yn dweud "O wel" ac yn newid i'r gyfres seiffr wan.
Ar y pryd, ystyriwyd yn eang bod cryptograffeg allforio yn hen ffasiwn ac oddi ar y terfynau, felly daeth yr ymosodiad fel sioc lwyr ac effeithiodd ar lawer o barthau pwysig, gan gynnwys safleoedd y Tŷ Gwyn, IRS, a NSA. Yn waeth byth, mae'n ymddangos bod llawer o weinyddion bregus yn optimeiddio perfformiad trwy ailddefnyddio'r un allweddi yn hytrach na chynhyrchu rhai newydd ar gyfer pob sesiwn. Roedd hyn yn ei gwneud hi'n bosibl, ar ôl israddio'r protocol, i gynnal ymosodiad cyn-gyfrifo: roedd cracio un allwedd yn parhau i fod yn gymharol ddrud ($ 100 a 12 awr ar adeg cyhoeddi), ond gostyngwyd cost ymarferol ymosod ar y cysylltiad yn sylweddol. Mae'n ddigon dewis allwedd y gweinydd unwaith a chracio'r amgryptio ar gyfer pob cysylltiad dilynol o'r eiliad honno ymlaen.
A chyn i ni symud ymlaen, mae un ymosodiad datblygedig y mae angen ei grybwyll...
Ymosodiad Oracle
sy'n fwyaf adnabyddus fel tad yr app negeseuon crypto traws-lwyfan Signal; ond rydyn ni'n bersonol yn hoffi un o'i arloesiadau llai adnabyddus - (Egwyddor Doom Cryptograffig). I aralleirio ychydig, gallwn ddweud hyn: “Os yw'r protocol yn perfformio unrhyw yn perfformio gweithrediad cryptograffig ar neges o ffynhonnell a allai fod yn faleisus ac yn ymddwyn yn wahanol yn dibynnu ar y canlyniad, mae'n doomed." Neu ar ffurf gliriach: “Peidiwch â chymryd gwybodaeth gan y gelyn i'w phrosesu, ac os oes rhaid, yna o leiaf peidiwch â dangos y canlyniad.”
Gadewch i ni adael gorlifoedd byffer o'r neilltu, pigiadau gorchymyn, ac ati; maent y tu hwnt i gwmpas y drafodaeth hon. Mae torri'r "egwyddor doom" yn arwain at haciau cryptograffeg difrifol oherwydd bod y protocol yn ymddwyn yn union fel y disgwyliwyd.
Fel enghraifft, gadewch i ni gymryd cynllun ffug gyda seiffr amnewid sy'n agored i niwed, ac yna dangos ymosodiad posibl. Er ein bod eisoes wedi gweld ymosodiad ar seiffr amnewid gan ddefnyddio dadansoddiad amlder, nid dim ond "ffordd arall o dorri'r un seiffr." I'r gwrthwyneb, mae ymosodiadau oracl yn ddyfais llawer mwy modern, sy'n berthnasol i lawer o sefyllfaoedd lle mae dadansoddiad amlder yn methu, a byddwn yn gweld arddangosiad o hyn yn yr adran nesaf. Yma dim ond i wneud yr enghraifft yn gliriach y dewisir y seiffr syml.
Felly mae Alice a Bob yn cyfathrebu gan ddefnyddio seiffr amnewid syml gan ddefnyddio allwedd sy'n hysbys iddyn nhw yn unig. Maent yn llym iawn ynghylch hyd negeseuon: maent yn union 20 nod o hyd. Felly fe gytunon nhw, os oedd rhywun eisiau anfon neges fyrrach, y dylen nhw ychwanegu testun ffug at ddiwedd y neges i’w gwneud yn union 20 nod. Ar ôl peth trafodaeth, penderfynwyd mai dim ond y testunau ffug canlynol y byddent yn eu derbyn: a, bb, ccc, dddd ac ati. Felly, mae testun ffug o unrhyw hyd gofynnol yn hysbys.
Pan fydd Alice neu Bob yn derbyn neges, maen nhw'n gwirio yn gyntaf bod y neges yr hyd cywir (20 nod) ac mai'r ôl-ddodiad yw'r testun ffug cywir. Os nad yw hyn yn wir, yna maent yn ymateb gyda neges gwall briodol. Os yw hyd y testun a'r testun ffug yn iawn, mae'r derbynnydd yn darllen y neges ei hun ac yn anfon ymateb wedi'i amgryptio.
Yn ystod yr ymosodiad, mae'r ymosodwr yn dynwared Bob ac yn anfon negeseuon ffug at Alice. Mae'r negeseuon yn nonsens llwyr - nid oes gan yr ymosodwr yr allwedd, ac felly ni all ffugio neges ystyrlon. Ond gan fod y protocol yn torri'r egwyddor doom, gall ymosodwr ddal Alice i ddatgelu'r wybodaeth allweddol, fel y dangosir isod.
Byrgler:
PREWF ZHJKL MMMN. LAAlice: Testun ffug annilys.
Byrgler:
PREWF ZHJKL MMMN. LBAlice: Testun ffug annilys.
Byrgler:
PREWF ZHJKL MMMN. LCAlice:
ILCT? TLCT RUWO PUT KCAW CPS OWPOW!
Nid oes gan y lleidr unrhyw syniad beth mae Alice newydd ei ddweud, ond mae'n nodi bod y symbol C rhaid cyfateb a, gan fod Alice wedi derbyn y testun ffug.
Byrgler:
REWF ZHJKL MMMN. LAAAlice: Testun ffug annilys.
Byrgler:
REWF ZHJKL MMMN. LBBAlice: Testun ffug annilys.
Ar ôl nifer o ymdrechion...
Byrgler:
REWF ZHJKL MMMN. LGGAlice: Testun ffug annilys.
Byrgler:
REWF ZHJKL MMMN. LHHAlice:
TLQO JWCRO FQAW SUY LCR C OWQXYJW. IW PWWR TU TCFA CHUYT TLQO JWFCTQUPOLQZ.
Unwaith eto, nid oes gan yr ymosodwr unrhyw syniad beth mae Alice newydd ei ddweud, ond mae'n nodi bod yn rhaid i H gyfateb b ers i Alice dderbyn y testun ffug.
Ac yn y blaen nes bod yr ymosodwr yn gwybod ystyr pob cymeriad.
Ar yr olwg gyntaf, mae'r dull yn debyg i ymosodiad testun plaen a ddewiswyd. Yn y diwedd, mae'r ymosodwr yn dewis y testunau cipher, ac mae'r gweinydd yn eu prosesu'n ufudd. Y prif wahaniaeth sy'n gwneud yr ymosodiadau hyn yn hyfyw yn y byd go iawn yw nad oes angen i'r ymosodwr gael mynediad at y trawsgrifiad gwirioneddol - mae ymateb gweinydd, hyd yn oed un mor ddiniwed â "Testun ffug annilys," yn ddigonol.
Er bod yr ymosodiad penodol hwn yn addysgiadol, peidiwch â chael eich rhwystro'n ormodol ar fanylion y cynllun "testun ffug", y system crypto benodol a ddefnyddir, nac union ddilyniant y negeseuon a anfonwyd gan yr ymosodwr. Y syniad sylfaenol yw sut mae Alice yn ymateb yn wahanol yn seiliedig ar briodweddau'r testun plaen, ac mae'n gwneud hynny heb wirio bod y testun cipher cyfatebol wedi dod o blaid y gellir ymddiried ynddi mewn gwirionedd. Felly, mae Alice yn caniatáu i'r ymosodwr wasgu gwybodaeth gyfrinachol allan o'i hatebion.
Mae yna lawer y gellir ei newid yn y senario hwn. Y symbolau y mae Alice yn ymateb iddynt, neu'r union wahaniaeth yn ei hymddygiad, neu hyd yn oed y system crypto a ddefnyddir. Ond bydd yr egwyddor yn aros yr un fath, a bydd yr ymosodiad yn ei gyfanrwydd yn parhau i fod yn hyfyw mewn rhyw ffurf neu'i gilydd. Fe wnaeth gweithrediad sylfaenol yr ymosodiad hwn helpu i ddatgelu nifer o fygiau diogelwch, y byddwn yn edrych arnynt yn fuan; ond yn gyntaf mae rhai gwersi damcaniaethol i'w dysgu. Sut i ddefnyddio'r "sgript Alice" ffug hon mewn ymosodiad a all weithio ar seiffr modern go iawn? A yw hyn hyd yn oed yn bosibl, hyd yn oed mewn theori?
Yn 1998, atebodd cryptograffydd Swistir Daniel Bleichenbacher y cwestiwn hwn yn gadarnhaol. Dangosodd ymosodiad oracl ar y RSA cryptosystem allweddol cyhoeddus a ddefnyddir yn eang, gan ddefnyddio cynllun negeseuon penodol. Mewn rhai gweithrediadau RSA, mae'r gweinydd yn ymateb gyda gwahanol negeseuon gwall yn dibynnu a yw'r testun plaen yn cyd-fynd â'r cynllun ai peidio; yr oedd hyn yn ddigon i gario allan yr ymosodiad.
Bedair blynedd yn ddiweddarach, yn 2002, dangosodd y cryptograffydd Ffrengig Serge Vaudenay ymosodiad oracl bron yn union yr un fath â'r un a ddisgrifir yn y senario Alice uchod - ac eithrio yn hytrach na seiffr ffug, fe dorrodd ddosbarth parchus cyfan o seiffrau modern y mae pobl yn eu defnyddio mewn gwirionedd. Yn benodol, mae ymosodiad Vaudenay yn targedu ciphers maint mewnbwn sefydlog ("seiffrau bloc") pan gânt eu defnyddio yn "modd amgryptio CBS" fel y'u gelwir a gyda chynllun padin poblogaidd penodol, sy'n cyfateb yn y bôn i'r un yn senario Alice.
Hefyd yn 2002, cryptograffydd Americanaidd John Kelsey - cyd-awdur — yn cynnig ymosodiadau oracl amrywiol ar systemau sy'n cywasgu negeseuon ac yna'n eu hamgryptio. Y mwyaf nodedig ymhlith y rhain oedd ymosodiad a fanteisiodd ar y ffaith ei bod yn aml yn bosibl casglu hyd gwreiddiol y testun plaen o hyd y testun seiffr. Mewn egwyddor, mae hyn yn caniatáu ymosodiad oracl sy'n adennill rhannau o'r testun plaen gwreiddiol.
Isod rydym yn rhoi disgrifiad manylach o ymosodiadau Vaudenay a Kelsey (byddwn yn rhoi disgrifiad manylach o ymosodiad Bleichenbacher pan symudwn ymlaen at ymosodiadau ar cryptograffeg allwedd gyhoeddus). Er gwaethaf ein hymdrechion gorau, mae'r testun yn dod yn dechnegol braidd; felly os yw'r uchod yn ddigon i chi, sgipiwch y ddwy adran nesaf.
Ymosodiad Vodene
Er mwyn deall ymosodiad Vaudenay, yn gyntaf mae angen i ni siarad ychydig mwy am seiffrau bloc a dulliau amgryptio. Mae "seiffr bloc", fel y crybwyllwyd, yn seiffr sy'n cymryd allwedd a mewnbwn o hyd sefydlog penodol ("hyd bloc") ac yn cynhyrchu bloc wedi'i amgryptio o'r un hyd. Defnyddir seiffrau bloc yn eang ac fe'u hystyrir yn gymharol ddiogel. Roedd y Cynllun Cydraddoldeb i Bobl Anabl sydd bellach wedi ymddeol, a ystyriwyd y seiffr modern cyntaf, yn seiffr bloc. Fel y soniwyd uchod, mae'r un peth yn wir am AES, a ddefnyddir yn helaeth heddiw.
Yn anffodus, mae gan seiffrau bloc un gwendid amlwg. Maint bloc nodweddiadol yw 128 did, neu 16 nod. Yn amlwg, mae cryptograffeg fodern yn gofyn am weithio gyda data mewnbwn mwy, a dyma lle mae moddau amgryptio yn dod i rym. Hac yw modd amgryptio yn ei hanfod: mae'n ffordd o gymhwyso seiffr bloc sydd ond yn derbyn mewnbwn o faint penodol i fewnbwn o hyd mympwyol.
Mae ymosodiad Vodene yn canolbwyntio ar ddull gweithredu poblogaidd CBC (Cipher Block Chaining). Mae'r ymosodiad yn trin y seiffr bloc gwaelodol fel blwch du hudolus, anhreiddiadwy ac yn osgoi ei ddiogelwch yn llwyr.
Dyma ddiagram sy'n dangos sut mae modd CBC yn gweithio:
Mae'r plws wedi'i gylchu yn dynodi gweithrediad XOR (OR unigryw). Er enghraifft, derbynnir yr ail floc o destun cipher:
- Trwy berfformio gweithrediad XOR ar yr ail floc testun plaen gyda'r bloc ciphertext cyntaf.
- Amgryptio'r bloc canlyniadol gyda seiffr bloc gan ddefnyddio allwedd.
Gan fod CBS yn gwneud defnydd mor drwm o weithrediad deuaidd XOR, gadewch i ni gymryd eiliad i gofio rhai o'i briodweddau:
- Analluedd:
- Cymudedd:
- Cymdeithasedd:
- Hunan-wrthdroadwyedd:
- Maint beit: beit n o = (beit n o ) (beit n o )
Yn nodweddiadol, mae'r priodweddau hyn yn awgrymu, os oes gennym hafaliad sy'n cynnwys gweithrediadau XOR ac un anhysbys, y gellir ei ddatrys. Er enghraifft, os ydym yn gwybod hynny gyda'r anhysbys ac enwog и , yna gallwn ddibynnu ar yr eiddo uchod i ddatrys yr hafaliad ar gyfer . Trwy gymhwyso XOR ar ddwy ochr yr hafaliad gyda , cawn . Bydd hyn i gyd yn dod yn berthnasol iawn mewn eiliad.
Mae dau wahaniaeth bach ac un gwahaniaeth mawr rhwng ein senario Alice ac ymosodiad Vaudenay. Dau fach:
- Yn y sgript, roedd Alice yn disgwyl i destunau plaen ddod i ben gyda'r cymeriadau
a,bb,cccac yn y blaen. Yn ymosodiad Wodene, mae'r dioddefwr yn lle hynny yn disgwyl i'r testunau plaen orffen amseroedd N gyda'r N beit (hynny yw, hecsadegol 01 neu 02 02, neu 03 03 03, ac ati). Gwahaniaeth cosmetig yn unig yw hwn. - Yn senario Alice, roedd yn hawdd dweud a oedd Alice wedi derbyn y neges gan yr ymateb "Anghywir testun ffug." Yn ymosodiad Vodene, mae angen mwy o ddadansoddi ac mae gweithredu manwl gywir ar ochr y dioddefwr yn bwysig; ond er mwyn bod yn gryno, gadewch i ni gymryd gan fod y dadansoddiad hwn yn dal yn bosibl.
Prif wahaniaeth:
- Gan nad ydym yn defnyddio'r un system crypto, mae'n amlwg y bydd y berthynas rhwng y beitiau ciphertext a reolir gan yr ymosodwr a'r cyfrinachau (allwedd a thestun plaen) yn wahanol. Felly, bydd yn rhaid i'r ymosodwr ddefnyddio strategaeth wahanol wrth greu testunau cipher a dehongli ymatebion gweinydd.
Y gwahaniaeth mawr hwn yw'r darn olaf o'r pos i ddeall ymosodiad Vaudenay, felly gadewch i ni gymryd eiliad i feddwl pam a sut y gellir gosod ymosodiad oracl ar CBC yn y lle cyntaf.
Tybiwch ein bod yn cael ciphertext CBC o 247 bloc, ac rydym am ei ddadgryptio. Gallwn anfon negeseuon ffug i'r gweinydd, yn union fel y gallem anfon negeseuon ffug i Alice o'r blaen. Bydd y gweinydd yn dadgryptio'r negeseuon i ni, ond ni fydd yn dangos y dadgryptio - yn lle hynny, eto, fel gydag Alice, dim ond un darn o wybodaeth y bydd y gweinydd yn ei adrodd: a oes gan y testun plaen badin dilys ai peidio.
Ystyriwch fod gennym ni'r perthnasau canlynol yn senario Alice:
$$display$$text{SIMPLE_SUBSTITUTION}(text{ciphertext},text{key}) = testun{plaintext}$$display$$
Gadewch i ni alw hyn yn "hafaliad Alice." Roeddem ni'n rheoli'r testun seiffr; gollyngodd y gweinydd (Alice) wybodaeth amwys am y testun plaen a dderbyniwyd; a chaniataodd hyn i ni gasglu gwybodaeth am y ffactor olaf - yr allwedd. Trwy gyfatebiaeth, os gallwn ddod o hyd i gysylltiad o'r fath ar gyfer sgript CBC, efallai y byddwn yn gallu tynnu rhywfaint o wybodaeth gyfrinachol yno hefyd.
Yn ffodus, mae yna berthnasoedd ar gael y gallwn ni eu defnyddio. Ystyriwch allbwn yr alwad olaf i ddadgryptio seiffr bloc a dynodi'r allbwn hwn fel . Rydym hefyd yn dynodi blociau o destun plaen a blociau ciphertext . Cymerwch gip arall ar ddiagram CBC a sylwch beth sy'n digwydd:
Gadewch i ni alw hyn yn “hafaliad CBS.”
Yn senario Alice, trwy fonitro'r testun seiffr a gwylio'r testun plaen cyfatebol yn gollwng, roeddem yn gallu gosod ymosodiad a adferodd y trydydd tymor yn yr hafaliad—yr allwedd. Yn y senario CBC, rydym hefyd yn monitro'r testun seiffr ac yn arsylwi gollyngiadau gwybodaeth ar y testun plaen cyfatebol. Os yw'r gyfatebiaeth yn dal, gallwn gael gwybodaeth am .
Gadewch i ni dybio ein bod wedi adfer mewn gwirionedd , beth felly? Wel, yna gallwn argraffu'r bloc olaf cyfan o destun plaen ar unwaith (), yn syml trwy fynd i mewn (sydd gennym) a
a dderbyniwyd i mewn i'r hafaliad CBS.
Nawr ein bod ni'n optimistaidd am y cynllun ymosodiad cyffredinol, mae'n bryd gweithio allan y manylion. Rhowch sylw i sut yn union y mae gwybodaeth testun plaen yn cael ei gollwng ar y gweinydd. Yn sgript Alice, digwyddodd y gollyngiad oherwydd byddai Alice ond yn ymateb gyda'r neges gywir pe bai $inline$text{SIMPLE_SUBSTITUTION}(testun{ciphertext},text{key})$inline$ yn gorffen gyda'r llinell a (Neu bb, ac yn y blaen, ond bach iawn oedd y tebygolrwydd y byddai'r cyflyrau hyn yn cael eu sbarduno gan siawns). Yn debyg i CBS, mae'r gweinydd yn derbyn y padin os a dim ond os yn gorffen yn hecsadegol 01. Felly gadewch i ni roi cynnig ar yr un tric: anfon ciphertexts ffug gyda'n gwerthoedd ffug ein hunain nes bod y gweinydd yn derbyn y llenwad.
Pan fydd y gweinydd yn derbyn padin ar gyfer un o'n negeseuon ffug, mae'n golygu:
Nawr rydym yn defnyddio'r eiddo byte-byte XOR:
Gwyddom y term cyntaf a'r trydydd. Ac rydym eisoes wedi gweld bod hyn yn ein galluogi i adennill y tymor sy'n weddill - y beit olaf o :
Mae hyn hefyd yn rhoi beit olaf y bloc testun plaen terfynol i ni trwy'r hafaliad CBC a'r eiddo beit-by-beit.
Gallem ei adael ar hynny a bod yn fodlon ein bod wedi cynnal ymosodiad ar seiffr sy'n gryf yn ddamcaniaethol. Ond mewn gwirionedd gallwn wneud llawer mwy: gallwn mewn gwirionedd adennill yr holl destun. Mae hyn yn gofyn am dric nad oedd yn sgript wreiddiol Alice ac nad oes ei angen ar gyfer yr ymosodiad oracl, ond mae'n dal yn werth ei ddysgu.
Er mwyn ei ddeall, nodwch yn gyntaf mai canlyniad allbynnu gwerth cywir y beit olaf yw mae gennym ni allu newydd. Nawr, wrth ffugio testunau cipher, gallwn drin beit olaf y testun plaen cyfatebol. Unwaith eto, mae hyn yn gysylltiedig â'r hafaliad CBC a'r eiddo beit-wrth-beit:
Gan ein bod bellach yn gwybod yr ail derm, gallwn ddefnyddio ein rheolaeth dros y cyntaf i reoli'r trydydd. Yn syml, rydym yn cyfrifo:
Ni allem wneud hyn o'r blaen oherwydd nid oedd gennym y beit olaf eto .
Sut bydd hyn yn ein helpu ni? Tybiwch ein bod bellach yn creu pob testun seiffr fel bod y beit olaf yn hafal i'r testunau plaen cyfatebol 02. Mae'r gweinydd nawr yn derbyn padin os yw'r testun plaen yn dod i ben 02 02. Ers i ni gywiro'r beit olaf, ni fydd hyn ond yn digwydd os yw beit olaf ond un y testun plaen hefyd yn 02. Rydym yn dal i anfon blociau ciphertext ffug, gan newid y beit olaf ond un, nes bod y gweinydd yn derbyn y padin ar gyfer un ohonynt. Ar y pwynt hwn rydym yn cael:
Ac rydym yn adfer y beit olaf ond un yn union fel yr un olaf ei adfer. Rydym yn parhau yn yr un ysbryd: rydym yn cywiro'r ddau beit olaf o'r testun plaen i 03 03, rydym yn ailadrodd yr ymosodiad hwn ar gyfer y trydydd byte o'r diwedd ac yn y blaen, gan adfer yn llwyr yn y pen draw .
Beth am weddill y testun? Sylwch fod y gwerth mewn gwirionedd yw $inline$text{BLOCK_DECRYPT}(testun{key},C_{247})$inline$. Gallwn roi unrhyw floc arall yn lle hynny , a bydd yr ymosodiad yn dal i fod yn llwyddiannus. Yn wir, gallwn ofyn i'r gweinydd wneud $inline$text{BLOCK_DECRYPT}$inline$ ar gyfer unrhyw ddata. Ar y pwynt hwn, mae'r gêm drosodd - gallwn ddadgryptio unrhyw destun cipher (edrychwch eto ar ddiagram dadgryptio CBC i weld hyn; a nodwch fod yr IV yn gyhoeddus).
Mae'r dull penodol hwn yn chwarae rhan hanfodol yn yr ymosodiad oracl y byddwn yn dod ar ei draws yn ddiweddarach.
Ymosodiad Kelsey
Gosododd ein hoffus John Kelsey allan yr egwyddorion sydd wrth wraidd llawer o ymosodiadau posibl, nid dim ond manylion ymosodiad penodol ar seiffr penodol. Ei yn astudiaeth o ymosodiadau posibl ar ddata cywasgedig wedi'i amgryptio. Oeddech chi'n meddwl nad oedd y wybodaeth bod y data wedi'i gywasgu cyn ei amgryptio yn ddigon i gynnal ymosodiad? Mae'n troi allan dyna ddigon.
Mae'r canlyniad syfrdanol hwn oherwydd dwy egwyddor. Yn gyntaf, mae cydberthynas gref rhwng hyd y testun plaen a hyd y testun cipher; i lawer o seiffrau union gydraddoldeb. Yn ail, pan fydd cywasgu yn cael ei berfformio, mae yna hefyd gydberthynas gref rhwng hyd y neges gywasgedig a graddau "swnni" y testun plaen, hynny yw, cyfran y cymeriadau nad ydynt yn ailadrodd (y term technegol yw "entropi uchel" ).
I weld yr egwyddor ar waith, ystyriwch ddau destun plaen:
Testun plaen 1:
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAATestun plaen 2:
ATVXCAGTRSVPTVVULSJQHGEYCMQPCRQBGCYIXCFJGJ
Gadewch i ni dybio bod y ddau destun plaen wedi'u cywasgu ac yna'n cael eu hamgryptio. Rydych chi'n cael dau destun seiffr o ganlyniad ac mae'n rhaid i chi ddyfalu pa seiffrdestun sy'n cyfateb i ba destun plaen:
Cyd-destun 1:
PVOVEYBPJDPVANEAWVGCIUWAABCIYIKOOURMYDTACyd-destun 2:
DWKJZXYU
Mae'r ateb yn glir. Ymhlith y testunau plaen, dim ond testun plaen 1 y gellid ei gywasgu i hyd prin yr ail destun seiffr. Fe wnaethom gyfrifo hyn heb wybod dim am yr algorithm cywasgu, yr allwedd amgryptio, na hyd yn oed y seiffr ei hun. O'i gymharu â'r hierarchaeth o ymosodiadau cryptograffig posibl, mae hyn yn fath o wallgof.
Mae Kelsey yn nodi ymhellach y gellir defnyddio'r egwyddor hon o dan rai amgylchiadau anarferol hefyd i gynnal ymosodiad oracl. Yn benodol, mae'n disgrifio sut y gall ymosodwr adennill y testun plaen cyfrinachol os gall orfodi'r gweinydd i amgryptio data'r ffurflen (y testun plaen ac yna tra ei fod yn rheoli a gall rywsut wirio hyd y canlyniad wedi'i amgryptio.
Unwaith eto, fel ymosodiadau oracl eraill, mae gennym y berthynas:
Unwaith eto, rydyn ni'n rheoli un term (), rydym yn gweld gollyngiad bach o wybodaeth am aelod arall (ciphertext) ac yn ceisio adennill yr un olaf (plaintext). Er gwaethaf y gyfatebiaeth, mae hon yn sefyllfa braidd yn anarferol o gymharu ag ymosodiadau oracl eraill yr ydym wedi'u gweld.
I ddangos sut y gallai ymosodiad o'r fath weithio, gadewch i ni ddefnyddio cynllun cywasgu dychmygol y lluniwyd gennym: TOYZIP. Mae'n edrych am linellau o destun sydd wedi ymddangos yn flaenorol yn y testun ac yn eu disodli â thri beit dalfan sy'n nodi ble i ddod o hyd i enghraifft gynharach o'r llinell a sawl gwaith y mae'n ymddangos yno. Er enghraifft, y llinell helloworldhello gellir ei gywasgu i mewn helloworld[00][00][05] 13 beit o hyd o gymharu â'r 15 beit gwreiddiol.
Tybiwch fod ymosodwr yn ceisio adennill testun plaen ffurflen password=..., lle mae'r cyfrinair ei hun yn anhysbys. Yn ôl model ymosod Kelsey, gallai ymosodwr ofyn i'r gweinydd gywasgu ac yna amgryptio negeseuon ffurf (testun plaen ac yna ) lle - testun rhydd. Pan fydd y gweinydd wedi gorffen gweithio, mae'n adrodd hyd y canlyniad. Mae'r ymosodiad yn mynd fel hyn:
Byrgler: Cywasgwch ac amgryptio'r testun plaen heb unrhyw badin.
Gweinydd: Hyd y canlyniad 14.
Byrgler: Cywasgwch ac amgryptio'r testun plaen sydd wedi'i atodi iddo
password=a.Gweinydd: Hyd y canlyniad 18.
Mae'r cracker yn nodi: [14 gwreiddiol] + [tri beit a ddisodlodd password=]+ a
Byrgler: Cywasgwch ac amgryptio'r testun plaen yr ychwanegir ato
password=b.Gweinydd: Hyd y canlyniad 18.
Byrgler: Cywasgwch ac amgryptio'r testun plaen yr ychwanegir ato
password=с.Gweinydd: Hyd y canlyniad 17.
Mae'r cracker yn nodi: [14 gwreiddiol] + [tri beit a ddisodlodd password=c]. Mae hyn yn cymryd bod y testun plaen gwreiddiol yn cynnwys y llinyn password=c. Hynny yw, mae'r cyfrinair yn dechrau gyda llythyren c
Byrgler: Cywasgwch ac amgryptio'r testun plaen yr ychwanegir ato
password=сa.Gweinydd: Hyd y canlyniad 18.
Mae'r cracker yn nodi: [14 gwreiddiol] + [tri beit a ddisodlodd password=с]+ a
Byrgler: Cywasgwch ac amgryptio'r testun plaen yr ychwanegir ato
password=сb.Gweinydd: Hyd y canlyniad 18.
(… Beth amser yn ddiweddarach…)
Byrgler: Cywasgwch ac amgryptio'r testun plaen yr ychwanegir ato
password=со.Gweinydd: Hyd y canlyniad 17.
Mae'r cracker yn nodi: [14 gwreiddiol] + [tri beit a ddisodlodd password=co]. Gan ddefnyddio'r un rhesymeg, daw'r ymosodwr i'r casgliad bod y cyfrinair yn dechrau gyda'r llythrennau co
Ac yn y blaen nes bod y cyfrinair cyfan yn cael ei adfer.
Byddai’r darllenydd yn cael maddeuant am feddwl mai ymarfer cwbl academaidd yw hwn ac na fyddai senario ymosod o’r fath byth yn codi yn y byd go iawn. Ysywaeth, fel y byddwn yn gweld yn fuan, mae'n well peidio â rhoi'r gorau i cryptograffeg.
Gwendidau'r brand: TROSEDD, POODLE, DOWN
Yn olaf, ar ôl astudio'r theori yn fanwl, gallwn weld sut mae'r technegau hyn yn cael eu cymhwyso mewn ymosodiadau cryptograffig bywyd go iawn.
TROSEDD
Os yw'r ymosodiad wedi'i anelu at borwr a rhwydwaith y dioddefwr, bydd rhai yn haws a bydd rhai yn anoddach. Er enghraifft, mae'n hawdd gweld traffig y dioddefwr: eisteddwch gydag ef yn yr un caffi gyda WiFi. Am y rheswm hwn, cynghorir dioddefwyr posibl (h.y. pawb) yn gyffredinol i ddefnyddio cysylltiad wedi’i amgryptio. Bydd yn anoddach, ond yn dal yn bosibl, gwneud ceisiadau HTTP ar ran y dioddefwr i ryw wefan trydydd parti (er enghraifft, Google). Rhaid i'r ymosodwr ddenu'r dioddefwr i dudalen we faleisus gyda sgript sy'n gwneud y cais. Bydd y porwr gwe yn darparu'r cwci sesiwn priodol yn awtomatig.
Mae hyn yn ymddangos yn anhygoel. Os aeth Bob i evil.com, a allai'r sgript ar y wefan hon ofyn i Google e-bostio cyfrinair Bob i [email protected]? Wel, mewn theori ie, ond mewn gwirionedd na. Gelwir y senario hwn yn ymosodiad ffugio cais traws-safle (, CSRF), ac roedd yn boblogaidd tua chanol y 90au. Heddiw os evil.com yn rhoi cynnig ar y tric hwn, bydd Google (neu unrhyw wefan hunan-barch) fel arfer yn ymateb gyda, “Gwych, ond eich tocyn CSRF ar gyfer y trafodiad hwn fydd... um... три триллиона и семь. Ailadroddwch y rhif hwn os gwelwch yn dda." Mae gan borwyr modern rywbeth a elwir yn "bolisi o'r un tarddiad" lle nad oes gan sgriptiau ar safle A fynediad i wybodaeth a anfonir gan wefan B. Felly mae'r sgript ar evil.com yn gallu anfon ceisiadau i google.com, ond ni all ddarllen yr ymatebion na chwblhau'r trafodiad mewn gwirionedd.
Rhaid inni bwysleisio, oni bai bod Bob yn defnyddio cysylltiad wedi'i amgryptio, mae'r holl amddiffyniadau hyn yn ddiystyr. Gall ymosodwr ddarllen traffig Bob ac adennill cwci sesiwn Google. Gyda'r cwci hwn, bydd yn agor tab Google newydd heb adael ei borwr ei hun ac yn dynwared Bob heb ddod ar draws polisïau pesky o'r un tarddiad. Ond, yn anffodus i fyrgler, mae hyn yn dod yn llai a llai cyffredin. Mae'r Rhyngrwyd yn ei gyfanrwydd wedi datgan rhyfel ers tro ar gysylltiadau heb eu hamgryptio, ac mae'n debyg bod traffig allan Bob wedi'i amgryptio, p'un a yw'n ei hoffi ai peidio. Yn ogystal, o ddechrau gweithredu'r protocol, roedd traffig hefyd cilio cyn amgryptio; roedd hyn yn arfer cyffredin i leihau hwyrni.
Dyma lle mae'n dod i mewn i chwarae (Infoleak Cymhareb Cywasgu Made Easy, gollyngiadau syml trwy'r gymhareb cywasgu). Datgelwyd y bregusrwydd ym mis Medi 2012 gan yr ymchwilwyr diogelwch Juliano Rizzo a Thai Duong. Rydym eisoes wedi archwilio'r sail ddamcaniaethol gyfan, sy'n ein galluogi i ddeall yr hyn a wnaethant a sut. Gallai ymosodwr orfodi porwr Bob i anfon ceisiadau at Google ac yna gwrando ar yr ymatebion ar y rhwydwaith lleol mewn ffurf gywasgedig, wedi'i hamgryptio. Felly mae gennym ni:
Yma mae'r ymosodwr yn rheoli'r cais ac mae ganddo fynediad i'r sniffer traffig, gan gynnwys maint y pecyn. Daeth senario ffuglen Kelsey yn fyw.
Gan ddeall y ddamcaniaeth, creodd awduron CRIME ecsbloet a all ddwyn cwcis sesiwn ar gyfer ystod eang o wefannau, gan gynnwys Gmail, Twitter, Dropbox a Github. Effeithiodd y bregusrwydd ar y mwyafrif o borwyr gwe modern, gan arwain at ryddhau clytiau a oedd yn claddu'r nodwedd gywasgu yn SSL yn dawel fel na fyddai'n cael ei ddefnyddio o gwbl. Yr unig un a ddiogelwyd rhag y bregusrwydd oedd yr hybarch Internet Explorer, nad oedd byth yn defnyddio cywasgu SSL o gwbl.
POODLE
Ym mis Hydref 2014, gwnaeth tîm diogelwch Google donnau yn y gymuned ddiogelwch. Roeddent yn gallu manteisio ar fregusrwydd yn y protocol SSL a oedd wedi'i glytio fwy na deng mlynedd yn ôl.
Mae'n ymddangos, tra bod y gweinyddwyr yn rhedeg y TLSv1.2 newydd sgleiniog, mae llawer wedi gadael cefnogaeth i'r etifeddiaeth SSLv3 ar gyfer cydnawsedd yn ôl ag Internet Explorer 6. Rydym eisoes wedi siarad am ymosodiadau israddio, felly gallwch ddychmygu beth sy'n digwydd. Mae difrod cerddorfaol dda o'r protocol ysgwyd llaw ac mae'r gweinyddion yn barod i ddychwelyd i hen dda SSLv3, yn ei hanfod dadwneud y 15 mlynedd diwethaf o ymchwil diogelwch.
Ar gyfer cyd-destun hanesyddol, :
Diogelwch Haen Trafnidiaeth (TLS) yw'r protocol diogelwch pwysicaf ar y Rhyngrwyd. [..] Mae bron pob trafodiad a wnewch ar y Rhyngrwyd yn dibynnu ar TLS. [..] Ond nid TLS oedd TLS bob amser. Dechreuodd y protocol ei fywyd yn o'r enw "Haen Socedi Diogel" neu SSL. Yn ôl y sïon, roedd y fersiwn gyntaf o SSL mor ofnadwy nes i'r datblygwyr gasglu'r holl allbrintiau o'r cod a'u claddu mewn safle tirlenwi cyfrinachol yn New Mexico. O ganlyniad, mae'r fersiwn gyhoeddus gyntaf o SSL mewn gwirionedd . Mae'n eithaf brawychus, a [..] roedd yn gynnyrch o ganol y 90au, y mae cryptograffwyr modern yn ei ystyried yn "" Nid yw llawer o'r ymosodiadau cryptograffig mwyaf erchyll y gwyddom amdanynt heddiw wedi'u darganfod eto. O ganlyniad, yn y bôn, gadawyd datblygwyr protocol SSLv2 i ymbalfalu yn y tywyllwch, ac roeddent yn wynebu - er eu mwyn hwy a'n budd ni, gan fod yr ymosodiadau ar SSLv2 wedi gadael gwersi amhrisiadwy ar gyfer y genhedlaeth nesaf o brotocolau.
Yn dilyn y digwyddiadau hyn, ym 1996, ailgynlluniodd Netscape rhwystredig y protocol SSL o'r dechrau. Y canlyniad oedd fersiwn SSL 3, sydd .
Yn ffodus i fyrgleriaid, nid yw “ychydig” yn golygu “pob un.” Ar y cyfan, darparodd SSLv3 yr holl flociau adeiladu angenrheidiol i lansio ymosodiad Vodene. Roedd y protocol yn defnyddio seiffr bloc modd CBC a chynllun padin anniogel (cywirwyd hyn yn TLS; felly'r angen am ymosodiad israddio). Os cofiwch y cynllun padin yn ein disgrifiad gwreiddiol o ymosodiad Vaudenay, mae cynllun SSLv3 yn debyg iawn.
Ond, yn anffodus i fyrgleriaid, nid yw “tebyg” yn golygu “unfath.” Y cynllun padin SSLv3 yw "N ar hap beit wedi'i ddilyn gan y rhif N". Ceisiwch, o dan yr amodau hyn, ddewis bloc dychmygol o ciphertext a mynd trwy holl gamau cynllun gwreiddiol Vaudene: fe welwch fod yr ymosodiad yn tynnu'r beit olaf yn llwyddiannus o'r bloc cyfatebol o destun plaen, ond nid yw'n mynd ymhellach. Mae dadgryptio pob 16eg beit o'r ciphertext yn gamp wych, ond nid yw'n fuddugoliaeth.
Yn wyneb methiant, trodd tîm Google at y dewis olaf: fe wnaethant newid i fodel bygythiad mwy pwerus - yr un a ddefnyddir yn TROSEDDAU. Gan dybio bod yr ymosodwr yn sgript sy'n rhedeg yn nhab porwr y dioddefwr ac y gall dynnu cwcis sesiwn, mae'r ymosodiad yn dal yn drawiadol. Er bod y model bygythiad ehangach yn llai realistig, gwelsom yn yr adran flaenorol fod y model penodol hwn yn ymarferol.
O ystyried y galluoedd ymosodwyr mwy pwerus hyn, gall yr ymosodiad nawr barhau. Sylwch fod yr ymosodwr yn gwybod ble mae'r cwci sesiwn wedi'i amgryptio yn ymddangos yn y pennawd ac yn rheoli hyd y cais HTTP o'i flaen. Felly, mae'n gallu trin y cais HTTP fel bod beit olaf y cwci wedi'i alinio â diwedd y bloc. Nawr mae'r beit hwn yn addas ar gyfer dadgryptio. Yn syml, gallwch ychwanegu un nod at y cais, a bydd beit olaf ond un y cwci yn aros yn yr un lle ac yn addas i'w ddewis gan ddefnyddio'r un dull. Mae'r ymosodiad yn parhau yn y modd hwn nes bod y ffeil cwci wedi'i hadfer yn llwyr. Mae'n cael ei alw POODLE: Padding Oracle ar Israddio Etifeddiaeth Encryption.
BODDI
Fel y soniasom, roedd gan SSLv3 ei ddiffygion, ond roedd yn sylfaenol wahanol i'w ragflaenydd, gan fod y SSLv2 sy'n gollwng yn gynnyrch o gyfnod gwahanol. Yno fe allech chi dorri ar draws y neges yn y canol: соглашусь на это только через мой труп troi i mewn соглашусь на это; gallai'r cleient a'r gweinydd gwrdd ar-lein, sefydlu ymddiriedaeth a chyfnewid cyfrinachau o flaen yr ymosodwr, a allai wedyn ddynwared y ddau yn hawdd. Mae yna hefyd y broblem gyda cryptograffeg allforio, y soniasom amdano wrth ystyried FREAK. Roedd y rhain yn cryptograffig Sodom a Gomorra.
Ym mis Mawrth 2016, daeth tîm o ymchwilwyr o wahanol feysydd technegol ynghyd a gwneud darganfyddiad syfrdanol: mae SSLv2 yn dal i gael ei ddefnyddio mewn systemau diogelwch. Ydy, ni allai ymosodwyr bellach israddio sesiynau TLS modern i SSLv2 ers i'r twll hwnnw gael ei gau ar ôl FREAK a POODLE, ond gallant ddal i gysylltu â gweinyddwyr a chychwyn sesiynau SSLv2 eu hunain.
Efallai y byddwch chi'n gofyn, pam rydyn ni'n malio beth maen nhw'n ei wneud yno? Mae ganddyn nhw sesiwn sy'n agored i niwed, ond ni ddylai effeithio ar sesiynau eraill na diogelwch y gweinydd - iawn? Wel, ddim cweit. Ie, felly y dylai fod mewn theori. Ond na - oherwydd bod cynhyrchu tystysgrifau SSL yn gosod baich penodol, gan arwain at lawer o weinyddion yn defnyddio'r un tystysgrifau ac, o ganlyniad, yr un allweddi RSA ar gyfer cysylltiadau TLS a SSLv2. I wneud pethau'n waeth, oherwydd nam OpenSSL, ni weithiodd yr opsiwn "Analluogi SSLv2" yn y gweithrediad SSL poblogaidd hwn mewn gwirionedd.
Gwnaeth hyn ymosodiad traws-brotocol ar TLS, o'r enw (Dadgryptio RSA gydag egryptio Darfodedig a Gwanedig, dadgryptio RSA gydag amgryptio darfodedig a gwan). Dwyn i gof nad yw hyn yr un peth ag ymosodiad byr; nid oes angen i'r ymosodwr weithredu fel "dyn yn y canol" ac nid oes angen iddo gynnwys y cleient i gymryd rhan mewn sesiwn ansicr. Yn syml, mae ymosodwyr yn cychwyn sesiwn SSLv2 ansicr gyda'r gweinydd eu hunain, yn ymosod ar y protocol gwan, ac yn adennill allwedd breifat RSA y gweinydd. Mae'r allwedd hon hefyd yn ddilys ar gyfer cysylltiadau TLS, ac o hyn ymlaen, ni fydd unrhyw swm o ddiogelwch TLS yn ei atal rhag cael ei beryglu.
Ond i'w gracio, mae angen ymosodiad gweithredol arnoch yn erbyn SSLv2, sy'n eich galluogi i adennill nid yn unig traffig penodol, ond hefyd allwedd y gweinydd RSA cyfrinachol. Er bod hwn yn setiad cymhleth, gallai'r ymchwilwyr ddewis unrhyw fregusrwydd a gaewyd yn llwyr ar ôl SSLv2. Yn y pen draw, daethant o hyd i opsiwn addas: ymosodiad Bleichenbacher, y soniasom amdano yn gynharach ac y byddwn yn ei esbonio'n fanwl yn yr erthygl nesaf. Mae SSL a TLS wedi'u diogelu rhag yr ymosodiad hwn, ond gwnaeth rhai nodweddion ar hap o SSL, ynghyd ag allweddi byr mewn cryptograffeg gradd allforio, hyn yn bosibl .
Ar adeg cyhoeddi, roedd 25% o brif wefannau'r Rhyngrwyd wedi'u heffeithio gan fregusrwydd DROWN, a gallai'r ymosodiad gael ei gynnal gydag adnoddau cymedrol sydd ar gael i hacwyr unigol direidus hyd yn oed. Roedd angen wyth awr o gyfrifiannu a $440 i adalw allwedd RSA y gweinydd, ac aeth SSLv2 o fod wedi darfod i ymbelydrol.
Arhoswch, beth am Heartbleed?
Nid yw hwn yn ymosodiad cryptograffig yn yr ystyr a ddisgrifir uchod; Gorlif byffer yw hwn.
Gadewch i ni gymryd seibiant
Fe ddechreuon ni gyda rhai technegau sylfaenol: grym 'n Ysgrublaidd, rhyngosod, israddio, croes-brotocol, a rhaggyfrifiant. Yna fe wnaethom edrych ar un dechneg ddatblygedig, efallai prif gydran ymosodiadau cryptograffig modern: yr ymosodiad oracl. Fe wnaethon ni dreulio cryn dipyn o amser yn ei ddarganfod - a deall nid yn unig yr egwyddor sylfaenol, ond hefyd fanylion technegol dau weithrediad penodol: ymosodiad Vaudenay ar fodd amgryptio CBC ac ymosodiad Kelsey ar brotocolau amgryptio cyn-cywasgu.
Wrth adolygu ymosodiadau israddio a rhaggyfrifiaduro, fe wnaethom amlinellu'n fyr yr ymosodiad FREAK, sy'n defnyddio'r ddau ddull trwy gael safleoedd targed i israddio i allweddi gwan ac yna ailddefnyddio'r un allweddi. Ar gyfer yr erthygl nesaf, byddwn yn arbed yr ymosodiad Logjam (tebyg iawn), sy'n targedu algorithmau allweddol cyhoeddus.
Yna edrychasom ar dair enghraifft arall o gymhwyso'r egwyddorion hyn. Yn gyntaf, TROSEDDU a POODLE: dau ymosodiad a oedd yn dibynnu ar allu'r ymosodwr i chwistrellu testun plaen mympwyol wrth ymyl y testun plaen targed, yna archwiliwch ymatebion y gweinydd a yna,gan ddefnyddio methodoleg ymosodiad oracl, ecsbloetio'r wybodaeth brin hon i adennill y testun plaen yn rhannol. Aeth CRIME ar drywydd ymosodiad Kelsey ar gywasgu SSL, tra bod POODLE yn lle hynny wedi defnyddio amrywiad o ymosodiad Vaudenay ar CBC gyda'r un effaith.
Yna fe wnaethom droi ein sylw at yr ymosodiad traws-brotocol DROWN, sy'n sefydlu cysylltiad â'r gweinydd gan ddefnyddio'r protocol SSLv2 etifeddiaeth ac yna'n adennill allweddi cyfrinachol y gweinydd gan ddefnyddio ymosodiad Bleichenbacher. Rydym wedi hepgor manylion technegol yr ymosodiad hwn am y tro; fel Logjam, bydd yn rhaid iddo aros nes bod gennym ddealltwriaeth dda o systemau crypto allweddol cyhoeddus a'u gwendidau.
Yn yr erthygl nesaf byddwn yn siarad am ymosodiadau datblygedig fel cyfarfod yn y canol, cryptanalysis gwahaniaethol ac ymosodiadau pen-blwydd. Gadewch i ni edrych yn gyflym ar ymosodiadau sianel ochr, ac yna symud ymlaen i'r rhan hwyliog: cryptosystems allwedd gyhoeddus.
Ffynhonnell: hab.com