"Kriptografia" hitza entzuten duzunean, pertsona batzuek euren WiFi pasahitza gogoratzen dute, gogoko webgunearen helbidearen ondoan dagoen giltzarrapo berdea eta zein zaila den beste norbaiten posta elektronikora sartzea. Beste batzuek azken urteotan ahultasun sorta bat gogoratzen dute laburdura adierazgarriekin (ITOTOA, FREAK, POODLE...), logotipo dotoreak eta nabigatzailea premiazko eguneratzeko abisu batekin.
Kriptografiak dena estaltzen du, baina esentzia beste batean. Kontua da sinple eta konplexuaren arteko muga fin bat dagoela. Gauza batzuk erraz egiten dira, baina zailak dira berriro elkartzea, arrautza bat apurtzea adibidez. Beste gauza batzuk erraz egiten dira, baina zaila da itzultzea atal txiki, garrantzitsu eta erabakigarri bat falta denean: adibidez, giltzapeko atea irekitzea "zati erabakigarria" gakoa denean. Kriptografiak egoera horiek eta praktikan nola erabil daitezkeen aztertzen du.
Azken urteotan, eraso kriptografikoen bilduma logo distiratsuz osatutako zoo bihurtu da, paper zientifikoetako formulez beteta, eta dena hautsita dagoelako sentsazio goibel orokor bat sortu du. Baina, egia esan, eraso asko printzipio orokor batzuetan oinarritzen dira, eta formula orri amaigabeak ulerterrazak diren ideietara laburtu ohi dira.
Artikulu sorta honetan, eraso kriptografiko mota desberdinak aztertuko ditugu, oinarrizko printzipioak azpimarratuz. Termino orokorrean eta ez zehatz-mehatz ordena honetan, baina honako hauek landuko ditugu:
- Oinarrizko estrategiak: indar gordina, maiztasun-analisia, interpolazioa, beherakada eta protokolo gurutzatuak.
- Markako ahultasunak: FREAK, CRIME, POODLE, DROWN, Logjam.
- Estrategia aurreratuak: orakulu erasoak (Vodenet erasoa, Kelsey erasoa); topaketa-erdian-metodoa, urtebetetze erasoa, alborapen estatistikoa (kriptoanalisi diferentziala, kriptaanalisi integrala, etab.).
- Alboko kanalen erasoak eta haien hurbileko ahaideak, porrotak aztertzeko metodoak.
- Gako publikoen kriptografiaren aurkako erasoak: erro kuboa, emisioa, erlazionatutako mezua, Coppersmith-en erasoa, Pohlig-Hellman algoritmoa, zenbaki bahea, Wiener-en erasoa, Bleichenbacher-en erasoa.
Artikulu zehatz honek goiko materiala estaltzen du Kelseyren erasora arte.
Oinarrizko Estrategiak
Hurrengo erasoak sinpleak dira, xehetasun tekniko handirik gabe ia erabat azal daitezkeen zentzuan. Azal ditzagun eraso mota bakoitza termino errazenetan, adibide konplexuetan edo erabilera-kasu aurreratuetan sartu gabe.
Eraso horietako batzuk zaharkituta geratu dira neurri handi batean eta urte asko daramatzate erabili gabe. Beste batzuk 21. mendean oraindik ere ustekabeko kriptosistemen garatzaileengana jotzen duten zaharrak dira. Kriptografia modernoaren aroa IBM DES-ren etorrerarekin hasi zela kontsidera daiteke, zerrenda honetako eraso guztiei aurre egin zien lehen zifratua.
Indar gordina sinplea
Zifratze-eskemak bi zati ditu: 1) enkriptazio-funtzioa, mezu bat (testu arrunta) gako batekin konbinatuta hartzen duena, eta gero mezu enkriptatu bat sortzen du - testu zifratua; 2) deszifratze-funtzioa, zifratutako testua eta gakoa hartzen dituena eta testu arrunta sortzen duena. Enkriptatzea eta deszifratzea gakoarekin erraz kalkulatzeko eta hura gabe zailak izan behar dira.
Demagun testu zifratua ikusten dugula eta informazio gehigarririk gabe deszifratzen saiatzen garela (testu zifratuaren soilik erasoa deitzen zaio). Nolabait magiaz aurkitzen badugu gako zuzena, erraz egiazta genezake zuzena dela emaitza arrazoizko mezua bada.
Kontuan izan hemen bi hipotesi inplizitu daudela. Lehenik eta behin, deszifratzea nola egin dakigu, hau da, kriptosistemak nola funtzionatzen duen. Hau suposizio estandarra da kriptografiari buruz hitz egiten denean. Erasotzaileei zifratuaren ezarpen-xehetasunak ezkutatzeak segurtasun-neurri gehigarri bat dirudi, baina erasotzaileak xehetasun horiek konturatzen dituenean, segurtasun gehigarri hori isil-isilik eta atzeraezin galduko da. Horrela : etsaien eskuetan erortzeak ez luke eragozpenik sortu behar.
Bigarrenik, gako zuzena zentzuzko deszifraketa ekarriko duen gako bakarra dela suposatzen dugu. Hau ere arrazoizko hipotesi bat da; ase egiten da testu zifratua gakoa baino askoz luzeagoa bada eta irakurgarria bada. Hau da normalean mundu errealean gertatzen dena, izan ezik edo (Azalpena saltatu dugu hori gustatzen ez bazaizu, ikusi 3.8 teorema ).
Aurrekoa kontuan hartuta, estrategia bat sortzen da: egiaztatu posible diren gako guztiak. Indar gordina deritzo horri, eta horrelako eraso batek zifratze praktiko guztien aurka funtzionatuko duela bermatuta dago, azkenean. Adibidez, indar gordina nahikoa da hackeatzeko , antzinako zifra bat non gakoa alfabetoko letra bat den, 20 gako posible baino gehiago suposatzen duena.
Zoritxarrez kriptoanalistentzat, gakoaren tamaina handitzea indar gordinaren aurkako defentsa ona da. Teklaren tamaina handitzen den heinean, gako posibleen kopurua esponentzialki handitzen da. Giltza-tamaina modernoekin, indar gordina sinplea ez da guztiz praktikoa. Esan nahi duguna ulertzeko, har dezagun 2019 erdialdetik ezagutzen den superordenagailurik azkarrena: IBMren eskutik, segundoko 1017 eragiketa inguruko errendimendu gailurrarekin. Gaur egun, teklaren luzera tipikoa 128 bit da, hau da, 2128 konbinazio posible dira. Gako guztiak bilatzeko, Summit superordenagailuak Unibertsoaren adina 7800 aldiz gutxi gorabehera denbora beharko du.
Indar gordina bitxikeria historikotzat hartu behar da? Inola ere ez: kriptaanalisiaren sukaldaritza liburuan beharrezko osagaia da. Gutxitan dira zifratuak hain ahulak, eraso burutsu baten bidez bakarrik hauts daitezkeen, neurri batean edo bestean indarra erabili gabe. Hackeatu arrakastatsu askok metodo algoritmiko bat erabiltzen dute helburu zifratua ahultzeko lehenik, eta gero indar gordinaren erasoa burutzeko.
Maiztasun-analisia
Testu gehienak ez dira iragarkiak. Adibidez, ingelesezko testuetan 'e' hizki asko eta 'the' artikuluak daude; fitxategi bitarretan, informazio zatien arteko betegarri gisa zero byte asko daude. Maiztasun-analisia gertakari hori aprobetxatzen duen edozein eraso da.
Eraso honen aurrean zaurgarria den zifraketaren adibide kanonikoa ordezkapen zifratze sinplea da. Zifratze honetan, gakoa letra guztiak ordezkatuta dituen taula bat da. Adibidez, 'g' 'h'-rekin ordezkatzen da, 'o' j-rekin, beraz, 'joan' hitza 'hj' bihurtzen da. Zifratze hau zaila da indar gordinean, bilaketa-taula posible asko daudelako. Matematika interesatzen bazaizu, teklaren luzera eraginkorra 88 bit ingurukoa da: hori da
. Baina maiztasun-analisiak normalean azkar egiten du lana.
Demagun ordezkapen zifraketa sinple batekin prozesatutako testu zifratu hau:
XDYLY ALY UGLY XDWNKE WN DYAJYN ANF YALXD DGLAXWG XDAN ALY FLYAUX GR WN OGQL ZDWBGEGZDO
Urteaz geroztik Y maiz gertatzen da, hitz askoren amaieran barne, behin-behinean pentsa dezakegu hau letra dela e:
XDeLe ALe UGLe XDWNKE WN DeAJeN ANF eALXD DGLAXWG XDAN ALe FLeAUX GR WN OGQL ZDWBGEGZDO
Bikote XD hainbat hitzen hasieran errepikatzen da. Bereziki, XDeLe konbinazioak argi iradokitzen du hitza these edo there, jarrai dezagun:
theLe ALe UGLe thWNKE WN heAJeN ANF eALth DGLAtWG THAN ALe FLeAUt GR WN OGQL ZDWBGEGZDO
Demagun gehiago hori L ΡΠΎΠΎΡΠ²Π΅ΡΡΡΠ²ΡΠ΅Ρ r, A - a eta abar. Seguruenik saiakera batzuk beharko dira, baina indar gordineko eraso batekin alderatuta, eraso honek jatorrizko testua leheneratzen du denbora gutxian:
zure filosofian amesten dana baΓ±o gauza geiago dago zeruan eta lurrean horatio
Batzuentzat, horrelako "kriptogramak" konpontzea zaletasun zirraragarria da.
Maiztasun-analisiaren ideia lehen begiratuan badirudi baino oinarrizkoagoa da. Eta zifratze askoz konplexuagoei aplikatzen zaie. Historian zehar, hainbat zifra-diseinu eraso horri aurre egiten saiatu dira "ordezkapen polialfabetikoa" erabiliz. Hemen, enkriptazio-prozesuan zehar, letra-ordezkapen-taula modu konplexu baina aurreikusgarrietan aldatzen da, gakoaren araberakoa. Zifratze horiek guztiak apurtzeko zailak ziren garai batean; eta, hala ere, maiztasun-analisi xumeak azkenean guztiak garaitu zituen.
Historiako zifra polialfabetiko anbiziotsuena, eta ziurrenik ospetsuena, Bigarren Mundu Gerrako Enigma zifra izan zen. Konplexu samarra zen aurrekoekin alderatuta, baina lan asko egin ondoren, kripta analista britainiarrek frekuentzia-analisia erabiliz pitzatu zuten. Noski, ezin izan zuten goian erakutsitakoa bezalako eraso dotorerik garatu; Testu arruntaren eta zifratuaren bikote ezagunak konparatu behar izan zituzten (Β«testu arruntaren erasoaΒ» deitutakoa), eta Enigma erabiltzaileek zenbait mezu enkriptatzera eta emaitza aztertzera bultzatuz ere (Β«aukeratutako testu arruntaren erasoaΒ») eragitea. Baina horrek ez zuen etsaiaren armada garaituen eta hondoratutako itsaspekoen patua erraztu.
Garaipen honen ondoren, maiztasun-analisia kriptoanalisiaren historiatik desagertu zen. Aro digital modernoan zifrak bitekin lan egiteko diseinatuta daude, ez letrekin. Are garrantzitsuagoa dena, zifra hauek geroago bezala ezagutzen zenaren ulermen ilunarekin diseinatu ziren : Edonork sor dezake berak hautsi ezin duen enkriptazio-algoritmo bat. Ez da nahikoa zifratze sistemarako zirudien zaila: bere balioa frogatzeko, zifra hausteko ahala egingo duten kriptoanalista askok segurtasun-berrikusketa errukigabea jasan behar du.
Aurretiazko kalkuluak
Hartu Precom Heights hiri hipotetikoa, 200 biztanle. Hiriko etxebizitza bakoitzak batez beste 000 dolar balio ditu, baina ez 30 dolar baino gehiago. Precom-en segurtasun-merkatua ACME Industries-ek monopolizatzen du, Coyoteβ’ klaseko ate-sarrailak ekoizten dituena. Adituen analisiaren arabera, Coyote klaseko sarraila bat makina hipotetiko oso konplexu batek bakarrik hauts dezake, eta horren sorrerak bost urte inguru eta 000 $ inbertitu behar ditu. Seguru al da hiria?
Ziurrenik ezetz. Azkenean, nahiko asmo handiko kriminal bat agertuko da. Honela arrazoituko du: Β«Bai, aldez aurretik kostu handiak izango ditut. Bost urteko pazientearen zain, eta 50 $. Baina bukatzen dudanean, sarbidea izango dut hiri honen aberastasun guztia. Nire kartak ondo jokatzen baditut, inbertsio honek bere burua askotan ordainduko duΒ».
Gauza bera gertatzen da kriptografian. Zifraketa jakin baten aurkako erasoak kostu-onura azterketa gupidagabe baten menpe daude. Ratioa aldekoa bada, erasoa ez da gertatuko. Baina aldi berean biktima potentzial askoren aurka lan egiten duten erasoek ia beti ordaintzen dute, eta kasu horretan diseinu-praktika onena lehen egunetik hasi zirela suposatzea da. Funtsean, Murphyren Legearen bertsio kriptografiko bat dugu: "Sistema apurtu dezakeen edozerk sistema hautsiko du".
Aurre-konputazio-eraso baten aurrean zaurgarria den kriptosistema baten adibiderik errazena gakorik gabeko zifra konstantea da. Hau gertatu zen , alfabetoko letra bakoitza hiru hizki aurrera mugitzen duena besterik gabe (taula begiztatuta dago, beraz, alfabetoko azken letra hirugarren zifratuta dago). Hemen berriro ere Kerchhoffs printzipioa sartzen da jokoan: sistema bat hackeatu ondoren, betirako hackeatzen da.
Kontzeptua sinplea da. Kriptosistemaren garatzaile hasiberri batek ere mehatxua ezagutuko du eta horren arabera prestatuko du. Kriptografiaren bilakaerari erreparatuta, horrelako erasoak desegokiak ziren zifra gehienentzat, Zesarren zifraketaren lehen bertsio hobetuetatik zifra polialfabetikoen gainbehera arte. Kriptografiaren aro modernoaren etorrerarekin bakarrik itzuli ziren horrelako erasoak.
Itzuli hori bi faktoreri dagokio. Lehenik eta behin, kriptosistema nahiko konplexuak agertu ziren azkenean, non hackeatu ondoren ustiatzeko aukera nabaria ez zen. Bigarrenik, kriptografia hain hedatu zen, non milioika laikok egunero erabakitzen zuten kriptografiaren non eta zer atal berrerabili. Denbora pixka bat behar izan zuten adituek arriskuez ohartu eta alarma piztu arte.
Gogoratu aurrekonputazio-erasoa: artikuluaren amaieran bizitza errealeko bi adibide kriptografiko aztertuko ditugu non rol garrantzitsua izan zuen.
Interpolazioa
Hona hemen Sherlock Holmes detektibe ospetsua, Watson doktore zorigaiztoaren aurkako interpolazio-eraso bat egiten:
Berehala asmatu nuen Afganistandik etorri zinela... Nire pentsamoldea hauxe zen: Β«Gizon hau medikua da motaz, baina militarra du. Beraz, mediku militarra. Tropikoetatik iritsi berria da - aurpegia iluna da, baina ez da hori bere azalaren itzal naturala, eskumuturrak askoz zuriagoak baitira. Aurpegia zorigaiztokoa da; argi dago, asko sufritu duela eta gaixotasunak jota. Ezkerreko eskuan zauritu zuten - geldirik eta apur bat naturalki eusten dio. Non tropikoetan mediku militar ingeles batek zailtasunak jasan ditzake eta zauritu? Jakina, AfganistanenΒ». Pentsamendu osoak ez zuen segundo bat bera ere hartu. Eta, beraz, esan nuen Afganistandik etorri zinela, eta harrituta geratu zinela.
Holmesek oso informazio gutxi atera zezakeen froga bakoitzetik banan-banan. Guztiak batera kontuan hartuta baino ezin izan zuen bere ondorioa atera. Interpolazio-eraso batek antzera funtzionatzen du gako beretik sortutako testu arrunt eta zifratu bikote ezagunak aztertuz. Bikote bakoitzetik, gakoari buruzko ondorio orokor bat ateratzeko aukera ematen duten behaketa indibidualak ateratzen dira. Ondorio horiek guztiak lausoak dira eta alferrikakoak dirudite, bat-batean masa kritiko batera iritsi eta ondorio posible bakarra lortzen duten arte: sinestezina den arren, egia izan behar du. Horren ondoren, gakoa agerian uzten da, edo deszifratze-prozesua hain findu bihurtzen da errepikatu ahal izateko.
Ikus dezagun adibide erraz batekin interpolazioak nola funtzionatzen duen. Demagun gure etsaiaren egunkari pertsonala irakurri nahi dugula, Bob. Bere egunkariko zenbaki guztiak zifratzen ditu "A Mock of Cryptography" aldizkariko iragarki batean ezagutu zuen kriptosistema sinple bat erabiliz. Sistemak honela funtzionatzen du: Bobek gustuko dituen bi zenbaki aukeratzen ditu: ΠΈ . Hemendik aurrera, edozein zenbaki enkriptatzeko , kalkulatzen du . Esaterako, Bobek aukeratzen badu ΠΈ , gero zenbakia gisa enkriptatuko da .
Demagun abenduaren 28an Bob bere egunerokoan zerbait urratzen ari zela ohartu ginela. Amaitu duenean, lasai-lasai jaso eta azken sarrera ikusiko dugu:
data:
235/520Eguneroko maitea,
Egun ona izan da gaurkoa. bidez
64gaur apartamentu batean bizi den Alisarekin zita daukat843. Benetan uste dut izan daitekeela26!
Bob bere datan jarraitzeko oso serio ari garenez (biak 15 urte ditugu eszenatoki honetan), ezinbestekoa da data eta Aliceren helbidea jakitea. Zorionez, ohartzen gara Bob-en kriptosistema interpolazio-eraso baten aurrean zaurgarria dela. Agian ez dugu jakingo ΠΈ , baina gaurko data badakigu, beraz, testu arrunta-testu zifratua bi bikote ditugu. Alegia, badakigu enkriptatuta Eta - urtean . Hau da idatziko duguna:
15 urte ditugunez, dagoeneko badakigu bi ezezagun dituen bi ekuazioko sistema bat, egoera honetan nahikoa dena aurkitzeko. ΠΈ arazorik gabe. Testu arrunt-zifratu bikote bakoitzak muga bat jartzen du Bob-en gakoan, eta bi mugak elkarrekin nahikoak dira gakoa guztiz berreskuratzeko. Gure adibidean erantzuna da ΠΈ (at , beraz 26 egunkarian 'bat' hitzari dagokio, hau da, "bera" - gutxi gorabehera. erreia).
Interpolazio-erasoak, noski, ez dira hain adibide sinpleetara mugatzen. Ondo ulertzen den objektu matematiko eta parametroen zerrenda batera murrizten den kriptosistema oro interpolazio-eraso bat jasateko arriskua dago: zenbat eta ulergarriagoa izan objektua, orduan eta arrisku handiagoa.
Etorri berriak askotan kexatzen dira kriptografia "gauzak ahalik eta itsusien diseinatzeko artea" dela. Interpolazio erasoak dira seguruenik errua. Bob-ek diseinu matematiko dotorea erabil dezake edo Alicerekin duen hitzordua pribatua gorde dezake, baina, ai, normalean ezin duzu bi modutan izan. Hori argi geratuko da azkenean gako publikoaren kriptografiaren gaiari heltzen diogunean.
Zeharkako protokoloa/beherakada
Now You See Me (2013) filmean, ilusionista talde bat Arthur Tressler aseguru magnate ustela bere dirutza osoa kentzen saiatzen da. Arthurren banku-kontura sartzeko, ilusionistek bere erabiltzaile-izena eta pasahitza eman behar dute edo bankura pertsonalki agertzera eta eskeman parte hartzera behartu beharko dute.
Bi aukerak oso zailak dira; Mutilak ohituta daude eszenatokian jartzera, eta ez informazio operazioetan parte hartzera. Beraz, hirugarren aukera posiblea aukeratzen dute: haien konplizeak bankura deitzen du eta Arthur dela dirudi. Bankuak hainbat galdera egiten ditu identitatea egiaztatzeko, hala nola osabaren izena eta lehen maskotaren izena; gure heroiak aldez aurretik . Une honetatik aurrera, pasahitzaren segurtasun bikainak ez du axola.
(Pertsonalki egiaztatu eta egiaztatu dugun hiri-kondaira baten arabera, Eli Beaham kriptografoak behin segurtasun-galdera bat jartzen tematu zen banku kutxazain batekin topo egin zuen. Kutxazainak bere amaren amonaren izena eskatu zuenean, Beahamek diktatzen hasi zen: "X. y txikia, hiru... ").
Kriptografian berdina da, aktibo bera babesteko bi protokolo kriptografiko paraleloan erabiltzen badira eta bata bestea baino askoz ahulagoa bada. Ondorioz, sistema gurutzatutako eraso baten aurrean zaurgarri bihurtzen da, non protokolo ahulago bati erasotzen zaion saria lortzeko indartsuena ukitu gabe.
Kasu konplexu batzuetan, ez da nahikoa zerbitzariarekin harremanetan jartzea protokolo ahulagoa erabiliz, baizik eta legezko bezero baten nahigabeko parte hartzea eskatzen du. Hau downgrade deitutako erasoa erabiliz antolatu daiteke. Eraso hau ulertzeko, demagun gure ilusionistek filmean baino lan zailagoa dutela. Demagun bankuko langile batek (kutxazainak) eta Arthur-ek ezusteko egoera batzuk topatu zituztela, eta ondorioz elkarrizketa hau sortu zen:
Lapurra: Kaixo? Hau Arthur Tressler da. Nire pasahitza berrezarri nahiko nuke.
Kutxazaina: Bikaina. Mesedez, begiratu zure kode sekretu pertsonalaren liburuari, 28. orrialdea, 3. hitza. Ondorengo mezu guztiak enkriptatuko dira hitz zehatz hau gako gisa erabiliz. PQJGH. LOTJNAM PGGY MXVRL ZZLQ SRIU HHNMLPPPVβ¦
Lapurra: Aizu, itxaron, itxaron. Benetan beharrezkoa al da? Ezin al dugu pertsona normal bezala hitz egin?
Kutxazaina: Ez dut gomendatzen hau egitea.
Lapurra: Nik... begira, egun kaskarra pasatu nuen, ados? VIP bezeroa naiz eta ez nago kode liburu ergel hauek arakatzeko gogorik.
Kutxazaina: Ederki. Tematzen bazara, Tressler jauna. Zer nahi duzu?
Lapurra: Mesedez, nire diru guztia Arthur Tressler Biktimen Fondo Nazionalari eman nahiko nioke.
(Pausa).
Kutxazaina: Argi al dago orain. Mesedez, eman zure PIN transakzio handietarako.
Lapurra: Nire zer?
Kutxazaina: Zure eskaera pertsonalean, tamaina horretako transakzioek PIN bat behar dute transakzio handietarako. Kode hau zure kontua ireki zenuenean eman dizute.
Lapurra:... galdu nuen. Benetan beharrezkoa al da? Ezin duzu akordioa onartu?
Kutxazaina: Ez. Barkatu, Tressler jauna. Berriz ere, hau da eskatu duzun segurtasun neurria. Nahi baduzu, PIN kode berri bat bidal dezakegu zure postontzira.
Gure heroiek ebakuntza atzeratu egiten dute. Tressler-en hainbat transakzio handi entzuten dituzte, PINa entzuteko asmoz; baina solasaldia kodekada kodetu bihurtzen den bakoitzean ezer interesgarria esan aurretik. Azkenik, egun eder batean, plana martxan jartzen da. Pazientziaz itxaroten dute Tressler-ek telefonoz transakzio handi bat egin behar duen momentua, linean jartzen duen eta gero...
Tressler: Kaixo. Urruneko transakzio bat burutu nahiko nuke, mesedez.
Kutxazaina: Bikaina. Mesedez, begiratu zure kode sekretu pertsonalaren liburuari, orrialdeari...
(Lapurrak botoia sakatzen du; kutxazainaren ahotsa zarata ulertezina bihurtzen da).
Kutxazaina: - #@$#@$#*@$$@#* hitz hau gako gisa enkriptatuko da. AAAYRR PLRQRZ MMNJK LOJBANβ¦
Tressler: Barkatu, ez nuen ondo ulertu. Berriro? Zein orrialdetan? Zein hitza?
Kutxazaina: Hau da @#$@#*$)#*#@()#@$(#@*$(#@*) orrialdea.
Tressler: Zer?
Kutxazaina: Hogei zenbakia @$#@$#%#$.
Tressler: Serio! Nahikoa da jada! Zu eta zure segurtasun protokoloa zirku moduko bat zarete. Badakit normalean hitz egin dezakezula nirekin.
Kutxazaina: Ez dut gomendatzenβ¦
Tressler: Eta ez dizut aholkatzen denbora galtzea. Ez dut honi buruz gehiago entzun nahi telefono-linearen arazoak konpondu arte. Bukatu dezakegu akordio hau ala ez?
Kutxazaina:β¦ Bai. Ederki. Zer nahi duzu?
Tressler: 20 dolar transferitu nahi nituzke Lord Business Investments, kontu zenbakia...
Kutxazaina: Minutu bat, mesedez. Gauza handia da. Mesedez, eman zure PIN transakzio handietarako.
Tressler: Zer? Oh, zehazki. 1234.
Hona hemen beheranzko erasoa. Protokolo ahulagoa "zuzenean hitz egin besterik ez dago" gisa pentsatu zen aukera larrialdi kasuetan. Eta, hala ere, hemen gaude.
Galdetuko litzaizuke buruan nork diseinatuko lukeen benetako "seguru bat kontrakoa eskatu arte" goian deskribatutakoa bezalako sistema. Baina fikziozko banku batek kriptografia gustuko ez duten bezeroak atxikitzeko arriskuak hartzen dituen bezala, sistemak, oro har, askotan segurtasunarekiko axolagabeak edo guztiz etsaiak diren eskakizunetara jotzen dute.
Horixe da 2ean SSLv1995 protokoloarekin gertatu zena. AEBetako gobernua aspaldi hasi da kriptografia atzerriko eta etxeko etsaiengandik urruntzen den arma gisa ikusten. Kode zatiak banan-banan onartu ziren Estatu Batuetatik esportatzeko, askotan algoritmoa nahita ahultzeko baldintzarekin. Netscapek, Netscape Navigator arakatzaile ezagunenaren garatzaileak, SSLv2rako baimena eman zion berez zaurgarria den 512 biteko RSA gakoarekin soilik (eta 40 biteko RC4rako).
Milurtekoaren amaieran, arauak lasaitu egin ziren eta enkriptazio modernorako sarbidea oso eskuragarri zegoen. Hala ere, bezeroek eta zerbitzariek "esportazio" ahuldutako kriptografia onartzen dute urteetan zehar, edozein sistema ondarerako euskarria mantentzen duen inertzia bera dela eta. Bezeroek uste zuten beste ezer onartzen ez zuen zerbitzari batekin topo egin zezaketela. Zerbitzariek gauza bera egin zuten. Noski, SSL protokoloak agintzen du bezeroek eta zerbitzariek ez dutela inoiz protokolo ahul bat erabili behar hobea dagoenean. Baina premisa bera aplikatu zitzaion Tressler eta bere bankuari.
Teoria honek 2015ean SSL protokoloaren segurtasuna astindu zuten goi mailako bi erasotan aurkitu zuen, biak Microsoft-eko ikertzaileek aurkitutakoak eta . Lehenik eta behin, FREAK erasoaren xehetasunak otsailean ezagutarazi ziren, eta hiru hilabete geroago Logjam izeneko beste eraso antzeko bat gertatu zen, gako publikoaren kriptografiaren aurkako erasoetara pasatzen garenean zehatzago eztabaidatuko duguna.
Ahultasuna (Β«Smack TLSΒ» izenez ere ezaguna) ikertzaileek TLS bezero/zerbitzariaren inplementazioak aztertu eta akats bitxi bat aurkitu zutenean agertu zen. Inplementazio hauetan, bezeroak esportazio-kriptografia ahula erabiltzea ere eskatzen ez badu, baina zerbitzariak hala ere gakoekin erantzuten badu, bezeroak "Oh ondo" esaten du eta zifratze suite ahula batera aldatzen da.
Garai hartan, esportazio-kriptografia zaharkituta eta mugagabetzat jotzen zen, beraz, erasoa erabateko harridura izan zen eta domeinu garrantzitsu askori eragin zien, Etxe Zuria, IRS eta NSA guneak barne. Are okerragoa dena, zerbitzari zaurgarri asko errendimendua optimizatzen ari zirela gako berdinak berrerabiliz saio bakoitzerako berriak sortu beharrean. Horrek posible egin zuen, protokoloa mailaz jaitsi ondoren, konputazio aurreko eraso bat egitea: gako bat cracking nahiko garestia izaten jarraitzen zuen (100 dolar eta 12 ordu argitaratzeko unean), baina konexioa erasotzearen kostu praktikoa nabarmen murriztu zen. Nahikoa da zerbitzariaren gakoa behin hautatzea eta une horretatik aurrera ondorengo konexio guztien enkriptatzea piztea.
Eta aurrera egin aurretik, bada aipatu beharreko eraso aurreratu bat...
Oracle erasoa
Signal plataforma anitzeko kripto-mezularitza aplikazioaren aita gisa ezaguna; baina pertsonalki bere berrikuntza ezezagunetako bat gustatzen zaigu - (Doom kriptografikoaren printzipioa). Apur bat parafraseatuz, hau esan dezakegu: βProtokoloa betetzen bada edozein Eragiketa kriptografikoa egiten du potentzialki maltzurren iturri bateko mezu batean eta emaitzaren arabera ezberdin jokatzen du, kondenatuta dago". Edo forma zorrotzago batean: "Ez hartu etsaiaren informazioa prozesatzeko, eta behar izanez gero, ez erakutsi emaitza behintzat".
Utz ditzagun alde batera buffer gainezkaketak, komando-injekzioak eta antzekoak; eztabaida honen esparrutik kanpo daude. "Doom printzipioa" urratzeak kriptografia-pirate larriak eragiten ditu, protokoloak espero bezala jokatzen duelako.
Adibide gisa, har dezagun ordezkapen zifra zaurgarri batekin fikziozko diseinu bat, eta ondoren frogatu dezagun balizko eraso bat. Maiztasun-analisia erabiliz ordezkapen-zifra baten aurkako erasoa ikusi badugu ere, ez da "zifra bera hausteko beste modu bat". Aitzitik, orakuluen erasoak askoz asmakizun modernoagoa dira, maiztasun-analisiak huts egiten duen egoera askotan aplikagarriak, eta hurrengo atalean ikusiko dugu horren erakusgarri. Hemen zifratze sinplea aukeratzen da adibidea argiago egiteko.
Beraz, Alice eta Bob-ek ordezkapen zifraketa sinple bat erabiliz komunikatzen dira haiek bakarrik ezagutzen duten gako bat erabiliz. Oso zorrotzak dira mezuen luzerari dagokionez: zehazki 20 karaktere dituzte. Beraz, adostu zuten norbaitek mezu laburragoa bidali nahi bazuen, mezuaren amaieran testu fikzio batzuk gehitu beharko lituzkeela, zehazki 20 karaktere izateko. Zenbait eztabaidaren ostean, honako testu fikzio hauek soilik onartuko zituztela erabaki zuten: a, bb, ccc, dddd etab. Horrela, beharrezkoa den edozein luzera duen testu finko bat ezagutzen da.
Alicek edo Bobek mezu bat jasotzen dutenean, lehenik eta behin mezuak luzera zuzena duela (20 karaktere) eta atzizkia testu finko egokia dela egiaztatzen dute. Horrela ez bada, errore-mezu egoki batekin erantzuten dute. Testuaren luzera eta testu finkoa ondo badaude, hartzaileak mezua bera irakurriko du eta erantzun zifratua bidaltzen du.
Erasoan zehar, erasotzaileak Bob ordezkatzen du eta mezu faltsuak bidaltzen dizkio Aliceri. Mezuak zentzugabekeria osoa dira: erasotzaileak ez du giltzarik, eta, beraz, ezin du mezu esanguratsurik sortu. Baina protokoloak doom printzipioa urratzen duenez, erasotzaile batek Alice harrapatu dezake gako informazioa agerian uzteko, behean erakusten den moduan.
Lapurra:
PREWF ZHJKL MMMN. LAAlice: Testu faltsu baliogabea.
Lapurra:
PREWF ZHJKL MMMN. LBAlice: Testu faltsu baliogabea.
Lapurra:
PREWF ZHJKL MMMN. LCAlice:
ILCT? TLCT RUWO PUT KCAW CPS OWPOW!
Lapurrak ez du Alicek esan berri duen ideiarik, baina sinboloa ohartzen da C bat etorri behar du a, Alicek testu finkoa onartu zuenetik.
Lapurra:
REWF ZHJKL MMMN. LAAAlice: Testu faltsu baliogabea.
Lapurra:
REWF ZHJKL MMMN. LBBAlice: Testu faltsu baliogabea.
Hainbat saiakera egin ondoren...
Lapurra:
REWF ZHJKL MMMN. LGGAlice: Testu faltsu baliogabea.
Lapurra:
REWF ZHJKL MMMN. LHHAlice:
TLQO JWCRO FQAW SUY LCR C OWQXYJW. IW PWWR TU TCFA CHUYT TLQO JWFCTQUPOLQZ.
Berriz ere, erasotzaileak ez du Alicek esan berri duen ideiarik, baina ohartzen da H-k b bat etorri behar duela Alicek testu fikzioa onartu zuenetik.
Eta horrela erasotzaileak pertsonaia bakoitzaren esanahia ezagutu arte.
Lehen begiratuan, metodoak aukeratutako testu arrunteko eraso baten antza du. Azkenean, erasotzaileak testu zifratuak hautatzen ditu, eta zerbitzariak obedientziaz prozesatzen ditu. Eraso hauek mundu errealean bideragarri bihurtzen dituen desberdintasun nagusia da erasotzaileak ez duela benetako transkripziorako sarbiderik behar; zerbitzariaren erantzuna nahikoa da, nahiz eta "Testu faltsu baliogabea" bezain inozoa.
Eraso jakin hau irakasgarria den arren, ez zaitez gehiegi zintzilikatu "testu fikziozko" eskemaren, erabilitako kriptosistema zehatzaren edo erasotzaileak bidalitako mezuen sekuentzia zehatzaren xehetasunekin. Oinarrizko ideia da Alicek testu arruntaren propietateetan oinarrituta nola erreakzionatzen duen modu ezberdinean, eta hori egiaztatzen du dagokion zifra-testua benetan konfiantzazko alderdi batetik etorri dela egiaztatu gabe. Horrela, Alicek erasotzaileari informazio sekretua ateratzeko aukera ematen dio bere erantzunetatik.
Eszenatoki honetan asko alda daiteke. Aliziak erreakzionatzen dituen sinboloak, edo bere portaeraren desberdintasuna, edo baita erabilitako kriptosistema ere. Baina printzipioak bere horretan jarraituko du, eta erasoa, oro har, bideragarria izango da era batean edo bestean. Eraso honen oinarrizko ezarpenak hainbat segurtasun akats deskubritzen lagundu zuen, laster aztertuko ditugunak; baina lehenik ikasgai teoriko batzuk ikasi behar dira. Nola erabili fikziozko "Alice script" hau benetako zifra moderno batean funtziona dezakeen eraso batean? Posible al da hori, teorian ere?
1998an, Daniel Bleichenbacher kriptografo suitzarrak baietz erantzun zion galdera honi. Oso erabilia den gako publikoko RSA kriptosistemaren aurkako orakulu-eraso bat frogatu zuen, mezu-eskema zehatz bat erabiliz. RSA inplementazio batzuetan, zerbitzariak errore-mezu ezberdinekin erantzuten du testu arrunta eskemarekin bat datorren edo ez; hau nahikoa izan zen erasoa egiteko.
Lau urte beranduago, 2002an, Serge Vaudenay kriptografo frantziarrak goian Alice eszenatokian deskribatutako orakulu-eraso bat frogatu zuen ia berdina - salbu, fikziozko zifra baten ordez, jendeak benetan erabiltzen dituen zifra modernoen klase errespetagarri osoa hautsi zuela. Bereziki, Vaudenay-ren erasoak sarrera-tamaina finkoko zifraketak ("bloke zifrak") ditu helburu, "CBC enkriptatzeko modua" deritzonean eta betegarri eskema ezagun batekin erabiltzen direnean, funtsean Alice eszenatokikoaren baliokidea.
2002an ere, John Kelsey kriptografo estatubatuarra - egilekidea β mezuak konprimitu eta gero enkriptatzeko sistemen aurkako orakulu-eraso ezberdinak proposatu zituen. Horien artean aipagarriena testu arruntaren jatorrizko luzera testu zifratuaren luzeratik ondoriozta daitekeela aprobetxatu zuen eraso bat izan zen. Teorian, honek jatorrizko testu arruntaren zatiak berreskuratzen dituen orakulu-eraso bat egiteko aukera ematen du.
Jarraian, Vaudenay eta Kelsey erasoen deskribapen zehatzagoa eskaintzen dugu (Bleichenbacher erasoaren deskribapen zehatzagoa emango dugu gako publikoaren kriptografiaren aurkako erasoetara pasatzen garenean). Gure ahaleginak egin arren, testua tekniko samarra bihurtzen da; beraz, goikoa nahikoa bazaizu, saltatu hurrengo bi atalak.
Vodeneren erasoa
Vaudenay-ren erasoa ulertzeko, lehenik eta behin, apur bat gehiago hitz egin behar dugu blokeen zifraketari eta enkriptazio moduei buruz. "Bloke zifratua" da, esan bezala, luzera finko jakin bateko gako bat eta sarrera bat hartzen dituena ("blokearen luzera") eta luzera bereko bloke enkriptatu bat sortzen duena. Blokeen zifraketak oso erabiliak dira eta nahiko segurutzat jotzen dira. Orain erretiratua dagoen DES, lehen zifra modernotzat hartua, bloke zifra bat zen. Arestian esan bezala, gauza bera gertatzen da gaur egun asko erabiltzen den AESarekin.
Zoritxarrez, bloke zifratzeek ahultasun nabarmen bat dute. Blokeen tamaina tipikoa 128 bit edo 16 karakterekoa da. Jakina, kriptografia modernoak sarrerako datu handiagoak lantzea eskatzen du, eta hor sartzen dira enkriptazio moduak. Enkriptatzeko modua, funtsean, hack bat da: nolabait tamaina jakin bateko sarrera soilik onartzen duen bloke-zifraketa aplikatzeko modu bat da luzera arbitrarioko sarrerari.
Vodeneren erasoa CBC (Cipher Block Chaining) eragiketa modu ezagunean zentratuta dago. Erasoak azpiko bloke-zifratua kutxa beltz magiko eta menderaezin gisa tratatzen du eta bere segurtasuna erabat saihesten du.
Hona hemen CBC modua nola funtzionatzen duen erakusten duen diagrama bat:
Inguratutako plusak XOR (OR esklusiboa) eragiketa adierazten du. Adibidez, bigarren testu zifratuaren blokea jasotzen da:
- XOR eragiketa bat eginez bigarren testu arrunteko blokean lehen testu zifratuaren blokearekin.
- Sortutako blokea bloke-zifratu batekin zifratzea gako baten bidez.
CBCk XOR eragiketa bitarra erabiltzen duenez, har ditzagun une bat bere propietateetako batzuk gogoratzeko:
- Inpotentzia:
- Komutatibitatea:
- Elkartasuna:
- Autoitzulgarritasuna:
- Byte tamaina: byte n = (n byte ) (en byte n )
Normalean, propietate hauek XOR eragiketak dituen ekuazio bat eta ezezagun bat baldin baditugu, ebatzi daitekeela adierazten dute. Adibidez, hori badakigu ezezagunarekin eta famatua ΠΈ , orduan lehen aipatutako propietateetan oinarritu gaitezke ekuazioa ebazteko . Ekuazioaren bi aldeetan XOR aplikatuz , lortzen dugu . Hau guztia oso garrantzitsua izango da une batean.
Bi desberdintasun txiki eta alde handi bat daude gure Alice eszenatokiaren eta Vaudenayren erasoaren artean. Bi txikiak:
- Gidoian, Alicek testu arruntak pertsonaiekin amaitzea espero zuen
a,bb,ccceta abar. Wodeneko erasoan, biktimak, horren ordez, testu arruntak N aldiz amaitzea espero du N bytearekin (hau da, 01 edo 02 02 hamaseitarra, edo 03 03 03, eta abar). Hau ezberdintasun kosmetiko hutsa da. - Aliceren eszenatokian, erraza zen jakitea Alicek mezua onartu zuen ala ez "Testu faltsu okerra" erantzunez. Vodeneren erasoan, azterketa gehiago behar da eta garrantzitsua da biktimaren aldetik ezartzea zehatza; baina laburtasunaren mesedetan, har dezagun analisi hori oraindik posible dela.
Desberdintasun nagusia:
- Kriptosistema bera erabiltzen ez dugunez, erasotzaileak kontrolatutako zifratu byteen eta sekretuen arteko erlazioa (gakoa eta testu arrunta) ezberdina izango da, jakina. Horregatik, erasotzaileak beste estrategia bat erabili beharko du testu zifratuak sortzeko eta zerbitzariaren erantzunak interpretatzeko orduan.
Desberdintasun handi hau Vaudenay-ren erasoa ulertzeko puzzlearen azken pieza da, beraz, har dezagun une bat pentsatzeko zergatik eta nola CBCren aurkako orakulu-eraso bat muntatu daitekeen lehenik.
Demagun 247 blokeko CBC testu zifratua ematen zaigula eta deszifratu nahi dugula. Mezu faltsuak bidal ditzakegu zerbitzariari, lehen Aliceri mezu faltsuak bidal genizkiokeen bezala. Zerbitzariak mezuak deszifratuko dizkigu, baina ez du deszifratzea erakutsiko; horren ordez, berriro, Alicerekin gertatzen den bezala, zerbitzariak informazio bit bakarra jakinaraziko du: testu arruntak betegarri balio duen edo ez.
Kontuan izan Aliceren eszenatokian harreman hauek genituela:
$$bistaratu$$testua{SIMPLE_SUBSTITUTION}(testua{zifratua},testua{gakoa}) = testua{testu arrunta}$$bistaratu$$
Dei diezaiogun honi "Aliceren ekuazioa". Testu zifratua kontrolatzen genuen; zerbitzariak (Alice) jasotako testu arruntari buruzko informazio lausoa filtratu zuen; eta horri esker, azken faktoreari -gakoa- buruzko informazioa ondorioztatu genuen. Analogiaz, CBC gidoirako halako konexiorik aurkitzen badugu, baliteke bertan informazio sekreturen bat ateratzea ere.
Zorionez, benetan badaude harremanak erabil ditzakegun. Kontuan izan azken deiaren irteera bloke-zifratu bat deszifratzeko eta adierazi irteera hau honela . Testu arrunteko blokeak ere adierazten ditugu eta zifratutako testu-blokeak . Begiratu beste begirada bat CBC diagramari eta ohartu zer gertatzen den:
Dei diezaiogun honi "CBC ekuazioa".
Aliceren eszenatokian, testu zifratua kontrolatuz eta dagokion testu arruntaren filtrazioa ikusiz, ekuazioko hirugarren terminoa βgakoaβ berreskuratu zuen erasoa egin ahal izan genuen. CBC agertokian, testu zifratua kontrolatzen dugu eta dagokion testu arruntean informazio ihesak ikusten ditugu. Analogiak balio badu, horri buruzko informazioa lor dezakegu .
Demagun benetan zaharberritu dugula , zer orduan? Beno, orduan testu arruntaren azken bloke osoa inprimatu dezakegu aldi berean (), sartu besterik ez (duguna) eta
jaso CBC ekuazioan sartu.
Eraso plan orokorrari buruz baikor gaudenez, xehetasunak lantzeko garaia da. Mesedez, jarri arreta zerbitzarian testu arrunteko informazioa nola filtratzen den. Aliceren gidoian, filtrazioa gertatu zen, Alicek mezu zuzenarekin bakarrik erantzungo zuelako $inline$text{SIMPLE_SUBSTITUTION}(text{ciphertext},text{key})$inline$ lerroarekin amaitzen bazen. a (Edo bb, eta abar, baina baldintza hauek kasualitatez abiarazteko aukerak oso txikiak ziren). CBC-ren antzera, zerbitzariak betegarria onartzen du baldin eta bada bakarrik hamaseitarraz amaitzen da 01. Beraz, saia gaitezen trikimailu bera: geure balore faltsuekin zifratutako testu faltsuak bidaltzen zerbitzariak betetzea onartu arte.
Zerbitzariak gure mezu faltsuetako baten betegarri bat onartzen duenean, hau esan nahi du:
Orain byte-byte XOR propietatea erabiltzen dugu:
Lehen eta hirugarren terminoak ezagutzen ditugu. Eta dagoeneko ikusi dugu honek gainerako terminoa berreskuratzeko aukera ematen duela - azken byte-tik :
Honek azken testu arrunteko blokearen azken bytea ere ematen digu CBC ekuazioaren eta bytez byte propietatearen bidez.
Horretan utz genezake eta teorikoki indartsua den zifra baten aurkako erasoa egin genezakeela ziur egon. Baina, egia esan, askoz gehiago egin dezakegu: benetan testu guztia berreskura dezakegu. Honek Aliceren jatorrizko gidoian ez zegoen eta orakuluaren erasorako beharrezkoa ez den trikimailu bat behar du, baina hala ere merezi du ikastea.
Ulertzeko, lehenik eta behin kontuan izan azken bytearen balio zuzena ateratzearen emaitza dela gaitasun berri bat dugu. Orain, testu zifratuak falsifikatzerakoan, dagokion testu arruntaren azken bytea manipulatu dezakegu. Berriz ere, hau CBC ekuazioarekin eta bytez byte propietatearekin erlazionatuta dago:
Orain bigarren terminoa ezagutzen dugunez, lehenengoaren gaineko kontrola erabil dezakegu hirugarrena kontrolatzeko. Besterik gabe, kalkulatzen dugu:
Aurretik ezin genuen egin azken bytea oraindik ez genuelako .
Nola lagunduko digu horrek? Demagun orain testu zifratu guztiak sortzen ditugula, dagozkien testu arruntetan azken bytearen berdina dela. 02. Zerbitzariak testu arrunta honekin bukatzen bada soilik onartzen du betegarria 02 02. Azken bytea zuzendu dugunez, testu arruntaren azkenaurreko bytea ere 02 bada bakarrik gertatuko da. Testu zifratu bloke faltsuak bidaltzen jarraitzen dugu, azkenaurreko bytea aldatuz, zerbitzariak haietako baten betegarria onartzen duen arte. Puntu honetan lortzen dugu:
Eta azkenaurreko bytea berreskuratzen dugu azkena zaharberritu zen bezalaxe. Espiritu berean jarraitzen dugu: testu arruntaren azken bi byteak zuzentzen ditugu 03 03, amaieratik hirugarren bytean errepikatzen dugu eraso hau eta abar, azken finean guztiz berreskuratuz .
Zer gertatzen da gainerako testuarekin? Kontuan izan balioa dela $inline$text{BLOCK_DECRYPT}(testua{key},C_{247})$inline$ da benetan. Horren ordez beste edozein bloke jar dezakegu , eta erasoak arrakasta izango du oraindik. Izan ere, zerbitzariari $inline$text{BLOCK_DECRYPT}$inline$ egiteko eska diezaiokegu edozein datutarako. Une honetan, jokoa amaitu da - edozein testu zifratu deszifratu dezakegu (begiratu beste begirada bat CBC deszifratze diagramari hau ikusteko; eta kontuan izan IV publikoa dela).
Metodo jakin honek berebiziko garrantzia du geroago aurkituko dugun orakuluaren erasoan.
Kelseyren erasoa
Gure John Kelsey atseginak eraso posible askoren azpian dauden printzipioak zehaztu zituen, ez zifra zehatz baten aurkako eraso zehatz baten xehetasunak bakarrik. Haren zifratutako datu konprimituen aurkako eraso posibleen azterketa da. Uste al zenuen enkriptatu aurretik datuak konprimituta zeuden informazioa nahikoa ez zela eraso bat egiteko? Ematen du nahikoa dela.
Emaitza harrigarri hau bi printzipiori zor zaio. Lehenik eta behin, korrelazio handia dago testu arruntaren eta zifratuaren luzeraren artean; zifra askorentzat berdintasun zehatza. Bigarrenik, konpresioa egiten denean, korrelazio handia dago konprimitutako mezuaren luzeraren eta testu arruntaren "zarata" mailaren artean, hau da, errepikatzen ez diren karaktereen proportzioa (termino teknikoa "entropia handia" da). ).
Printzipioa martxan ikusteko, kontuan hartu bi testu arrunt:
Testu arrunta 1:
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAATestu arrunta 2:
ATVXCAGTRSVPTVVULSJQHGEYCMQPCRQBGCYIXCFJGJ
Demagun bi testu arruntak konprimituta daudela eta gero enkriptatuta daudela. Ondorioz, bi testu zifratu lortzen dituzu eta zein testu zifratu zein testu arruntarekin bat datorren asmatu behar duzu:
Testu zifratua 1:
PVOVEYBPJDPVANEAWVGCIUWAABCIYIKOOURMYDTATestu zifratua 2:
DWKJZXYU
Erantzuna argia da. Testu arrunten artean, 1. testu arrunta bakarrik konprimitu zitekeen bigarren zifra-testuaren luzera eskasera. Konpresio-algoritmoari, enkriptazio-gakoari edo zifraketari buruz ezer jakin gabe asmatu genuen. Eraso kriptografiko posibleen hierarkiarekin alderatuta, hau zoro samarra da.
Kelsey-k, gainera, azpimarratzen du ezohiko zirkunstantzia batzuetan printzipio hori orakulu-eraso bat egiteko ere erabil daitekeela. Bereziki, erasotzaile batek testu arrunt sekretua nola berreskura dezakeen deskribatzen du zerbitzaria inprimakiaren datuak enkriptatzera behartzen badu (testu arrunta eta ondoren. kontrolpean duen bitartean eta nolabait egiazta dezake enkriptatutako emaitzaren luzera.
Berriz ere, beste orakulu eraso batzuk bezala, harremana dugu:
Berriz ere, termino bat kontrolatzen dugu (), beste kide bati buruzko informazio-filtrazio txiki bat ikusten dugu (testua zifratua) eta azkena (testu arrunta) berreskuratzen saiatzen gara. Analogia izan arren, ikusi ditugun beste orakulu eraso batzuekin alderatuta egoera ezohikoa da.
Eraso batek nola funtziona dezakeen ilustratzeko, erabil dezagun asmatu berri dugun konpresio-eskema fikziozko bat: TOYZIP. Testuan aurretik agertu diren testu-lerroak bilatzen ditu eta hiru leku-marko byterekin ordezkatzen ditu, lerroaren aurreko instantzia non aurkitu eta zenbat aldiz agertzen den adierazten dutenak. Adibidez, lerroa helloworldhello sartu konprimitu daiteke helloworld[00][00][05] 13 byteko luzera jatorrizko 15 bytearekin alderatuta.
Demagun erasotzaile bat formulario baten testu arrunta berreskuratzen saiatzen dela password=..., non pasahitza bera ezezaguna den. Kelsey-ren eraso-ereduaren arabera, erasotzaile batek zerbitzariari inprimakiko mezuak konprimitzeko eta gero enkriptatzeko eska diezaioke (testu arrunta eta ondoren ), non - Testu librea. Zerbitzariak lanean amaitzen duenean, emaitzaren iraupena ematen du. Erasoa honela doa:
Lapurra: Mesedez, konprimitu eta enkriptatu testu arrunta betegarririk gabe.
Zerbitzaria: Emaitza luzera 14.
Lapurra: Mesedez, konprimitu eta enkriptatu eransten zaion testu arrunta
password=a.Zerbitzaria: Emaitza luzera 18.
Cracker-ak oharrak: [jatorrizko 14] + [ordeztutako hiru byte password=] + a
Lapurra: Mesedez, konprimitu eta enkriptatu gehitu zaion testu arrunta
password=b.Zerbitzaria: Emaitza luzera 18.
Lapurra: Mesedez, konprimitu eta enkriptatu gehitu zaion testu arrunta
password=Ρ.Zerbitzaria: Emaitza luzera 17.
Cracker-ak oharrak: [jatorrizko 14] + [ordeztutako hiru byte password=c]. Honek jatorrizko testu arruntak katea duela suposatzen du password=c. Hau da, pasahitza letra batekin hasten da c
Lapurra: Mesedez, konprimitu eta enkriptatu gehitu zaion testu arrunta
password=Ρa.Zerbitzaria: Emaitza luzera 18.
Cracker-ak oharrak: [jatorrizko 14] + [ordeztutako hiru byte password=Ρ] + a
Lapurra: Mesedez, konprimitu eta enkriptatu gehitu zaion testu arrunta
password=Ρb.Zerbitzaria: Emaitza luzera 18.
(β¦ Geroagoβ¦)
Lapurra: Mesedez, konprimitu eta enkriptatu gehitu zaion testu arrunta
password=ΡΠΎ.Zerbitzaria: Emaitza luzera 17.
Cracker-ak oharrak: [jatorrizko 14] + [ordeztutako hiru byte password=co]. Logika bera erabiliz, pasahitza letrekin hasten dela ondorioztatzen du erasotzaileak co
Eta horrela pasahitz osoa berreskuratu arte.
Irakurleari barkatuko litzaioke pentsatzea ariketa akademiko hutsa dela eta horrelako eraso agertokirik ez zela inoiz sortuko mundu errealean. Ai, laster ikusiko dugunez, hobe da kriptografiari ez uko egitea.
Markaren ahultasunak: KRIMENA, POODLE, ITOA
Azkenik, teoria zehatz-mehatz aztertu ondoren, teknika hauek bizitza errealeko eraso kriptografikoetan nola aplikatzen diren ikus dezakegu.
Krimenaren
Erasoa biktimaren nabigatzaile eta sarera zuzenduta badago, batzuk errazagoak izango dira eta beste batzuk zailagoak. Adibidez, erraza da biktimaren trafikoa ikustea: berarekin eseri WiFi-a duen kafetegi berean. Hori dela eta, biktimei (hau da, guztiei) konexio enkriptatu bat erabiltzea gomendatzen zaie. Zailagoa izango da, baina hala ere posible, biktimaren izenean HTTP eskaerak egitea hirugarrenen gune batera (adibidez, Google). Erasotzaileak biktima erakarri behar du web orri gaizto batera eskaera egiten duen script batekin. Web arakatzaileak automatikoki emango du dagokion saioko cookiea.
Horrek harrigarria dirudi. Bob joango balitz evil.com, Gune honetako gidoiak Google-ri Bob-en pasahitza posta elektronikoz bidaltzeko eskatu diezaioke [email protected]? Tira, teorian bai, baina errealitatean ez. Eszenatoki honi guneen arteko eskaera faltsutze erasoa deitzen zaio (, CSRF), eta ezaguna izan zen 90eko hamarkadaren erdialdera. Gaur bada evil.com trikimailu hau probatzen du, Google-k (edo bere burua errespetatzen duen edozein webgunek) honela erantzungo du normalean: "Oso, baina transakzio honetarako zure CSRF tokena... izango da... um... ΡΡΠΈ ΡΡΠΈΠ»Π»ΠΈΠΎΠ½Π° ΠΈ ΡΠ΅ΠΌΡ. Mesedez, errepikatu zenbaki hau". Arakatzaile modernoek "jatorri bereko politika" izeneko zerbait dute, non A guneko scriptek ez duten B webguneak bidalitako informaziorako sarbidea. evil.com helbidera eskaerak bidal ditzake google.com, baina ezin ditu erantzunak irakurri edo transakzioa benetan osatu.
Azpimarratu behar dugu Bob-ek konexio enkriptatu bat erabiltzen ez badu, babes horiek guztiak ez direla zentzurik. Erasotzaile batek Bob-en trafikoa irakurri eta Google-ren saio cookiea berreskura dezake. Cookie honekin, Google fitxa berri bat irekiko du bere arakatzailetik irten gabe eta Bob ordezkatuko du jatorri bereko politika traketsak aurkitu gabe. Baina, zoritxarrez, lapurrentzako, hori gero eta gutxiago da. Internetek, oro har, aspaldiko gerra deklaratu du zifratu gabeko konexioei, eta Bob-en irteerako trafikoa ziurrenik enkriptatuta dago, nahi ala ez. Horrez gain, protokoloa ezartzen hasi zenetik, trafikoa ere izan zen txikitu enkriptatzea baino lehen; ohiko praktika hau zen latentzia murrizteko.
Hor sartzen da jokoan (Konpresio-erlazioa Infoleak Made Easy, konpresio-erlazioaren bidez isurketa sinplea). Zaurgarritasuna 2012ko irailean agertu zuten Juliano Rizzo eta Thai Duong segurtasun ikertzaileek. Dagoeneko aztertu dugu oinarri teoriko osoa, eta horrek zer egin zuten eta nola ulertzeko aukera ematen digu. Erasotzaile batek Bob-en arakatzailea behartu lezake Google-ra eskaerak bidaltzera eta gero sare lokalean erantzunak entzutera forma konprimitu eta enkriptatu batean. Horregatik dugu:
Hemen erasotzaileak eskaera kontrolatzen du eta trafiko-snifferra sarbidea du, paketearen tamaina barne. Kelseyren fikziozko eszenatokiak bizia hartu zuen.
Teoria ulertuta, CRIMEren egileek saioko cookieak lapur ditzakeen ustiapena sortu zuten hainbat gunetarako, besteak beste, Gmail, Twitter, Dropbox eta Github. Zaurgarritasunak web arakatzaile modernoenei eragin die, eta ondorioz, konpresio-eginbidea SSL-n isilean lurperatzen zuten adabakiak kaleratu ziren, inola ere erabili ez zedin. Ahultasunetik babestutako bakarra Internet Explorer agurgarria zen, ez zuen inoiz SSL konpresiorik erabiltzen.
POODLE
2014ko urrian, Google segurtasun-taldeak olatuak egin zituen segurtasun komunitatean. Duela hamar urte baino gehiago adabakitutako SSL protokoloan ahultasun bat ustiatu ahal izan zuten.
Zerbitzariak TLSv1.2 berri distiratsua exekutatzen ari diren bitartean, askok SSLv3 ondarerako euskarria utzi dute Internet Explorer 6rekin atzerako bateragarritasunagatik. Dagoeneko hitz egin dugu mailaz beherako erasoei buruz, beraz, imajina dezazuen zer gertatzen ari den. Handshake protokoloaren eta zerbitzariak ondo antolatutako sabotajea SSLv3 zahar onera itzultzeko prest daude, funtsean, azken 15 urteko segurtasun-ikerketa deseginez.
Testuinguru historikorako, :
Transport Layer Security (TLS) Interneteko segurtasun-protokolo garrantzitsuena da. [..] Interneten egiten dituzun ia transakzio guztiak TLSren araberakoak dira. [..] Baina TLS ez zen beti TLS izan. urtean hasi zen bere bizitza protokoloa "Secure Sockets Layer" edo SSL izenekoa. Zurrumurruek diote SSLren lehen bertsioa hain ikaragarria izan zela, non garatzaileek kodearen inprimaketa guztiak bildu eta Mexiko Berriko zabortegi sekretu batean lurperatu zituzten. Ondorioz, SSL publikoki eskuragarri dagoen lehen bertsioa da benetan . Nahiko beldurgarria da, eta [..] 90eko hamarkadaren erdialdeko produktu bat izan zen, kriptografo modernoek "" Gaur egun ezagutzen ditugun eraso kriptografiko ikaragarrienetako asko oraindik ez dira aurkitu. Ondorioz, SSLv2 protokoloaren garatzaileek, funtsean, iluntasunean ibiltzen utzi zituzten, eta aurre egin zioten - haien atsekaberako eta gure onerako, SSLv2-ren aurkako erasoek ikasgai eskerga utzi baitzituzten hurrengo protokoloen belaunaldirako.
Gertaera hauen ondoren, 1996an, Netscape zapuztu batek SSL protokoloa hutsetik birdiseinatu zuen. Emaitza SSL 3. bertsioa izan zen, hau da .
Zorionez, lapurrentzako, "gutxi batzuk" ez du "guztiak" esan nahi. Oro har, SSLv3-k Vodene eraso bat abiarazteko beharrezko eraikuntza-bloke guztiak eman zituen. Protokoloak CBC moduko bloke-zifraketa eta betetze-eskema segurua erabiltzen zituen (hau TLSn zuzendu zen; hortik beherako eraso baten beharra zegoen). Vaudenay-ren erasoaren jatorrizko deskribapenean betegarri eskema gogoan baduzu, SSLv3 eskema oso antzekoa da.
Baina, zoritxarrez, lapurrentzako, "antzekoak" ez du "berdina" esan nahi. SSLv3 betegarri eskema "N ausazko byte ondoren N zenbakia" da. Saiatu, baldintza hauetan, irudizko testu zifratu-bloke bat hautatzen eta Vaudene-ren jatorrizko eskemaren urrats guztiak egiten: ikusiko duzu erasoak arrakastaz ateratzen duela dagokion testu arrunteko bloketik azken bytea, baina ez doa urrunago. Zifratuaren 16. byte bakoitza deszifratzea trikimailu bikaina da, baina ez da garaipena.
Porrotaren aurrean, Google taldeak azken aukera batera jo zuen: mehatxu-eredu indartsuago batera aldatu ziren, CRIMEn erabiltzen dena. Erasotzailea biktimaren arakatzailearen fitxan exekutatzen ari den script bat dela eta saioko cookieak atera ditzakeela suposatuz, erasoa ikusgarria da oraindik. Mehatxu-eredu zabalagoa ez hain errealista den arren, aurreko atalean ikusi genuen eredu jakin hori bideragarria dela.
Erasotzaile ahalmen indartsuago hauek ikusita, erasoak aurrera jarraitu dezake. Kontuan izan erasotzaileak badakiela enkriptatutako saioko cookiea goiburuan non agertzen den eta aurreko HTTP eskaeraren luzera kontrolatzen duela. Hori dela eta, HTTP eskaera manipulatzeko gai da cookiearen azken bytea blokearen amaierarekin lerrokatuta egon dadin. Orain byte hau deszifratzeko egokia da. Eskaerari karaktere bat gehi diezaiokezu besterik gabe, eta cookiearen azkenaurreko bytea leku berean geratuko da eta metodo bera erabiliz aukeratzeko egokia da. Erasoak horrela jarraitzen du cookie-fitxategia guztiz leheneratu arte. POODLE: Padding Oracle on Downgraded Legacy Encryption deitzen da.
ITOA
Aipatu dugun bezala, SSLv3-k bere akatsak zituen, baina funtsean bere aurrekoaren ezberdina zen, SSLv2 leaky-a beste garai bateko produktua baitzen. Bertan mezua eten dezakezu erdian: ΡΠΎΠ³Π»Π°ΡΡΡΡ Π½Π° ΡΡΠΎ ΡΠΎΠ»ΡΠΊΠΎ ΡΠ΅ΡΠ΅Π· ΠΌΠΎΠΉ ΡΡΡΠΏ bihurtuta ΡΠΎΠ³Π»Π°ΡΡΡΡ Π½Π° ΡΡΠΎ; bezeroak eta zerbitzariak sarean elkartu, konfiantza ezarri eta sekretuak trukatu litezke erasotzailearen aurrean, eta orduan erraz ordezkatu ditzake biak. Esportazio kriptografiarekin ere badago arazoa, FREAK kontuan hartuta aipatu duguna. Hauek Sodoma eta Gomorra kriptografikoak ziren.
2016ko martxoan, arlo tekniko ezberdinetako ikertzaile talde bat elkartu eta aurkikuntza harrigarri bat egin zuen: SSLv2 oraindik erabiltzen da segurtasun sistemetan. Bai, erasotzaileek ezin izan dituzte TLS saio modernoak SSLv2-ra jaitsi, zulo hori FREAK eta POODLEren ondoren itxi zutenetik, baina hala ere zerbitzarietara konektatu eta SSLv2 saioak eurek abiarazi ditzakete.
Galdetuko duzu, zergatik axola zaigu han egiten dutena? Saio zaurgarria dute, baina ez luke eragin behar beste saioetan edo zerbitzariaren segurtasunean - ezta? Beno, ez guztiz. Bai, hala izan behar du teorian. Baina ez - SSL ziurtagiriak sortzeak zama jakin bat ezartzen duelako, zerbitzari askok ziurtagiri berdinak eta, ondorioz, RSA gako berdinak TLS eta SSLv2 konexioetarako erabiltzen dituztelako. Hori gutxi balitz, OpenSSL akats baten ondorioz, SSL inplementazio ezagun honetako "Desgaitu SSLv2" aukerak ez zuen benetan funtzionatu.
Honek posible egin zuen TLS-ren aurkako protokolo gurutzatutako eraso bat, deitua (RSA deszifratzea enkriptatze zaharkitu eta ahulduarekin, RSA deszifratzea enkriptatze zaharkitu eta ahulduarekin). Gogoratu hau ez dela eraso labur baten berdina; erasotzaileak ez du "erdian dagoen gizon" gisa jokatu behar eta ez du bezeroa inplikatu behar saio seguru batean parte hartzeko. Erasotzaileek SSLv2 saio seguru bat abiarazten dute zerbitzariarekin, protokolo ahula erasotzen dute eta zerbitzariaren RSA gako pribatua berreskuratzen dute. Gako honek TLS konexioetarako ere balio du, eta une honetatik aurrera, TLS segurtasun-kopuru batek ez du arriskuan jartzea eragotziko.
Baina crack egiteko, SSLv2-ren aurkako lan-eraso bat behar duzu, trafiko zehatza ez ezik, RSA zerbitzariaren gako sekretua ere berreskuratzeko aukera ematen duena. Konfigurazio konplexua den arren, ikertzaileek SSLv2-ren ondoren guztiz itxita zegoen edozein ahultasun hauta dezakete. Aukera egoki bat aurkitu zuten azkenean: lehen aipatu dugun eta hurrengo artikuluan zehatz-mehatz azalduko dugun Bleichenbacher erasoa. SSL eta TLS eraso honetatik babestuta daude, baina SSLren ausazko ezaugarri batzuek, esportazio mailako kriptografiako gako laburrekin konbinatuta, posible egin zuten. .
Argitaratu zen unean, Interneteko gune nagusien % 25ek DROWN ahultasunak eragin zuen, eta erasoa hacker bakarti bihurriek ere eskura ditzaketen baliabide xumeekin egin zitekeen. Zerbitzariaren RSA gakoa berreskuratzeak zortzi orduko konputazioa eta 440 $ behar zituen, eta SSLv2 zaharkitu izatetik erradioaktibo izatera pasatu zen.
Itxaron, zer gertatzen da Heartbleedekin?
Hau ez da eraso kriptografikoa goian azaldutako zentzuan; Hau buffer gainezka da.
Har dezagun atseden
Oinarrizko teknika batzuekin hasi ginen: indar gordina, interpolazioa, beherakada, protokolo gurutzatua eta aurrekonputazioa. Ondoren, teknika aurreratu bat aztertu genuen, agian eraso kriptografiko modernoen osagai nagusia: orakuluaren erasoa. Denbora dezente eman genuen hura asmatzen, eta azpiko printzipioa ez ezik, bi inplementazio zehatzen xehetasun teknikoak ere ulertu genituen: CBC enkriptatzeko moduaren Vaudenay-ren erasoa eta konpresio aurreko enkriptazio-protokoloen Kelsey-ren erasoa.
Jaitsiera eta aurrekonputazio erasoak aztertzean, FREAK erasoa laburki azaldu dugu, zeinak bi metodoak erabiltzen dituen helburuko guneak gako ahuletara jaitsi eta gero gako berak berrerabiliz. Hurrengo artikulurako, (oso antzekoa) Logjam erasoa gordeko dugu, gako publikoko algoritmoak helburu dituena.
Ondoren, printzipio horien aplikazioaren beste hiru adibide aztertu ditugu. Lehenik, CRIME eta POODLE: erasotzaileak helburuko testu arruntaren ondoan testu arrunt arbitrarioa injektatzeko gaitasunean oinarritzen ziren bi eraso, ondoren zerbitzariaren erantzunak aztertu eta gero,oracle erasoaren metodologia erabiliz, ustiatu informazio urri hori testu arrunta partzialki berreskuratzeko. CRIME-k SSL konpresioaren aurkako Kelsey-ren erasoaren bidetik joan zen, eta POODLE-k, berriz, Vaudenay-ren CBC-ren aurkako erasoaren aldaera bat erabili zuen efektu berarekin.
Ondoren, gure arreta jarri dugu gurutzatutako DROWN erasora, zeinak zerbitzariarekiko konexioa ezartzen baitu ondare SSLv2 protokoloa erabiliz eta gero zerbitzariaren gako sekretuak Bleichenbacher erasoa erabiliz berreskuratzen dituena. Eraso honen xehetasun teknikoak saltatu ditugu oraingoz; Logjam bezala, gako publikoen kriptografia-sistemak eta haien ahultasunak ondo ulertu arte itxaron beharko da.
Hurrengo artikuluan eraso aurreratuei buruz hitz egingo dugu, esate baterako, topaketa erdian, kriptoanalisi diferentziala eta urtebetetze erasoak. Egin dezagun sarrera azkar bat alboko kanaleko erasoetan, eta, gero, pasa ditzagun parte dibertigarrira: gako publikoko kriptosistemak.
Iturria: www.habr.com