Mae tîm o ymchwilwyr o Brifysgol California, San Diego wedi dangos y gallu i ail-greu allweddi cynnal RSA preifat gweinydd SSH gan ddefnyddio dadansoddiad goddefol o draffig SSH. Gellir cynnal ymosodiad ar weinyddion lle, oherwydd cyfuniad o amgylchiadau neu weithredoedd yr ymosodwr, mae methiannau'n digwydd wrth gyfrifo'r llofnod digidol wrth sefydlu cysylltiad SSH. Gall methiannau fod yn feddalwedd (cyflawni gweithrediadau mathemategol yn anghywir, llygredd cof) neu galedwedd (gwallau yng ngweithrediad NVRAM a DRAM neu fethiannau yn ystod toriadau pŵer).
Gallai un o'r opsiynau ar gyfer ysgogi methiannau fod yn ymosodiadau RowHammer, sydd, ymhlith pethau eraill, yn caniatáu o bell neu wrth brosesu cod JavaScript mewn porwr i ystumio cynnwys darnau unigol o gof yn ystod darlleniad cylchol dwys o ddata o gelloedd cof cyfagos. Opsiwn arall ar gyfer achosi methiannau fyddai ymelwa ar wendidau sy'n arwain at orlifoedd byffer a llygru data gydag allweddi yn y cof.
Mae'r astudiaeth gyhoeddedig yn dangos, pan ddefnyddir llofnodion digidol yn seiliedig ar yr algorithm RSA yn SSH, mae ymosodiadau i ail-greu allweddi preifat RSA gan ddefnyddio'r dull Lattice (Fault Attack) yn berthnasol i baramedrau'r llofnod digidol os bydd meddalwedd neu galedwedd yn methu yn ystod y llofnod. broses gyfrifo. Hanfod y dull yw, trwy gymharu llofnodion digidol RSA cywir a diffygiol, y gallwch benderfynu ar y rhannydd cyffredin mwyaf i allbynnu un o'r rhifau cysefin a ddefnyddir i gynhyrchu'r allwedd.
Mae amgryptio RSA yn seiliedig ar weithrediad exponentiation o nifer fawr. Mae'r allwedd gyhoeddus yn cynnwys y modwlws a gradd. Ffurfir y modiwl yn seiliedig ar ddau rif cysefin ar hap, sy'n hysbys i berchennog yr allwedd breifat yn unig. Gellir cymhwyso'r ymosodiad i weithrediadau RSA gan ddefnyddio Theorem Gweddill Tsieina a chynlluniau padin penderfynol megis PKCS#1 v1.5.
I gynnal yr ymosodiad, mae'n ddigon monitro cysylltiadau cyfreithlon â'r gweinydd SSH yn oddefol nes bod llofnod digidol diffygiol yn cael ei ganfod yn y traffig, y gellir ei ddefnyddio fel ffynhonnell wybodaeth i ail-greu'r allwedd RSA breifat. Ar ôl ail-greu allwedd RSA'r gwesteiwr, gall yr ymosodwr, yn ystod ymosodiad dyn-yn-y-canol, ailgyfeirio ceisiadau'n gudd i westeiwr ffug sy'n esgus bod yn weinydd SSH sydd wedi'i gyfaddawdu a rhyng-gipio'r traffig a drosglwyddir iddo. gweinydd data.
Trwy archwilio casgliad o ddata rhwydwaith rhyng-gipio a oedd yn cynnwys tua 5.2 biliwn o gofnodion sy'n gysylltiedig â defnyddio'r protocol SSH, nododd yr ymchwilwyr oddeutu 3.2 biliwn o allweddi gwesteiwr cyhoeddus a llofnodion digidol a ddefnyddiwyd yn ystod negodi sesiwn SSH. O'r rhain, cynhyrchwyd 1.2 biliwn (39.1%) gan ddefnyddio'r algorithm RSA. Mewn 593671 o achosion (0.048%) niweidiwyd llofnod yr RSA ac ni ellid ei ddilysu. Ar gyfer 4962 o lofnodion a fethwyd, roeddem yn gallu defnyddio'r dull ffactoreiddio Lattice i bennu'r allwedd breifat o'r allwedd gyhoeddus hysbys, gan arwain at ail-greu 189 o barau allweddi RSA unigryw (mewn llawer o achosion, defnyddiwyd yr un allweddi a dyfeisiau a fethwyd i gynhyrchu llofnodion difrodi gwahanol). Cymerodd tua 26 awr o amser CPU i ail-greu'r allweddi.

Mae'r broblem yn effeithio ar weithrediadau penodol o'r protocol SSH yn unig, a ddefnyddir yn bennaf ar ddyfeisiau wedi'u mewnosod. Mae enghreifftiau o ddyfeisiau â gweithrediadau SSH problemus yn cynnwys cynhyrchion gan Zyxel, Cisco, Mocana a Hillstone Networks. Nid yw'r broblem hon yn effeithio ar OpenSSH oherwydd ei fod yn defnyddio'r llyfrgell OpenSSL (neu LibreSSL) i gynhyrchu allweddi, sydd wedi'i diogelu rhag Ymosodiadau Nam ers 2001. At hynny, yn OpenSSH, mae cynllun llofnod digidol ssh-rsa (yn seiliedig ar sha1) wedi'i anghymeradwyo ers 2020 ac wedi'i analluogi yn fersiwn 8.8 (mae cefnogaeth i'r cynlluniau rsa-sha2-256 a rsa-sha2-512 yn parhau). Gallai'r ymosodiad fod yn berthnasol i'r protocol IPsec, ond nid oedd gan yr ymchwilwyr ddigon o ddata arbrofol i gadarnhau ymosodiad o'r fath yn ymarferol.
Ffynhonnell: opennet.ru
