Kiam vi aŭdas la vorton "kriptografio", iuj homoj memoras sian WiFi-pasvorton, la verdan pendseruron apud la adreso de sia plej ŝatata retejo, kaj kiom malfacile estas eniri la retpoŝton de aliulo. Aliaj memoras serion de vundeblecoj en la lastaj jaroj kun rakontaj mallongigoj (DROWN, FREAK, POODLE...), elegantaj emblemoj kaj averto por urĝe ĝisdatigi vian retumilon.
Kriptografio kovras ĉion, sed esenco de en alia. La punkto estas, ke estas fajna linio inter simpla kaj kompleksa. Iuj aferoj estas facile fareblaj, sed malfacile kunmeteblaj, kiel rompi ovon. Aliaj aferoj estas facile fareblaj sed malfacile reakireblaj kiam mankas malgranda, grava, decida parto: ekzemple, malfermi ŝlositan pordon kiam la "decida parto" estas la ŝlosilo. Kriptografio studas ĉi tiujn situaciojn kaj kiel ili povas esti uzataj en praktiko.
En la lastaj jaroj, la kolekto de kriptografiaj atakoj fariĝis zoo de okulfrapaj emblemoj, plenigitaj de formuloj el sciencaj artikoloj, kaj kaŭzis ĝeneralan malgajan senton, ke ĉio estas rompita. Sed fakte, multaj el la atakoj baziĝas sur kelkaj ĝeneralaj principoj, kaj senfinaj paĝoj de formuloj ofte estas resumitaj al facile kompreneblaj ideoj.
En ĉi tiu serio de artikoloj, ni rigardos la malsamajn specojn de kriptaj atakoj, kun emfazo sur la bazaj principoj. Ĝenerale kaj ne ĝuste en ĉi tiu ordo, sed ni kovros la jenajn:
- Bazaj strategioj: krudforto, frekvenca analizo, interpolado, malaltigo kaj krucprotokoloj.
- Markitaj vundeblecoj: FREAK, KRIMO, POODLE, DRONO, Logjam.
- Altnivelaj Strategioj: orakolatakoj (Vodenet-atako, Kelsey-atako); renkontiĝo-en-la-mezo-metodo, naskiĝtaga atako, statistika biaso (diferenciga kriptanalizo, integra kriptanalizo, ktp.).
- Flankkanalaj atakoj kaj iliaj proksimaj parencoj, fiaskaj analizmetodoj.
- Atakoj kontraŭ publika ŝlosila kriptografio: kuba radiko, elsendo, rilata mesaĝo, Coppersmith-atako, Pohlig-Hellman-algoritmo, nombrokribrilo, Wiener-atako, Bleichenbacher-atako.
Ĉi tiu aparta artikolo kovras ĉi-supran materialon ĝis la atako de Kelsey.
Bazaj Strategioj
La sekvaj atakoj estas simplaj en la senco, ke ili povas esti preskaŭ komplete klarigitaj sen multe da teknika detalo. Ni klarigu ĉiun tipon de atako en la plej simplaj terminoj, sen eniri kompleksajn ekzemplojn aŭ altnivelajn uzkazojn.
Kelkaj el tiuj atakoj plejparte malnoviĝis kaj ne estis uzitaj dum multaj jaroj. Aliaj estas maljunuloj, kiuj ankoraŭ regule ŝteliras sur sensuspektajn kriptajn programistojn en la 21-a jarcento. La epoko de moderna kriptografio povas esti konsiderata komencita kun la apero de IBM DES, la unua ĉifro kiu eltenis ĉiujn atakojn en ĉi tiu listo.
Simpla krudforto
La ĉifrada skemo konsistas el du partoj: 1) la ĉifrada funkcio, kiu prenas mesaĝon (klartekston) kombinitan kun ŝlosilo, kaj poste kreas ĉifritan mesaĝon - ĉifritan tekston; 2) malĉifra funkcio kiu prenas la ĉifrtekston kaj ŝlosilon kaj produktas klartekston. Kaj ĉifrado kaj malĉifrado devas esti facile komputeblaj per la ŝlosilo—kaj malfacile komputeblaj sen ĝi.
Ni supozu, ke ni vidas la ĉifrtekston kaj provu deĉifri ĝin sen aldonaj informoj (tio nomiĝas nur ĉifrteksto-atako). Se ni iel magie trovas la ĝustan ŝlosilon, ni povas facile kontroli, ke ĝi ja estas ĝusta, se la rezulto estas racia mesaĝo.
Notu ke ekzistas du implicaj supozoj ĉi tie. Unue, ni scias kiel fari malĉifradon, tio estas, kiel funkcias la kripta sistemo. Ĉi tio estas norma supozo kiam oni diskutas pri kriptografio. Kaŝi la realigajn detalojn de la ĉifro de atakantoj povas ŝajni kiel plia sekureca mezuro, sed post kiam la atakanto eltrovas ĉi tiujn detalojn, ĉi tiu plia sekureco estas trankvile kaj neinversigeble perdita. Tiel estas : La sistemo falanta en la manojn de la malamiko ne devus kaŭzi ĝenon.
Due, ni supozas, ke la ĝusta ŝlosilo estas la sola ŝlosilo, kiu kondukos al akceptebla malĉifrado. Ĉi tio ankaŭ estas akceptebla supozo; ĝi estas kontentigita se la ĉifroteksto estas multe pli longa ol la ŝlosilo kaj estas legebla. Ĉi tio kutime okazas en la reala mondo, krom aŭ (se vi ne ŝatas tion, ni preterlasis la klarigon, bonvolu vidi Teoremon 3.8 ).
Konsiderante la suprajn, ekestas strategio: kontrolu ĉiun ebla ŝlosilo. Tio nomiĝas krudforto, kaj tia atako estas garantiita por funkcii kontraŭ ĉiuj praktikaj ĉifroj – eventuale. Ekzemple, krudforto sufiĉas por haki , antikva ĉifro kie la ŝlosilo estas unu litero de la alfabeto, implicante iom pli ol 20 eblajn ŝlosilojn.
Bedaŭrinde por kriptanalizistoj, pliigi la ŝlosilan grandecon estas bona defendo kontraŭ kruda forto. Ĉar la ŝlosilgrandeco pliiĝas, la nombro da eblaj ŝlosiloj pliiĝas eksponente. Kun modernaj ŝlosilaj grandecoj, simpla krudforto estas tute nepraktika. Por kompreni, kion ni volas diri, ni prenu la plej rapidan konatan superkomputilon ekde meze de 2019: de IBM, kun pinta efikeco de proksimume 1017 operacioj je sekundo. Hodiaŭ, la tipa ŝlosillongo estas 128 bitoj, kio signifas 2128 eblajn kombinaĵojn. Por serĉi ĉiujn ŝlosilojn, la Summit-superkomputilo bezonos tempon, kiu estas proksimume 7800 fojojn la aĝo de la Universo.
Ĉu krudforto estu konsiderata historia kuriozaĵo? Tute ne: ĝi estas necesa ingredienco en la kriptanaliza kuirlibro. Malofte ĉifroj estas tiel malfortaj, ke ili povas esti rompitaj nur per lerta atako, sen uzo de forto unugrade aŭ alia. Multaj sukcesaj hakoj uzas algoritman metodon por malfortigi la celĉifron unue, kaj poste fari krudfortan atakon.
Frekvenca analizo
Plej multaj tekstoj ne estas stultaj. Ekzemple, en anglaj tekstoj estas multaj literoj 'e' kaj artikoloj 'la'; en binaraj dosieroj, estas multaj nul bajtoj kiel kompletigo inter informoj. Frekvenca analizo estas ajna atako kiu utiligas ĉi tiun fakton.
La kanona ekzemplo de ĉifro vundebla al ĉi tiu atako estas la simpla anstataŭiga ĉifro. En ĉi tiu ĉifro, la ŝlosilo estas tabelo kun ĉiuj literoj anstataŭigitaj. Ekzemple, 'g' estas anstataŭigita per 'h', 'o' per j, do la vorto 'iri' fariĝas 'hj'. Ĉi tiu ĉifro estas malfacile krudforta ĉar ekzistas tiom da eblaj serĉtabeloj. Se vi interesiĝas pri la matematiko, la efektiva ŝlosillongo estas ĉirkaŭ 88 bitoj: jen
. Sed frekvenca analizo kutime faras la laboron rapide.
Konsideru la sekvan ĉifrtekston prilaboritan per simpla anstataŭiga ĉifro:
XDYLY ALY UGLY XDWNKE WN DYAJYN ANF YALXD DGLAXWG XDAN ALY FLYAUX GR WN OGQL ZDWBGEGZDO
Ekde la Y okazas ofte, inkluzive ĉe la fino de multaj vortoj, ni povas provizore supozi, ke tio estas la litero e:
XDeLe ALe UGLe XDWNKE WN DeAJeN ANF eALXD DGLAXWG XDAN ALe FLeAUX GR WN OGQL ZDWBGEGZDO
Paro XD ripetita komence de pluraj vortoj. Precipe la kombinaĵo XDeLe klare sugestas la vorton these aŭ there, do ni daŭrigu:
theLe ALe UGLe THWNKE WN HeAJeN ANF EALth DGLAtWG OL ALe FLeAUt GR WN OGQL ZDWBGEGZDO
Ni plu supozu tion L соответствует r, A - a kaj tiel plu. Verŝajne necesos kelkaj provoj, sed kompare kun plena krudforta atako, ĉi tiu atako restarigas la originan tekston baldaŭ:
estas pli da aferoj en la ĉielo kaj la tero horatio ol oni sonĝas en via filozofio
Por iuj, solvi tiajn "kriptogramojn" estas ekscita ŝatokupo.
La ideo de frekvenca analizo estas pli fundamenta ol ĝi ŝajnas unuavide. Kaj ĝi validas por multe pli kompleksaj ĉifroj. Dum historio, diversaj ĉifrodezajnoj provis rebati tian atakon uzante "polialfabetan anstataŭigon". Ĉi tie, dum la ĉifrada procezo, la literanstataŭiga tablo estas modifita en kompleksaj sed antaŭvideblaj manieroj kiuj dependas de la ŝlosilo. Ĉiuj ĉi tiuj ĉifroj estis konsideritaj malfacilaj rompi foje; kaj tamen modesta frekvenca analizo finfine venkis ilin ĉiujn.
La plej ambicia polialfabeta ĉifro en la historio, kaj verŝajne la plej fama, estis la Enigma ĉifro de XNUMX-a Mondmilito. Ĝi estis relative kompleksa kompare kun siaj antaŭuloj, sed post multe da laborego, britaj kriptanalizistoj fendis ĝin uzante frekvencanalizon. Kompreneble, ili ne povis disvolvi elegantan atakon kiel tiu ĉi supre montrita; ili devis kompari konatajn parojn de klarteksto kaj ĉifrteksto (la tielnomita "klarteksta atako"), eĉ provokante Enigma uzantojn ĉifri certajn mesaĝojn kaj analizi la rezulton (la "elektita klartekstatako"). Sed ĉi tio ne faciligis la sorton de la venkitaj malamikaj armeoj kaj enprofundigitaj submarŝipoj.
Post ĉi tiu triumfo, frekvencanalizo malaperis el la historio de kriptanalizo. Ĉifroj en la moderna cifereca epoko estas dizajnitaj por labori kun bitoj, ne literoj. Pli grave, ĉi tiuj ĉifroj estis dizajnitaj kun la malhela kompreno de kio poste iĝis konata kiel : Ĉiu povas krei ĉifradan algoritmon, kiun ili mem ne povas rompi. Ĝi ne sufiĉas por la ĉifrada sistemo ŝajnis malfacila: por pruvi sian valoron, ĝi devas sperti senkompatan sekurecan revizion de multaj kriptanalizistoj, kiuj faros sian eblon por rompi la ĉifron.
Antaŭaj kalkuloj
Prenu la hipotezan grandurbon de Precom Heights, populacio 200. Ĉiu hejmo en la urbo enhavas averaĝe 000 30 USD da valoraĵoj, sed ne pli ol 000 50 USD.La sekureca merkato en Precom estas monopoligita de ACME Industries, kiu produktas la legendajn pordserurojn de la klaso Coyote™. Laŭ faka analizo, seruro de la klaso Kojoto nur povas esti rompita de tre kompleksa hipoteza maŝino, kies kreado postulas ĉirkaŭ kvin jarojn kaj 000 50 USD en investo. Ĉu la urbo estas sekura?
Plej verŝajne ne. Fine aperos sufiĉe ambicia krimulo. Li rezonos jene: “Jes, mi altigos grandajn antaŭkostojn. Kvin jaroj da pacienca atendado, kaj $50. Sed kiam mi finos, mi havos aliron al la tutan riĉecon de ĉi tiu urbo. Se mi ludas miajn kartojn ĝuste, ĉi tiu investo pagiĝos por si multfoje."
La sama estas vera en kriptografio. Atakoj kontraŭ speciala ĉifro estas kondiĉigitaj de senkompata kosto-profita analizo. Se la proporcio estas favora, la atako ne okazos. Sed atakoj kiuj funkcias kontraŭ multaj eblaj viktimoj samtempe preskaŭ ĉiam pagas, en kiu kazo plej bona dezajna praktiko estas supozi, ke ili komenciĝis de la unua tago. Ni havas esence kriptografian version de la Leĝo de Murphy: "Ĉio, kio povas efektive rompi la sistemon, rompos la sistemon."
La plej simpla ekzemplo de kripta sistemo, kiu estas vundebla al antaŭkomputila atako, estas konstanta senŝlosila ĉifro. Ĉi tio estis la kazo kun , kiu simple movas ĉiun literon de la alfabeto tri literojn antaŭen (la tabelo estas buklo, do la lasta litero en la alfabeto estas ĉifrita tria). Ĉi tie denove la Kerchhoffs-principo venas en ludon: post kiam sistemo estas hakita, ĝi estas hakita por ĉiam.
La koncepto estas simpla. Eĉ komencanto kriptosistemprogramisto verŝajne rekonos la minacon kaj preparos laŭe. Rigardante la evoluon de kriptografio, tiaj atakoj estis malkonvenaj por la plej multaj ĉifroj, de la unuaj plibonigitaj versioj de la Cezara ĉifro ĝis la malkresko de polialfabetaj ĉifroj. Tiaj atakoj revenis nur kun la apero de la moderna epoko de kriptografio.
Ĉi tiu reveno estas pro du faktoroj. Unue, fine aperis sufiĉe kompleksaj kriptaj sistemoj, kie la ebleco de ekspluatado post hakado ne estis evidenta. Due, kriptografio tiom disvastiĝis, ke milionoj da laikoj ĉiutage faris decidojn pri kie kaj kiaj partoj de kripto reuzi. Pasis iom da tempo antaŭ ol spertuloj rimarkis la riskojn kaj levis la alarmon.
Memoru la antaŭkomputilan atakon: ĉe la fino de la artikolo ni rigardos du realajn kriptajn ekzemplojn, kie ĝi ludis gravan rolon.
Interpolado
Jen la fama detektivo Ŝerloko Holmso, faranta interpola atakon kontraŭ la malfeliĉa d-ro Watson:
Mi tuj konjektis, ke vi venis el Afganio... Mia penso estis jena: „Ĉi tiu viro estas kuracisto laŭ tipo, sed li havas militistaron. Do, armea kuracisto. Li ĵus alvenis el la tropikoj - lia vizaĝo estas malhela, sed ĉi tio ne estas la natura nuanco de lia haŭto, ĉar liaj pojnoj estas multe pli blankaj. La vizaĝo estas magra — evidente, li multe suferis kaj suferis pro malsano. Li estis vundita en la maldekstra mano — li tenas ĝin senmove kaj iom nenature. Kie en la tropikoj angla armea kuracisto povus elteni malfacilaĵojn kaj vundiĝi? Kompreneble, en Afganio." La tuta pensmaniero ne daŭris eĉ sekundon. Kaj do mi diris, ke vi venis el Afganio, kaj vi estis surprizita.
Holmes povis eltiri tre malmulte da informoj de ĉiu indico individue. Li povis atingi sian konkludon nur konsiderante ilin ĉiujn kune. Interpola atako funkcias simile ekzamenante konatajn klartekston kaj ĉifroteksto-parojn rezultiĝantajn el la sama ŝlosilo. El ĉiu paro estas ĉerpitaj individuaj observoj, kiuj permesas eltiri ĝeneralan konkludon pri la ŝlosilo. Ĉiuj ĉi konkludoj estas malprecizaj kaj ŝajnas senutilaj ĝis ili subite atingas kritikan mason kaj kondukas al la sola ebla konkludo: kiom ajn nekredebla ĝi estas, ĝi devas esti vera. Post tio, aŭ la ŝlosilo estas rivelita, aŭ la malĉifra procezo iĝas tiel rafinita ke ĝi povas esti reproduktita.
Ni ilustru per simpla ekzemplo kiel funkcias interpolado. Ni diru, ke ni volas legi la personan taglibron de nia malamiko, Bob. Li ĉifras ĉiun numeron en sia taglibro uzante simplan kriptsistemon, pri kiu li eksciis de reklamo en la revuo "A Mock of Cryptography." La sistemo funkcias jene: Bob elektas du nombrojn, kiujn li ŝatas: и . De nun, por ĉifri ajnan numeron , ĝi kalkulas . Ekzemple, se Bob elektis и , tiam la nombro estos ĉifrita kiel .
Ni diru, ke la 28-an de decembro ni rimarkis, ke Bob skrapas ion en sia taglibro. Kiam li finos, ni trankvile prenos ĝin kaj rigardos la lastan enskribon:
Dato:
235/520Kara Taglibro,
Hodiaŭ estis bona tago. Tra
64hodiaŭ mi havas rendevuon kun Alisa, kiu loĝas en loĝejo843. Mi vere pensas, ke ŝi povus esti26!
Ĉar ni tre seriozas sekvi Bob en lia dato (ni ambaŭ estas 15 en ĉi tiu scenaro), estas grave scii la daton same kiel la adreson de Alico. Feliĉe, ni rimarkas, ke la kripta sistemo de Bob estas vundebla al interpola atako. Ni eble ne scias и , sed ni scias la hodiaŭan daton, do ni havas du klarteksto-ĉifrtekste parojn. Nome, ni scias tion ĉifrita en kaj - en . Jen kion ni skribos:
Ĉar ni estas 15-jaraj, ni jam scias pri sistemo de du ekvacioj kun du nekonatoj, kiu en ĉi tiu situacio sufiĉas por trovi и sen problemoj. Ĉiu klarteksto-ĉifrteksta paro metas limon sur la ŝlosilon de Bob, kaj la du limoj kune sufiĉas por tute reakiri la ŝlosilon. En nia ekzemplo la respondo estas и (je , do 26 en la taglibro respondas al la vorto 'tiu', tio estas, “la sama” - ĉ. leno).
Interpolaj atakoj kompreneble ne estas limigitaj al tiaj simplaj ekzemploj. Ĉiu kripta sistemo, kiu reduktas al bone komprenata matematika objekto kaj listo de parametroj, riskas interpola atako—ju pli komprenebla la objekto, des pli alta la risko.
Novuloj ofte plendas, ke kriptografio estas "la arto desegni aferojn kiel eble plej malbelajn." Interpolaj atakoj verŝajne plejparte kulpas. Bob povas aŭ uzi elegantan matematikan dezajnon aŭ konservi sian rendevuon kun Alico privata - sed ve, vi kutime ne povas havi ĝin ambaŭflanke. Ĉi tio fariĝos abunde klara kiam ni finfine atingos la temon de publika ŝlosila kriptografio.
Krucprotokolo/malaltiĝo
En Now You See Me (2013), grupo de iluziistoj provas trompi koruptan asekurmagnaton Arthur Tressler el sia tuta riĉaĵo. Por akiri aliron al la bankkonto de Arthur, la iluziistoj devas aŭ disponigi lian uzantnomon kaj pasvorton aŭ devigi lin aperi persone ĉe la banko kaj partopreni la skemon.
Ambaŭ opcioj estas tre malfacilaj; La uloj kutimas rezulti sur scenejo, kaj ne partopreni en spionoperacioj. Do ili elektas la trian eblan opcion: ilia komplico vokas la bankon kaj ŝajnigas esti Arthur. La banko demandas plurajn demandojn por kontroli identecon, kiel ekzemple la nomo de la onklo kaj la nomo de la unua dorlotbesto; niaj herooj anticipe . De ĉi tiu punkto, bonega pasvorta sekureco ne plu gravas.
(Laŭ urba legendo, kiun ni persone kontrolis kaj kontrolis, kriptografo Eli Beaham iam renkontis bankkasiston, kiu insistis starigi sekurecan demandon. Kiam la kasisto petis la nomon de sia patrinflanka avino, Beaham ekdiktis: “Majusklo X, malgranda y, tri... ").
Estas same en kriptografio, se du ĉifrikaj protokoloj estas uzataj paralele por protekti la saman valoraĵon, kaj unu estas multe pli malforta ol la alia. La rezulta sistemo iĝas vundebla al transprotokola atako, kie pli malforta protokolo estas atakita por atingi la premion sen tuŝi la pli fortan.
En iuj kompleksaj kazoj, ne sufiĉas simple kontakti la servilon uzante pli malfortan protokolon, sed postulas la nevolan partoprenon de legitima kliento. Ĉi tio povas esti organizita uzante la tielnomitan malaltgradan atakon. Por kompreni ĉi tiun atakon, ni supozu, ke niaj iluziistoj havas pli malfacilan taskon ol en la filmo. Ni supozu, ke bankoficisto (kasisto) kaj Arthur renkontis kelkajn neantaŭviditajn cirkonstancojn, rezultigante la sekvan dialogon:
Ŝtelisto: Saluton? Ĉi tiu estas Arthur Tressler. Mi ŝatus restarigi mian pasvorton.
Kasisto: Bonege. Bonvolu rigardi vian personan sekretan kodlibron, paĝon 28, vorto 3. Ĉiuj sekvaj mesaĝoj estos ĉifritaj uzante ĉi tiun specifan vorton kiel ŝlosilon. PQJGH. LOTJNAM PGGY MXVRL ZZLQ SRIU HHNMLPPPV...
Ŝtelisto: Hej, hej, atendu, atendu. Ĉu ĉi tio vere necesas? Ĉu ni ne povas paroli kiel normalaj homoj?
Kasisto: Mi ne rekomendas fari ĉi tion.
Ŝtelisto: Mi nur... rigardu, mi havis malbonan tagon, ĉu bone? Mi estas VIP-kliento kaj mi ne emas trafosi ĉi tiujn stultajn kodlibrojn.
Kasisto: Bone. Se vi insistas, sinjoro Tressler. Kion vi volas?
Ŝtelisto: Bonvolu, mi ŝatus donaci mian tutan monon al la Arthur Tressler National Victims Fund.
(Paŭzo).
Kasisto: Ĉu estas klare nun. Bonvolu provizi vian PIN por grandaj transakcioj.
Ŝtelisto: Mia kio?
Kasisto: Laŭ via persona peto, transakcioj de ĉi tiu grandeco postulas PIN por grandaj transakcioj. Ĉi tiu kodo estis donita al vi kiam vi malfermis vian konton.
Ŝtelisto:... mi perdis ĝin. Ĉu ĉi tio vere necesas? Ĉu vi ne povas simple aprobi la interkonsenton?
Kasisto: Ne. Pardonu, sinjoro Tressler. Denove, ĉi tiu estas la sekureca mezuro, kiun vi petis. Se vi volas, ni povas sendi novan PIN-kodon al via leterkesto.
Niaj herooj prokrastas la operacion. Ili subaŭskultas plurajn el la grandaj transakcioj de Tressler, esperante aŭdi la PIN; sed ĉiufoje kiam la konversacio fariĝas kodita babilaĵo antaŭ ol io interesa estas dirita. Fine, unu belan tagon, la plano efektiviĝas. Ili atendas pacience la momenton, kiam Tressler devas fari grandan transakcion telefone, li ekiras, kaj tiam...
Tressler: Saluton. Mi ŝatus plenumi foran transakcion, bonvolu.
Kasisto: Bonege. Bonvolu rigardi vian personan sekretan kodon libron, paĝon...
(La rompŝtelisto premas la butonon; la voĉo de la kasisto fariĝas nekomprenebla bruo).
Kasisto: - #@$#@$#*@$$@#* estos ĉifrita kun ĉi tiu vorto kiel la ŝlosilo. AAAYRR PLRQRZ MMNJK LOJBAN...
Tressler: Pardonu, mi ne tute komprenis. Denove? Sur kiu paĝo? Kia vorto?
Kasisto: Jen la paĝo @#$@#*$)#*#@()#@$(#@*$(#@*.
Tressler: Kio
Kasisto: Vorto numero dudek @$#@$#%#$.
Tressler: Serioze! Jam sufiĉas! Vi kaj via sekureca protokolo estas ia cirko. Mi scias, ke vi povas simple paroli kun mi normale.
Kasisto: Mi ne rekomendas…
Tressler: Kaj mi ne konsilas al vi perdi mian tempon. Mi ne volas aŭdi pli pri tio ĝis vi riparos viajn telefonliniajn problemojn. Ĉu ni povas fini ĉi tiun interkonsenton aŭ ne?
Kasisto:… Jes. Bone. Kion vi volas?
Tressler: Mi ŝatus transdoni $20 al Lord Business Investments, kontnumero...
Kasisto: Unu minuton, mi petas. Estas granda afero. Bonvolu provizi vian PIN por grandaj transakcioj.
Tressler: Kio? Ho, ĝuste. 1234.
Jen malsupreniĝa atako. La pli malforta protokolo "nur parolu rekte" estis antaŭvidita kiel opcio en kazo de krizo. Kaj tamen ĉi tie ni estas.
Vi eble scivolos, kiu en sia ĝusta menso desegnus veran "ŝrankon ĝis oni petas alie" sistemon kiel tiu ĉi supre priskribita. Sed same kiel fikcia banko riskas reteni klientojn, kiuj ne ŝatas kriptografion, la sistemoj ĝenerale ofte gravitas al postuloj indiferentaj aŭ eĉ tute malamikaj al sekureco.
Ĝuste tio okazis kun la protokolo SSLv2 en 1995. La usona registaro delonge komencis rigardi kriptografion kiel armilon, kiu estas plej bone konservita for de eksterlandaj kaj hejmaj malamikoj. Pecoj de kodo estis individue aprobitaj por eksporto de Usono, ofte kun la kondiĉo ke la algoritmo estis konscie malfortigita. Netscape, la programisto de la plej populara retumilo, Netscape Navigator, ricevis permeson por SSLv2 nur kun la propre vundebla 512-bita RSA-ŝlosilo (kaj 40-bita por RC4).
Antaŭ la fino de la jarmilo, la reguloj malstreĉiĝis kaj aliro al moderna ĉifrado iĝis vaste havebla. Tamen, klientoj kaj serviloj subtenis malfortigitan "eksportan" kriptografion dum jaroj pro la sama inercio kiu konservas subtenon por iu heredaĵsistemo. Klientoj kredis, ke ili eble renkontos servilon kiu ne subtenas ion alian. La serviloj faris same. Kompreneble, la SSL-protokolo diktas, ke klientoj kaj serviloj neniam uzu malfortan protokolon kiam pli bona estas disponebla. Sed la sama premiso validis por Tressler kaj lia banko.
Ĉi tiu teorio trovis sian vojon en du altprofilajn atakojn kiuj skuis la sekurecon de la SSL-protokolo en 2015, ambaŭ malkovritaj de Microsoft-esploristoj kaj . Unue, detaloj de la FREAK-atako estis malkaŝitaj en februaro, sekvitaj tri monatojn poste de alia simila atako nomita Logjam, kiun ni diskutos pli detale kiam ni pluiros al atakoj kontraŭ publika ŝlosila kriptografio.
Vundebleco (ankaŭ konata kiel "Smack TLS") aperis kiam esploristoj analizis TLS-klientajn/servilojn kaj malkovris kuriozan cimon. En ĉi tiuj efektivigoj, se la kliento eĉ ne petas uzi malfortan eksportan kriptografion, sed la servilo ankoraŭ respondas per tiaj ŝlosiloj, la kliento diras "Ho bone" kaj ŝanĝas al malforta ĉifro.
Tiutempe, eksporta kriptografio estis vaste konsiderita malmoderna kaj nelimigita, do la atako venis kiel kompleta ŝoko kaj influis multajn gravajn domajnojn, inkluzive de la Blanka Domo, IRS kaj NSA-ejoj. Eĉ pli malbone, rezultas, ke multaj vundeblaj serviloj optimumigis rendimenton reuzante la samajn ŝlosilojn prefere ol generi novajn por ĉiu sesio. Tio ebligis, post plialtiĝo de la protokolo, efektivigi antaŭ-komputilan atakon: krakado de unu ŝlosilo restis relative multekosta (100 USD kaj 12 horoj en la momento de la publikigo), sed la praktika kosto de atakado de la konekto estis signife reduktita. Sufiĉas elekti la servilan ŝlosilon unufoje kaj fendi la ĉifradon por ĉiuj postaj konektoj ekde tiu momento.
Kaj antaŭ ol ni antaŭeniras, estas unu progresinta atako, kiu devas esti menciita...
Orakola atako
plej konata kiel la patro de la transplatforma kripta mesaĝa programo Signal; sed ni persone ŝatas unu el liaj malpli konataj novigoj - (Kriptografia Pereo-Principo). Por parafrazi iomete, ni povas diri ĉi tion: "Se la protokolo plenumas iu ajn faras kriptografan operacion sur mesaĝo de eble malica fonto kaj kondutas alimaniere depende de la rezulto, ĝi estas kondamnita." Aŭ en pli akra formo: "Ne prenu informojn de la malamiko por prilaborado, kaj se vi devas, tiam almenaŭ ne montru la rezulton."
Ni lasu flanken bufro-superfluojn, ordonajn injektojn kaj similajn; ili estas ekster la amplekso de ĉi tiu diskuto. Malobservo de la "pereo-principo" kondukas al seriozaj kriptografiaj hakoj pro la fakto, ke la protokolo kondutas ĝuste kiel atendite.
Kiel ekzemplo, ni prenu fikcian dezajnon kun vundebla anstataŭiga ĉifro, kaj poste pruvu eblan atakon. Dum ni jam vidis atakon kontraŭ anstataŭiga ĉifro uzante frekvencanalizon, ĝi ne estas nur "alia maniero rompi la saman ĉifron." Male, orakolaj atakoj estas multe pli moderna invento, aplikebla al multaj situacioj, kie frekvenca analizo malsukcesas, kaj ni vidos pruvon pri tio en la sekva sekcio. Ĉi tie la simpla ĉifro estas elektita nur por igi la ekzemplon pli klara.
Do Alico kaj Bob komunikas per simpla anstataŭiga ĉifro uzante ŝlosilon konatan nur de ili. Ili estas tre striktaj pri la longeco de mesaĝoj: ili estas ekzakte 20 signojn longaj. Do ili konsentis, ke se iu volas sendi pli mallongan mesaĝon, li aldonu iun ŝajnan tekston al la fino de la mesaĝo por fari ĝin ekzakte 20 signoj. Post iom da diskuto, ili decidis, ke ili akceptos nur la jenajn falsajn tekstojn: a, bb, ccc, dddd ktp Tiel, ia teksto de ajna bezonata longo estas konata.
Kiam Alice aŭ Bob ricevas mesaĝon, ili unue kontrolas, ke la mesaĝo estas la ĝusta longo (20 signoj) kaj ke la sufikso estas la ĝusta falsa teksto. Se ĉi tio ne estas la kazo, tiam ili respondas per taŭga erarmesaĝo. Se la tekstolongo kaj imita teksto estas en ordo, la ricevanto legas la mesaĝon mem kaj sendas ĉifritan respondon.
Dum la atako, la atakanto parodias Bob kaj sendas falsajn mesaĝojn al Alice. La mesaĝoj estas kompleta sensencaĵo - la atakanto ne havas la ŝlosilon, kaj tial ne povas forĝi signifoplenan mesaĝon. Sed ĉar la protokolo malobservas la pereo-principon, atakanto ankoraŭ povas kapti Alice por malkaŝi la ŝlosilajn informojn, kiel montrite sube.
Ŝtelisto:
PREWF ZHJKL MMMN. LAAlice: Nevalida falsa teksto.
Ŝtelisto:
PREWF ZHJKL MMMN. LBAlice: Nevalida falsa teksto.
Ŝtelisto:
PREWF ZHJKL MMMN. LCAlice:
ILCT? TLCT RUWO PUT KCAW CPS OWPOW!
La rompŝtelisto havas neniun ideon kion Alico ĵus diris, sed notas ke la simbolo C devas korespondi a, ĉar Alico akceptis la falsan tekston.
Ŝtelisto:
REWF ZHJKL MMMN. LAAAlice: Nevalida falsa teksto.
Ŝtelisto:
REWF ZHJKL MMMN. LBBAlice: Nevalida falsa teksto.
Post kelkaj provoj...
Ŝtelisto:
REWF ZHJKL MMMN. LGGAlice: Nevalida falsa teksto.
Ŝtelisto:
REWF ZHJKL MMMN. LHHAlice:
TLQO JWCRO FQAW SUY LCR C OWQXYJW. IW PWWR TU TCFA CHUYT TLQO JWFCTQUPOLQZ.
Denove, la atakanto havas neniun ideon kion Alice ĵus diris, sed notas ke H devas egali b ĉar Alice akceptis la imitan tekston.
Kaj tiel plu ĝis la atakanto scios la signifon de ĉiu karaktero.
Unuavide, la metodo similas elektitan klartekstan atakon. En la fino, la atakanto elektas la ĉifrtekstojn, kaj la servilo obeeme prilaboras ilin. La ĉefa diferenco, kiu faras ĉi tiujn atakojn realigeblaj en la reala mondo, estas, ke la atakanto ne bezonas aliron al la reala transskribaĵo—servila respondo, eĉ unu tiel senkulpa kiel "Nevalida falsa teksto", sufiĉas.
Dum ĉi tiu speciala atako estas instrua, ne tro maltrankviliĝu pri la specifaĵoj de la "falsa teksto" skemo, la specifa kripta sistemo uzata aŭ la ĝusta sinsekvo de mesaĝoj senditaj de la atakanto. La baza ideo estas kiel Alicio reagas alimaniere surbaze de la trajtoj de la klarteksto, kaj faras tion sen kontroli ke la responda ĉifrteksto fakte venis de fidinda partio. Tiel, Alice permesas al la atakanto elpremi sekretajn informojn el ŝiaj respondoj.
Estas multo, kio povas esti ŝanĝita en ĉi tiu scenaro. La simboloj al kiuj Alico reagas, aŭ la diferenco en ŝia konduto, aŭ eĉ la kripta sistemo uzata. Sed la principo restos la sama, kaj la atako kiel tuto restos farebla en unu aŭ alia formo. La baza efektivigo de ĉi tiu atako helpis malkovri plurajn sekurecajn erarojn, kiujn ni rigardos baldaŭ; sed unue estas kelkaj teoriaj lecionoj por lerni. Kiel uzi ĉi tiun fikcian "Alice skripto" en atako kiu povas funkcii sur reala moderna ĉifro? Ĉu tio eĉ eblas, eĉ teorie?
En 1998, svisa kriptografo Daniel Bleichenbacher respondis jese ĉi tiun demandon. Li montris orakolan atakon kontraŭ la vaste uzata publika ŝlosila kriptsistemo RSA, uzante specifan mesaĝskemon. En kelkaj RSA-efektivigoj, la servilo respondas per malsamaj erarmesaĝoj depende ĉu la klarteksto kongruas kun la skemo aŭ ne; tio sufiĉis por efektivigi la atakon.
Kvar jarojn poste, en 2002, franca kriptografo Serge Vaudenay montris orakolatakon preskaŭ identan al tiu priskribita en la Alice-scenaro supre - krom ke anstataŭe de fikcia ĉifro, li rompis tutan estimindan klason de modernaj ĉifroj kiujn homoj fakte estas uzitaj. Aparte, la atako de Vaudenay celas fiksajn eniggrandecĉifrojn ("blokoĉifroj") kiam ili estas uzitaj en tielnomita "CBC-ĉifrada reĝimo" kaj kun certa populara remburaĵskemo, baze ekvivalenta al tiu en la Alice-scenaro.
Ankaŭ en 2002, usona kriptografo John Kelsey - kunaŭtoro — proponis diversajn orakolajn atakojn kontraŭ sistemoj, kiuj kunpremas mesaĝojn kaj poste ĉifras ilin. Plej rimarkinda inter tiuj estis atako kiu utiligis la fakton ke estas ofte eble konkludi la originan longon de la klarteksto el la longo de la ĉifrteksto. En teorio, tio enkalkulas orakolatakon kiu reakiras partojn de la origina klarteksto.
Malsupre ni provizas pli detalan priskribon de la Vaudenay kaj Kelsey-atakoj (ni donos pli detalan priskribon de la Bleichenbacher-atako kiam ni pluiros al atakoj kontraŭ publika ŝlosila kriptografio). Malgraŭ niaj plej bonaj klopodoj, la teksto fariĝas iom teknika; do se la supre sufiĉas por vi, transsaltu la sekvajn du sekciojn.
La atako de Vodene
Por kompreni la atakon de Vaudenay, ni unue devas paroli iom pli pri blokaj ĉifroj kaj ĉifradaj modoj. "Blokoĉifro" estas, kiel menciite, ĉifro kiu prenas ŝlosilon kaj enigaĵon de certa fiksa longo ("blokolongo") kaj produktas ĉifritan blokon de la sama longo. Blokoĉifroj estas vaste uzitaj kaj konsideritaj relative sekuraj. La nun emerita DES, konsiderita la unua moderna ĉifro, estis blokĉifro. Kiel menciite supre, la sama validas por AES, kiu estas vaste uzata hodiaŭ.
Bedaŭrinde, blokaj ĉifroj havas unu okulfrapan malforton. La tipa blokgrandeco estas 128 bitoj, aŭ 16 signoj. Evidente, moderna kriptografio postulas labori kun pli grandaj enirdatumoj, kaj ĉi tie eniras ĉifrajn reĝimojn. Ĉifrareĝimo estas esence hako: ĝi estas maniero iel apliki blokan ĉifron, kiu nur akceptas enigon de certa grandeco, al enigo de arbitra longo.
La atako de Vodene estas koncentrita sur la populara CBC (Cipher Block Chaining) maniero de operacio. La atako traktas la subesta blokĉifro kiel magian, nepenetreblan nigran skatolon kaj tute preteriras sian sekurecon.
Jen diagramo, kiu montras kiel funkcias CBC-reĝimo:
La rondigita pluso signifas la operacion XOR (ekskluziva OR). Ekzemple, la dua bloko de ĉifrteksto estas ricevita:
- Farante XOR-operacion sur la dua klartekstobloko kun la unua ĉifrteksta bloko.
- Ĉifrado de la rezulta bloko per bloka ĉifro uzante ŝlosilon.
Ĉar CBC faras tiel pezan uzon de la binara XOR-operacio, ni prenu momenton por memori kelkajn el ĝiaj trajtoj:
- Idempotenco:
- Komutateco:
- Asocieco:
- Mem-reversebleco:
- Grando de bajto: bajto n de = (bajto n de ) (bajto n de )
Tipe, tiuj trajtoj implicas ke se ni havas ekvacion implikantan XOR-operaciojn kaj unu nekonataĵon, ĝi povas esti solvita. Ekzemple, se ni scias tion kun la nekonataĵo kaj fama и , tiam ni povas fidi je la supre menciitaj ecoj por solvi la ekvacion por . Aplikante XOR sur ambaŭ flankoj de la ekvacio kun , ni ricevas . Ĉi tio ĉio fariĝos tre grava en momento.
Estas du negravaj diferencoj kaj unu grava diferenco inter nia Alice-scenaro kaj la atako de Vaudenay. Du etaj:
- En la manuskripto, Alice atendis klartekstojn finiĝi kun la karakteroj
a,bb,ccckaj tiel plu. En la Wodene-atako, la viktimo anstataŭe atendas ke la klartekstoj finiĝos N fojojn kun la N bajto (t.e., deksesuma 01 aŭ 02 02, aŭ 03 03 03, ktp). Ĉi tio estas nur kosmetika diferenco. - En la scenaro de Alice, estis facile diri ĉu Alico akceptis la mesaĝon per la respondo "Malĝusta falsa teksto." En la atako de Vodene necesas pli da analizo kaj gravas preciza efektivigo flanke de la viktimo; sed pro koncizeco, ni prenu kiel donitan, ke ĉi tiu analizo ankoraŭ eblas.
Ĉefa diferenco:
- Ĉar ni ne uzas la saman kriptosistemon, la rilato inter la atakanto-kontrolitaj ĉifrtekstobajtoj kaj la sekretoj (ŝlosilo kaj klarteksto) evidente estos malsama. Sekve, la atakanto devos uzi malsaman strategion dum kreado de ĉifraĵoj kaj interpretado de servilaj respondoj.
Ĉi tiu grava diferenco estas la fina peco de la enigmo por kompreni la Vaudenay-atakon, do ni prenu momenton por pripensi kial kaj kiel orakola atako kontraŭ CBC povas esti muntita en la unua loko.
Supozu, ke ni ricevas CBC-ĉifrtekston de 247 blokoj, kaj ni volas deĉifri ĝin. Ni povas sendi falsajn mesaĝojn al la servilo, same kiel ni povus sendi falsajn mesaĝojn al Alice antaŭe. La servilo deĉifris la mesaĝojn por ni, sed ne montros la deĉifradon - anstataŭe, denove, kiel ĉe Alicio, la servilo raportos nur unu peceton da informo: ĉu la klarteksto havas validan kompletigo aŭ ne.
Konsideru, ke en la scenaro de Alice ni havis la jenajn rilatojn:
$$montro$$teksto{SIMPLE_SUBSTITUTION}(teksto{ĉifrteksto},teksto{ŝlosilo}) = teksto{plaintext}$$montri$$
Ni nomu tion "ekvacio de Alico." Ni kontrolis la ĉifrtekston; la servilo (Alico) likis malklarajn informojn pri la ricevita klarteksto; kaj tio permesis al ni dedukti informojn pri la lasta faktoro - la ŝlosilo. Analogie, se ni povas trovi tian konekton por la CBC-skripto, ni eble povos ĉerpi iujn sekretajn informojn ankaŭ tie.
Feliĉe, vere ekzistas rilatoj, kiujn ni povas uzi. Konsideru la eligon de la fina voko por deĉifri blokan ĉifron kaj indiki ĉi tiun eligon kiel . Ni ankaŭ indikas blokojn de klarteksto kaj ĉifrtekstaj blokoj . Rigardu la CBC-diagramon kaj rimarku, kio okazas:
Ni nomu tion la "CBC-ekvacio".
En la scenaro de Alice, monitorante la ĉifrtekston kaj rigardante la respondan klartekston likon, ni povis aranĝi atakon kiu reakiris la trian terminon en la ekvacio—la ŝlosilo. En la CBC-scenaro, ni ankaŭ kontrolas la ĉifrtekston kaj observas informojn pri la responda klarteksto. Se la analogio validas, ni povas akiri informojn pri .
Ni supozu, ke ni vere restarigis , kio do? Nu, tiam ni povas tuj presi la tutan lastan blokon de klarteksto (), simple enirante (kiun ni havas) kaj
ricevita en la CBC-ekvacion.
Nun kiam ni estas optimismaj pri la ĝenerala plano de atako, estas tempo ellabori la detalojn. Bonvolu atenti precize kiel klarteksta informo estas likita sur la servilo. En la skripto de Alico, la liko okazis ĉar Alico nur respondus per la ĝusta mesaĝo se $inline$text{SIMPLE_SUBSTITUTION}(text{ciphertext},text{key})$inline$ finiĝos per la linio a (aŭ bb, kaj tiel plu, sed la ŝancoj de ĉi tiuj kondiĉoj esti ekigitaj hazarde estis tre malgrandaj). Simile al CBC, la servilo akceptas la kompletigo se kaj nur se finiĝas per deksesuma 01. Do ni provu la saman lertaĵon: sendi falsajn ĉifraĵojn kun niaj propraj falsaj valoroj ĝis la servilo akceptos la plenigon.
Kiam la servilo akceptas remburaĵon por unu el niaj falsaj mesaĝoj, tio signifas:
Nun ni uzas la bajtan bajtan posedaĵon XOR:
Ni konas la unuan kaj trian terminojn. Kaj ni jam vidis, ke tio ebligas al ni reakiri la restantan terminon - la lastan bajton el :
Ĉi tio ankaŭ donas al ni la lastan bajton de la fina klarteksta bloko per la CBC-ekvacio kaj la bajto-post-bajta posedaĵo.
Ni povus lasi ĝin tiel kaj esti kontentaj, ke ni faris atakon kontraŭ teorie forta ĉifro. Sed fakte ni povas fari multe pli: ni efektive povas reakiri la tutan tekston. Ĉi tio postulas lertaĵon kiu ne estis en la originala skripto de Alico kaj ne estas postulata por la orakola atako, sed ĝi ankoraŭ indas lerni.
Por kompreni ĝin, unue notu, ke la rezulto de eligo de la ĝusta valoro de la lasta bajto estas ni havas novan kapablon. Nun, dum forĝado de ĉifrtekstoj, ni povas manipuli la lastan bajton de la responda klarteksto. Denove, tio rilatas al la CBC-ekvacio kaj la bajto-post-bajta posedaĵo:
Ĉar ni nun konas la duan terminon, ni povas uzi nian kontrolon super la unua por kontroli la trian. Ni simple kalkulas:
Ni ne povis fari ĉi tion antaŭe ĉar ni ankoraŭ ne havis la lastan bajton .
Kiel ĉi tio helpos nin? Supozu, ke ni nun kreas ĉiujn ĉifrotekstojn tiajn, ke en la respondaj klartekstoj la lasta bajto estas egala al 02. La servilo nun akceptas kompletigo nur se la klarteksto finiĝas per 02 02. Ĉar ni korektis la lastan bajton, tio okazos nur se la antaŭlasta bajto de la klarteksto ankaŭ estas 02. Ni daŭre sendas falsajn ĉifrotekstajn blokojn, ŝanĝante la antaŭlastan bajton, ĝis la servilo akceptas la kompletigo por unu el ili. Je ĉi tiu punkto ni ricevas:
Kaj ni restarigas la antaŭlastan bajton same kiel la lasta estis restarigita. Ni daŭrigas en la sama spirito: ni korektas la lastajn du bajtojn de la klarteksto al 03 03, ni ripetas ĉi tiun atakon por la tria bajto de la fino kaj tiel plu, finfine tute restarigante .
Kio pri la resto de la teksto? Bonvolu noti, ke la valoro estas fakte $enline$text{BLOCK_DECRYPT}(teksto{key},C_{247})$enline$. Ni povas meti ajnan alian blokon anstataŭe , kaj la atako ankoraŭ sukcesos. Fakte, ni povas peti la servilon fari $inline$text{BLOCK_DECRYPT}$inline$ por ajna datumo. Je ĉi tiu punkto, la ludo finiĝis - ni povas deĉifri ajnan ĉifrtekston (pririgardu la deĉifradan diagramon de CBC por vidi ĉi tion; kaj notu, ke la IV estas publika).
Ĉi tiu aparta metodo ludas decidan rolon en la orakola atako, kiun ni poste renkontos.
La atako de Kelsey
Nia afabla John Kelsey elmetis la principojn subestajn multajn eblajn atakojn, ne nur la detalojn de specifa atako kontraŭ specifa ĉifro. Lia estas studo de eblaj atakoj kontraŭ ĉifritaj kunpremitaj datumoj. Ĉu vi pensis, ke la informo, ke la datumoj estis kunpremitaj antaŭ ĉifrado, ne sufiĉas por fari atakon? Montriĝas, ke tio sufiĉas.
Ĉi tiu surpriza rezulto ŝuldiĝas al du principoj. Unue, ekzistas forta korelacio inter la longo de la klarteksto kaj la longo de la ĉifrteksto; por multaj ĉifroj ekzakta egaleco. Due, kiam kunpremado estas farita, ekzistas ankaŭ forta korelacio inter la longo de la kunpremita mesaĝo kaj la grado de "bruo" de la klarteksto, tio estas, la proporcio de ne-ripetantaj signoj (la teknika termino estas "alta entropio" ).
Por vidi la principon en ago, konsideru du klartekstojn:
Klara teksto 1:
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAKlara teksto 2:
ATVXCAGTRSVPTVVULSJQHGEYCMQPCRQBGCYIXCFJGJ
Ni supozu, ke ambaŭ klartekstoj estas kunpremitaj kaj poste ĉifritaj. Vi ricevas du rezultajn ĉifrtekstojn kaj devas diveni kiu ĉifroteksto kongruas kun kiu klarteksto:
Ĉifrteksto 1:
PVOVEYBPJDPVANEAWVGCIUWAABCIYIKOOURMYDTAĈifrteksto 2:
DWKJZXYU
La respondo estas klara. Inter la klartekstoj, nur klarteksto 1 povus esti kunpremita en la magran longon de la dua ĉifrteksto. Ni eltrovis ĉi tion sen scii ion pri la kunprema algoritmo, la ĉifrada ŝlosilo aŭ eĉ la ĉifro mem. Kompare kun la hierarkio de eblaj ĉifrikaj atakoj, ĉi tio estas iom freneza.
Kelsey plue substrekas ke sub certaj nekutimaj cirkonstancoj tiu principo ankaŭ povas esti uzita por aranĝi orakolan atakon. Aparte, ĝi priskribas kiel atakanto povas reakiri la sekretan klartekston se li povas devigi la servilon ĉifri la formularajn datumojn (la klarteksto sekvita de dum li regas kaj povas iel kontroli la longecon de la ĉifrita rezulto.
Denove, kiel aliaj orakolatakoj, ni havas la rilaton:
Denove, ni kontrolas unu terminon (), ni vidas etan likon de informoj pri alia membro (ĉifrteksto) kaj provas reakiri la lastan (klarteksto). Malgraŭ la analogio, ĉi tio estas iom nekutima situacio kompare kun aliaj oraklaj atakoj, kiujn ni vidis.
Por ilustri kiel tia atako povus funkcii, ni uzu fikcian kunpremadskemon, kiun ni ĵus elpensis: TOYZIP. Ĝi serĉas liniojn de teksto, kiuj antaŭe aperis en la teksto kaj anstataŭigas ilin per tri lokokupilo-bajtoj kiuj indikas kie trovi pli fruan ekzemplon de la linio kaj kiomfoje ĝi aperas tie. Ekzemple, la linio helloworldhello povas esti kunpremita en helloworld[00][00][05] 13 bajtoj longa kompare kun la originaj 15 bajtoj.
Supozu, ke atakanto provas reakiri la klartekston de formo password=..., kie la pasvorto mem estas nekonata. Laŭ la atakmodelo de Kelsey, atakanto povus peti al la servilo kunpremi kaj tiam ĉifri formajn mesaĝojn (klarteksto sekvita de ), kie - libera teksto. Kiam la servilo finfunkciis, ĝi raportas la longecon de la rezulto. La atako iras jene:
Ŝtelisto: Bonvolu kunpremi kaj ĉifri la klartekston sen ia kompletigo.
Servilo: Longo de la rezulto 14.
Ŝtelisto: Bonvolu kunpremi kaj ĉifri la klartekston al kiu estas almetita
password=a.Servilo: Longo de la rezulto 18.
La krakaĵo notas: [originalo 14] + [tri bajtoj kiuj anstataŭigis password=] + a
Ŝtelisto: Bonvolu kunpremi kaj ĉifri la klartekston al kiu estas aldonita
password=b.Servilo: Longo de la rezulto 18.
Ŝtelisto: Bonvolu kunpremi kaj ĉifri la klartekston al kiu estas aldonita
password=с.Servilo: Longo de la rezulto 17.
La krakaĵo notas: [originalo 14] + [tri bajtoj kiuj anstataŭigis password=c]. Ĉi tio supozas ke la origina klarteksto enhavas la ĉenon password=c. Tio estas, la pasvorto komenciĝas per litero c
Ŝtelisto: Bonvolu kunpremi kaj ĉifri la klartekston al kiu estas aldonita
password=сa.Servilo: Longo de la rezulto 18.
La krakaĵo notas: [originalo 14] + [tri bajtoj kiuj anstataŭigis password=с] + a
Ŝtelisto: Bonvolu kunpremi kaj ĉifri la klartekston al kiu estas aldonita
password=сb.Servilo: Longo de la rezulto 18.
(… Iom da tempo poste…)
Ŝtelisto: Bonvolu kunpremi kaj ĉifri la klartekston al kiu estas aldonita
password=со.Servilo: Longo de la rezulto 17.
La krakaĵo notas: [originalo 14] + [tri bajtoj kiuj anstataŭigis password=co]. Uzante la saman logikon, la atakanto konkludas, ke la pasvorto komenciĝas per la literoj co
Kaj tiel plu ĝis la tuta pasvorto estos restarigita.
La leganto estus pardonita, ke li pensis, ke tio estas pure akademia ekzerco kaj ke tia atakscenaro neniam estiĝos en la reala mondo. Ve, kiel ni baldaŭ vidos, estas pli bone ne rezigni pri kriptografio.
Markaj vundeblecoj: KRIMO, POODLE, DRONO
Fine, detale studinte la teorion, ni povas vidi kiel ĉi tiuj teknikoj estas aplikataj en realaj kriptaj atakoj.
KRIMO
Se la atako celas la retumilon kaj reton de la viktimo, iuj estos pli facilaj kaj iuj pli malfacilaj. Ekzemple, estas facile vidi la trafikon de la viktimo: simple sidu kun li en la sama kafejo kun WiFi. Tial, eblaj viktimoj (t.e. ĉiuj) estas ĝenerale konsilitaj uzi ĉifritan konekton. Estos pli malfacile, sed ankoraŭ eble, fari HTTP-petojn nome de la viktimo al iu triaparta retejo (ekzemple, Guglo). La atakanto devas logi la viktimon al malica retpaĝo kun skripto, kiu faras la peton. La TTT-legilo aŭtomate disponigos la respondan sean kuketon.
Ĉi tio ŝajnas mirinda. Se Bob irus al evil.com, ĉu la skripto en ĉi tiu retejo povus simple peti Guglon retpoŝti la pasvorton de Bob al [email protected]? Nu, teorie jes, sed reale ne. Ĉi tiu scenaro nomiĝas trans-eja peta falsa atako (, CSRF), kaj ĝi estis populara ĉirkaŭ la mez-90-aj jaroj. Hodiaŭ se evil.com provas ĉi tiun lertaĵon, Guglo (aŭ iu ajn memrespekta retejo) kutime respondos per, "Bonege, sed via CSRF-ĵetono por ĉi tiu transakcio estos... um... три триллиона и семь. Bonvolu ripeti ĉi tiun numeron." Modernaj retumiloj havas ion nomatan "sam-devena politiko" per kio skriptoj en la retejo A ne havas aliron al informoj senditaj de retejo B. Do la skripto sur evil.com povas sendi petojn al google.com, sed ne povas legi la respondojn aŭ efektive kompletigi la transakcion.
Ni devas emfazi, ke krom se Bob uzas ĉifritan konekton, ĉiuj ĉi tiuj protektoj estas sensignifaj. Atakanto povas simple legi la trafikon de Bob kaj reakiri la seankuketon de Guglo. Kun ĉi tiu kuketo, li simple malfermos novan Guglo-langeton sen forlasi sian propran retumilon kaj personigos Bob sen renkonti ĝenajn samdevenajn politikojn. Sed, bedaŭrinde por rompŝtelisto, ĉi tio fariĝas malpli kaj malpli ofta. La interreto entute longe deklaris militon kontraŭ neĉifritaj konektoj, kaj la elira trafiko de Bob verŝajne estas ĉifrita, ĉu li ŝatas ĝin aŭ ne. Krome, ekde la komenco mem de la efektivigo de la protokolo, trafiko estis ankaŭ ŝrumpis antaŭ ĉifrado; tio estis ofta praktiko redukti latentecon.
Jen kie ĝi venas en ludon (Compression Ratio Infoleak Made Easy, simpla elfluo tra la kunprema proporcio). La vundebleco estis rivelita en septembro 2012 fare de sekurecaj esploristoj Juliano Rizzo kaj Thai Duong. Ni jam ekzamenis la tutan teorian bazon, kiu ebligas al ni kompreni kion ili faris kaj kiel. Atakanto povus devigi la retumilon de Bob sendi petojn al Guglo kaj poste aŭskulti la respondojn en la loka reto en kunpremita, ĉifrita formo. Tial ni havas:
Ĉi tie la atakanto kontrolas la peton kaj havas aliron al la trafika snufilo, inkluzive de la paka grandeco. La fikcia scenaro de Kelsey viviĝis.
Komprenante la teorion, la aŭtoroj de KRIMO kreis ekspluatadon, kiu povas ŝteli sesiajn kuketojn por larĝa gamo de retejoj, inkluzive de Gmail, Twitter, Dropbox kaj Github. La vundebleco influis la plej multajn modernajn TTT-legilojn, rezultigante diakilojn, kiuj silente enterigis la kunpreman funkcion en SSL, por ke ĝi tute ne estu uzata. La sola protektita kontraŭ la vundebleco estis la respektinda Interreta Esplorilo, kiu neniam uzis SSL-kunpremadon.
POODLE
En oktobro 2014, la sekureca teamo de Google faris ondojn en la sekureca komunumo. Ili povis ekspluati vundeblecon en la SSL-protokolo, kiu estis flikita antaŭ pli ol dek jaroj.
Montriĝas, ke dum la serviloj funkcias la brilan novan TLSv1.2, multaj forlasis subtenon por la heredaĵo SSLv3 por retrokongruo kun Interreto Explorer 6. Ni jam parolis pri malaltgradaj atakoj, do vi povas imagi kio okazas. Bone reĝisorita sabotado de la manprema protokolo kaj la serviloj estas pretaj reveni al bona malnova SSLv3, esence malfarante la lastajn 15 jarojn da sekureca esplorado.
Por historia kunteksto, :
Transport Layer Security (TLS) estas la plej grava sekureca protokolo en la Interreto. [..] preskaŭ ĉiu transakcio, kiun vi faras en la Interreto, dependas de TLS. [..] Sed TLS ne ĉiam estis TLS. La protokolo komencis sian vivon en nomita "Secure Sockets Layer" aŭ SSL. Onidiro diras, ke la unua versio de SSL estis tiel terura, ke la programistoj kolektis ĉiujn printaĵojn de la kodo kaj enterigis ilin en sekreta rubodeponejo en Nov-Meksiko. Sekve, la unua publike havebla versio de SSL estas fakte . Ĝi estas sufiĉe timiga, kaj [..] ĝi estis produkto de la mez-90-aj jaroj, kiun modernaj kriptografoj rigardas kiel "" Multaj el la plej abomenaj ĉifrikaj atakoj, pri kiuj ni konas hodiaŭ, ankoraŭ ne estis malkovritaj. Kiel rezulto, la programistoj de la protokolo SSLv2 estis esence lasitaj palpi sian vojon en la mallumo, kaj ili alfrontis - al ilia ĉagreno kaj nia profito, ĉar la atakoj kontraŭ SSLv2 lasis netakseblajn lecionojn por la venonta generacio de protokoloj.
Sekvante tiujn okazaĵojn, en 1996, frustrita Netscape restrukturis la SSL-protokolon de komence. La rezulto estis SSL-versio 3, kiu .
Feliĉe por rompŝtelistoj, "kelkaj" ne signifas "ĉiuj". Ĝenerale, SSLv3 disponigis ĉiujn necesajn konstrubriketojn por lanĉi Vodene-atakon. La protokolo uzis CBC-reĝiman blokĉifron kaj nesekuran remburaĵskemon (ĉi tio estis korektita en TLS; tial la bezono de plialtiĝo-atako). Se vi memoras la kompletigan skemon en nia originala priskribo de la Vaudenay-atako, la SSLv3-skemo estas tre simila.
Sed, bedaŭrinde por rompŝtelistoj, "simila" ne signifas "identa". La remburaĵskemo de SSLv3 estas "N hazardaj bajtoj sekvataj de la nombro N". Provu, sub ĉi tiuj kondiĉoj, elekti imagan blokon de ĉifrteksto kaj trairi ĉiujn paŝojn de la originala skemo de Vaudene: vi trovos, ke la atako sukcese ĉerpas la lastan bajton el la responda bloko de klarteksto, sed ne iras plu. Malĉifri ĉiun 16-an bajton de la ĉifroteksto estas bonega lertaĵo, sed ĝi ne estas venko.
Fronte al malsukceso, la Guglo-teamo frekventis lasta rimedo: ili ŝanĝis al pli potenca minaca modelo - tiu uzata en KRIMO. Supozante, ke la atakanto estas skripto kuranta en la retumilo de la viktimo kaj povas ĉerpi sesiajn kuketojn, la atako ankoraŭ estas impresa. Dum la pli larĝa minaca modelo estas malpli realisma, ni vidis en la antaŭa sekcio, ke ĉi tiu aparta modelo estas farebla.
Konsiderante ĉi tiujn pli potencajn atakkapablojn, la atako nun povas daŭri. Notu, ke la atakanto scias kie la ĉifrita sesiokuketo aperas en la kaplinio kaj kontrolas la longecon de la HTTP-peto antaŭ ĝi. Tial, ĝi kapablas manipuli la HTTP-peton tiel ke la lasta bajto de la kuketo estu vicigita kun la fino de la bloko. Nun ĉi tiu bajto taŭgas por deĉifrado. Vi povas simple aldoni unu signon al la peto, kaj la antaŭlasta bajto de la kuketo restos en la sama loko kaj taŭgas por elekto per la sama metodo. La atako daŭras tiamaniere ĝis la kuketa dosiero estas tute restarigita. Ĝi nomiĝas POODLE: Padding Oracle on Downgraded Legacy Encryption.
DRONO
Kiel ni menciis, SSLv3 havis siajn difektojn, sed ĝi estis fundamente diferenca de sia antaŭulo, ĉar la lika SSLv2 estis produkto de malsama epoko. Tie vi povus interrompi la mesaĝon en la mezo: соглашусь на это только через мой труп turniĝis en соглашусь на это; la kliento kaj servilo povus renkonti interrete, establi fidon kaj interŝanĝi sekretojn antaŭ la atakanto, kiu tiam povus facile parodii ambaŭ. Ankaŭ ekzistas la problemo pri eksporta kriptografio, kiun ni menciis kiam ni konsideras FREAK. Ĉi tiuj estis kriptografikaj Sodomo kaj Gomora.
En marto 2016, teamo de esploristoj de malsamaj teknikaj kampoj kunvenis kaj faris surprizan malkovron: SSLv2 daŭre estas uzata en sekurecaj sistemoj. Jes, atakantoj ne plu povis malaltigi modernajn TLS-sesiojn al SSLv2 ĉar tiu truo estis fermita post FREAK kaj POODLE, sed ili ankoraŭ povas konektiĝi al serviloj kaj iniciati SSLv2-sesiojn mem.
Vi eble demandos, kial ni zorgas pri tio, kion ili faras tie? Ili havas vundeblan kunsidon, sed ĝi ne devus influi aliajn sesiojn aŭ la sekurecon de la servilo - ĉu ne? Nu, ne tute. Jes, tiel devus esti en teorio. Sed ne - ĉar generi SSL-atestilojn trudas certan ŝarĝon, rezultigante multajn servilojn uzantajn la samajn atestojn kaj, kiel rezulto, la samajn RSA-ŝlosilojn por TLS kaj SSLv2-konektoj. Por plimalbonigi la aferojn, pro cimo de OpenSSL, la opcio "Malŝalti SSLv2" en ĉi tiu populara efektivigo de SSL fakte ne funkciis.
Ĉi tio ebligis transprotokolan atakon sur TLS, nomita (Malĉifri RSA kun Malnoviĝinta kaj Malfortigita eEncryption, malĉifri RSA kun malnoviĝinta kaj malfortigita ĉifrado). Memoru, ke ĉi tio ne estas la sama kiel mallonga atako; la atakanto ne bezonas agi kiel "viro en la mezo" kaj ne bezonas impliki la klienton por partopreni en nesekura sesio. Atakantoj simple iniciatas nesekuran SSLv2-sesion kun la servilo mem, atakas la malfortan protokolon kaj reakiras la privatan ŝlosilon RSA de la servilo. Ĉi tiu ŝlosilo ankaŭ validas por TLS-konektoj, kaj de ĉi tiu punkto, neniu kvanto da TLS-sekureco malhelpos ĝin esti endanĝerigita.
Sed por rompi ĝin, vi bezonas laboran atakon kontraŭ SSLv2, kiu ebligas al vi reakiri ne nur specifan trafikon, sed ankaŭ la sekretan RSA-servilan ŝlosilon. Kvankam ĉi tio estas kompleksa aranĝo, la esploristoj povus elekti ajnan vundeblecon, kiu estis tute fermita post SSLv2. Ili fine trovis taŭgan eblon: la atako de Bleichenbacher, kiun ni antaŭe menciis kaj kiun ni klarigos detale en la sekva artikolo. SSL kaj TLS estas protektitaj kontraŭ ĉi tiu atako, sed iuj hazardaj trajtoj de SSL, kombinitaj kun mallongaj ŝlosiloj en eksport-grada kriptografio, ebligis ĝin. .
En la momento de la publikigo, 25% de la ĉefaj retejoj de Interreto estis trafitaj de la DROWN-vunerebleco, kaj la atako povus esti farita per modestaj rimedoj disponeblaj por eĉ petolaj solaj piratoj. Preni la RSA-ŝlosilon de la servilo postulis ok horojn da komputado kaj 440 USD, kaj SSLv2 iris de malnoviĝinta al radioaktiva.
Atendu, kio pri Heartbleed?
Ĉi tio ne estas ĉifrika atako en la senco priskribita supre; Ĉi tio estas bufra superfluo.
Ni faru paŭzon
Ni komencis per kelkaj bazaj teknikoj: krudforto, interpolado, malaltigo, krucprotokolo kaj antaŭkomputado. Tiam ni rigardis unu altnivelan teknikon, eble la ĉefan komponanton de modernaj kriptaj atakoj: la orakola atako. Ni pasigis sufiĉe da tempo eltrovi ĝin - kaj komprenis ne nur la suban principon, sed ankaŭ la teknikajn detalojn de du specifaj efektivigoj: la Vaudenay-atako kontraŭ la CBC-ĉifrada reĝimo kaj la Kelsey-atako kontraŭ antaŭ-kunpremaj ĉifradaj protokoloj.
Reviziante malsuperigajn kaj antaŭkomputajn atakojn, ni mallonge skizis la FREAK-atakon, kiu uzas ambaŭ metodojn, havante celajn retejojn malgradigi al malfortaj ŝlosiloj kaj poste reuzi la samajn ŝlosilojn. Por la sekva artikolo, ni konservos la (tre similan) Logjam-atakon, kiu celas publikŝlosilajn algoritmojn.
Ni tiam rigardis tri pliajn ekzemplojn de la apliko de ĉi tiuj principoj. Unue, KRIMO kaj POODLE: du atakoj kiuj dependis de la kapablo de la atakanto injekti arbitran klartekston apud la cela klarteksto, tiam ekzameni la respondojn de la servilo kaj tiam,uzante orakolan atakmetodaron, ekspluatu ĉi tiun malabundan informon por,parte reakiri la klartekston. KRIMO iris la vojon de la atako de Kelsey sur SSL-kunpremado, dum POODLE anstataŭe uzis variaĵon de la atako de Vaudenay sur CBC kun la sama efiko.
Ni tiam turnis nian atenton al la transprotokola DROWN-atako, kiu establas konekton al la servilo uzante la heredan SSLv2-protokolon kaj poste reakiras la sekretajn ŝlosilojn de la servilo per la Bleichenbacher-atako. Ni transsaltis la teknikajn detalojn de ĉi tiu atako nuntempe; kiel Logjam, ĝi devos atendi ĝis ni havos bonan komprenon pri publika ŝlosilo kriptosistemoj kaj iliaj vundeblecoj.
En la sekva artikolo ni parolos pri altnivelaj atakoj kiel renkontiĝo-en-la-mezo, diferenciga kriptanalizo kaj naskiĝtagaj atakoj. Ni faru rapidan ekskurson en flankajn kanalajn atakojn, kaj poste transiru al la amuza parto: kriptosistemoj pri publika ŝlosilo.
fonto: www.habr.com