In team fan ûndersikers fan 'e Universiteit fan Kalifornje, San Diego hat de mooglikheid oantoand om de privee RSA-hostkaaien fan in SSH-tsjinner opnij te meitsjen mei passive analyze fan SSH-ferkear. In oanfal kin útfierd wurde op tsjinners dêr't, troch in kombinaasje fan omstannichheden of aksjes fan 'e oanfaller, mislearrings foarkomme by it berekkenjen fan 'e digitale hantekening by it oprjochtsjen fan in SSH-ferbining. Mislearrings kinne wêze of software (ferkearde útfiering fan wiskundige operaasjes, ûnthâld korrupsje) of hardware (flaters yn 'e wurking fan NVRAM en DRAM of mislearrings by stroomûnderbrekking).
Ien fan 'e opsjes foar it stimulearjen fan mislearrings kinne RowHammer-oanfallen wêze, dy't ûnder oare op ôfstân of by it ferwurkjen fan JavaScript-koade yn in blêder tastean om ferfoarming fan' e ynhâld fan yndividuele bits fan ûnthâld te berikken by yntinsyf syklisk lêzen fan gegevens fan oanbuorjende ûnthâldsellen. In oare opsje foar it feroarsaakjen fan mislearrings kin de eksploitaasje fan kwetsberens wêze dy't liede ta bufferoverflows en korrupsje fan gegevens mei kaaien yn it ûnthâld.
De publisearre stúdzje lit sjen dat as digitale hantekeningen basearre op it RSA-algoritme wurde brûkt yn SSH, oanfallen om RSA-privee-kaaien opnij oan te meitsjen mei de Lattice-metoade (Fault Attack) binne fan tapassing op de parameters foar digitale hantekening yn it gefal fan software- of hardwarefouten by de hântekening berekkening proses. De essinsje fan 'e metoade is dat troch it fergelykjen fan korrekte en defekte RSA digitale hantekeningen, kinne jo de grutste mienskiplike divisor bepale om ien fan' e prime getallen te meitsjen dy't brûkt wurde om de kaai te generearjen.
RSA-fersifering is basearre op de eksploitaasje fan in grut oantal eksponentiaasje. De iepenbiere kaai befettet de modulus en graad. De module wurdt foarme basearre op twa willekeurige prime getallen, dy't binne bekend allinnich oan de eigner fan de privee kaai. De oanfal kin tapast wurde op RSA-ymplemintaasjes mei de Sineeske Remainder Theorem en deterministyske paddingskema's lykas PKCS # 1 v1.5.
Om de oanfal út te fieren, is it genôch om legitime ferbiningen mei de SSH-tsjinner passyf te kontrolearjen oant in defekte digitale hântekening yn it ferkear ûntdutsen wurdt, dy't brûkt wurde kin as ynformaasjeboarne om de privee RSA-kaai te rekonstruearjen. Nei it rekonstruearjen fan de RSA-kaai fan 'e host kin de oanfaller, tidens in man-in-the-middle-oanfal, stikem oanfragen omliede nei in falske host dy't him foardoet as in kompromittearre SSH-tsjinner en it ferkear dat dernei oerbrocht wurdt ûnderskeppe. server data.
Troch in kolleksje fan ûnderskepte netwurkgegevens te ûndersiikjen dy't sawat 5.2 miljard records omfette dy't ferbûn binne mei it gebrûk fan it SSH-protokol, identifisearren de ûndersikers sawat 3.2 miljard iepenbiere hostkaaien en digitale hantekeningen dy't brûkt waarden tidens SSH-sesjeûnderhanneling. Dêrfan waarden 1.2 miljard (39.1%) generearre mei it RSA-algoritme. Yn 593671 gefallen (0.048%) wie de RSA-hântekening skansearre en koe net ferifiearre wurde. Foar 4962 mislearre hantekeningen koene wy de Lattice-faktorisaasjemetoade brûke om de privee kaai te bepalen fan 'e bekende iepenbiere kaai, wat resultearre yn' e rekonstruksje fan 189 unike RSA-kaaipearen (yn in protte gefallen waarden deselde kaaien en mislearre apparaten brûkt om te generearjen ferskate skansearre hantekeningen). It duorre sawat 26 oeren CPU-tiid om de kaaien opnij te meitsjen.
It probleem hat allinich ynfloed op spesifike ymplemintaasjes fan it SSH-protokol, primêr brûkt op ynbêde apparaten. Foarbylden fan apparaten mei problematyske SSH-ymplemintaasjes omfetsje produkten fan Zyxel, Cisco, Mocana en Hillstone Networks. OpenSSH wurdt net beynfloede troch dit probleem, om't it de OpenSSL (of LibreSSL) bibleteek brûkt om kaaien te generearjen, dy't sûnt 2001 beskerme is tsjin Fault Attacks. Boppedat is yn OpenSSH it ssh-rsa digitale hantekeningskema (basearre op sha1) sûnt 2020 ôfkard en útskeakele yn ferzje 8.8 (stipe foar de rsa-sha2-256- en rsa-sha2-512-skema's bliuwt). De oanfal koe mooglik fan tapassing wêze op it IPsec-protokol, mar de ûndersikers hiene net genôch eksperimintele gegevens om sa'n oanfal yn 'e praktyk te befestigjen.
Boarne: opennet.ru
