Lè w tande mo "kriptografik la," gen kèk moun ki sonje modpas WiFi yo, kadna vèt ki toupre adrès sit entènèt yo pi renmen an, ak ki jan li difisil pou antre nan imel yon lòt moun. Gen lòt ki sonje yon seri vilnerabilite nan dènye ane yo ak abréviations di (DROWN, FREAK, POODLE...), logo élégance ak yon avètisman pou mete ajou navigatè w la ijan.
Kriptografi kouvri li tout, men sans nan nan yon lòt. Pwen an se gen yon liy amann ant senp ak konplèks. Gen kèk bagay ki fasil pou fè, men difisil pou mete ansanm, tankou kraze yon ze. Lòt bagay yo fasil pou fè men difisil pou retounen lè yon ti pati enpòtan, enpòtan ki manke: pa egzanp, louvri yon pòt fèmen lè "pati esansyèl la" se kle a. Kriptografi etidye sitiyasyon sa yo ak fason yo ka itilize nan pratik.
Nan dènye ane yo, koleksyon atak kriptografik yo te tounen yon zou nan logo flachi, plen ak fòmil ki soti nan papye syantifik, ak bay monte nan yon santiman lugubr jeneral ke tout bagay kase. Men, an reyalite, anpil nan atak yo baze sou kèk prensip jeneral, ak paj kontinuèl nan fòmil yo souvan bouyi desann nan lide fasil-a-konprann.
Nan seri atik sa a, nou pral gade diferan kalite atak kriptografik, ak yon anfaz sou prensip debaz yo. An tèm jeneral epi yo pa egzakteman nan lòd sa a, men nou pral kouvri bagay sa yo:
- Estrateji debaz: fòs brital, analiz frekans, entèpolasyon, degradasyon ak kwa-pwotokòl.
- Vulnerabilite mak: FREAK, KRIM, POODLE, NWAYE, Logjam.
- Estrateji avanse: atak oracle (atak Vodenet, atak Kelsey); metòd rankontre nan mitan an, atak anivèsè nesans, patipri estatistik (kripto-analiz diferans, kripto-analiz entegral, elatriye).
- Atak chanèl bò ak fanmi pwòch yo, teknik analiz echèk.
- Atak sou kriptografi kle piblik: rasin kib, emisyon, mesaj ki gen rapò, atak Coppersmith, algorithm Pohlig-Hellman, Van nimewo, atak Wiener, atak Bleichenbacher.
Atik patikilye sa a kouvri materyèl CI-dessus jiska atak Kelsey a.
Estrateji debaz yo
Atak sa yo senp nan sans ke yo ka prèske konplètman eksplike san anpil detay teknik. Ann eksplike chak kalite atak nan tèm ki pi senp yo, san yo pa antre nan egzanp konplèks oswa ka itilizasyon avanse.
Gen kèk nan atak sa yo lajman vin demode epi yo pa te itilize pou anpil ane. Gen lòt ki ansyen ki toujou regilyèman fofile sou devlopè cryptosystem san mefyan nan 21yèm syèk la. Yo ka konsidere epòk kriptografi modèn yo te kòmanse ak avenman IBM DES, premye chifreman ki te reziste tout atak sou lis sa a.
Senp fòs brital
Konplo a chifreman konsiste de de pati: 1) fonksyon an chifreman, ki pran yon mesaj (tèks klè) konbine avèk yon kle, ak Lè sa a, kreye yon mesaj chifre - tèks chifre; 2) yon fonksyon dechifre ki pran tèks chifreman ak kle epi ki pwodui tèks klè. Tou de chifreman ak dechifre dwe fasil pou kalkile ak kle a—epi difisil pou kalkile san li.
Ann sipoze nou wè tèks chifreman an epi eseye dechifre li san okenn enfòmasyon adisyonèl (yo rele sa yon atak chifretext-sèlman). Si nou yon jan kanmenm maji jwenn kle ki kòrèk la, nou ka fasilman verifye ke li se tout bon kòrèk si rezilta a se yon mesaj rezonab.
Remake byen ke gen de sipozisyon implicite isit la. Premyèman, nou konnen ki jan fè dechifre, se sa ki, ki jan sistèm kriptografik la ap travay. Sa a se yon sipozisyon estanda lè w ap diskite sou kriptografi. Kache detay aplikasyon chifreman an nan men atakè yo ka sanble yon mezi sekirite adisyonèl, men yon fwa atakè a kalkile detay sa yo, sekirite adisyonèl sa a pèdi tou dousman ak irevokabl. Se konsa : Sistèm nan tonbe nan men lènmi an pa ta dwe lakòz deranjman.
Dezyèmman, nou sipoze ke kle ki kòrèk la se kle a sèlman ki pral mennen nan yon dechifre rezonab. Sa a se tou yon sipozisyon rezonab; li satisfè si tèks chifre a pi long pase kle a epi li lizib. Sa a se anjeneral sa k ap pase nan mond reyèl la, eksepte oswa (si ou pa renmen ke nou te sote eksplikasyon an, tanpri gade teyorèm 3.8 ).
Bay pi wo a, yon estrateji rive: tcheke tout kle posib. Se sa yo rele fòs brital, ak yon atak konsa garanti travay kont tout chifreman pratik - evantyèlman. Pou egzanp, fòs brital se ase yo Hack , yon ansyen chifreman kote kle a se yon lèt nan alfabè a, ki vle di jis plis pase 20 kle posib.
Malerezman pou kriptoanalys yo, ogmante gwosè kle a se yon bon defans kont fòs brital. Kòm gwosè kle a ogmante, kantite kle posib ogmante eksponansyèlman. Avèk gwosè kle modèn, senp fòs brital se konplètman Inposibl. Pou w konprann sa nou vle di, ann pran sipèkonpitè ki pi rapid li te ye a apati mitan 2019 la: soti nan IBM, ak pèfòmans pik nan apeprè 1017 operasyon pou chak segonn. Jodi a, longè kle tipik la se 128 bit, ki vle di 2128 konbinezon posib. Pou chèche nan tout kle yo, sipè òdinatè Summit la ap bezwen yon tan ki apeprè 7800 fwa laj Linivè.
Èske fòs brital ta dwe konsidere kòm yon kiryozite istorik? Pa ditou: li se yon engredyan ki nesesè nan liv kwit manje kript analiz la. Raman chifreman yo tèlman fèb ke yo ka sèlman kase pa yon atak entelijan, san yo pa itilize fòs nan yon degre oswa yon lòt. Anpil antay ki gen siksè itilize yon metòd algoritmik pou febli chifreman sib la an premye, epi answit fè yon atak fòs brital.
Analiz frekans
Pifò tèks yo pa kado. Pa egzanp, nan tèks anglè gen anpil lèt 'e' ak atik 'the'; nan dosye binè, gen anpil zewo bytes kòm padding ant moso enfòmasyon. Analiz frekans se nenpòt atak ki pran avantaj de reyalite sa a.
Egzanp kanonik yon chifre ki vilnerab a atak sa a se senp chifreman sibstitisyon an. Nan chif sa a, kle a se yon tab ak tout lèt yo ranplase. Pa egzanp, 'g' ranplase pa 'h', 'o' pa j, kidonk mo 'ale' vin 'hj'. Chif sa a difisil pou fòs brital paske gen anpil tab rechèch posib. Si w enterese nan matematik la, longè kle efikas la se apeprè 88 bits: sa a
. Men, analiz frekans anjeneral vin travay la fè byen vit.
Konsidere tèks chifreman sa a ki trete ak yon chifreman sibstitisyon senp:
XDYLY ALY UGLY XDWNKE WN DYAJYN ANF YALXD DGLAXWG XDAN ALY FLYAUX GR WN OGQL ZDWBGEGZDO
Depi Y rive souvan, ki gen ladan nan fen anpil mo, nou ka pwovizwa asime ke sa a se lèt la e:
XDeLe ALe UGLe XDWNKE WN DeAJeN ANF eALXD DGLAXWG XDAN ALe FLEAUX GR WN OGQL ZDWBGEGZDO
Koup XD repete nan kòmansman plizyè mo. An patikilye, konbinezon XDeLe a klèman sijere mo a these oswa there, kidonk nou kontinye:
theLe ALe UGLe thWNKE WN heAJeN ANF eALth DGLAtWG pase ALe FLeAUt GR WN OGQL ZDWBGEGZDO
Se pou nou plis sipoze sa L Korespondan r, A - a ak sou sa. Li pral pwobableman pran kèk eseye, men konpare ak yon atak fòs brital konplè, atak sa a retabli tèks orijinal la nan pa gen tan:
gen plis bagay nan syèl la ak tè a horatio ke yo reve nan filozofi ou
Pou kèk moun, rezoud "kriptogram" sa yo se yon plezi enteresan.
Lide analiz frekans yo pi fondamantal pase sa li sanble nan premye gade. Epi li aplike nan chifreman pi konplèks. Pandan tout listwa, plizyè desen chifre yo te eseye kontrekare yon atak konsa lè l sèvi avèk "sibstitisyon polialfabetik". Isit la, pandan pwosesis chifreman an, tab sibstitisyon lèt la modifye nan fason konplèks men previzib ki depann de kle a. Tout chif sa yo te konsidere kòm difisil pou kraze nan yon sèl fwa; e ankò modès analiz frekans evantyèlman bat yo tout.
Chif polialfabetik ki pi anbisye nan listwa, e petèt pi popilè a, se Enigma chifre nan Dezyèm Gè Mondyal la. Li te relativman konplèks konpare ak predesesè li yo, men apre anpil travay di, kriptanalist Britanik fann li lè l sèvi avèk analiz frekans. Natirèlman, yo pa t 'kapab devlope yon atak elegant tankou yon sèl ki montre pi wo a; yo te oblije konpare pè li te ye nan tèks plen ak chifretèks (sa yo rele "atak la tèks klè"), e menm pwovoke itilizatè Enigma yo ankripte sèten mesaj ak analize rezilta a ("atak la tèks klè chwazi"). Men, sa a pa t 'fè sò a nan lame lènmi yo bat yo ak soumaren koule pi fasil.
Apre triyonf sa a, analiz frekans te disparèt nan istwa kript analiz. Chif nan laj dijital modèn yo fèt pou travay avèk bit, pa lèt. Sa ki pi enpòtan, chifreman sa yo te fèt ak konpreyansyon fè nwa nan sa ki pita te vin rekonèt kòm : Nenpòt moun ka kreye yon algorithm chifreman ke yo menm yo pa ka kraze. Li pa ase pou sistèm chifreman an te sanble difisil: pou pwouve valè li, li dwe sibi yon revizyon sekirite san pitye pa anpil kriptoanalys ki pral fè pi byen yo fann chifreman an.
Kalkil preliminè
Pran vil ipotetik Precom Heights, popilasyon 200. Chak kay nan vil la gen yon mwayèn de $000 valè de valè, men pa plis pase $30 yon valè.Mache sekirite nan Precom monopolize pa ACME Industries, ki pwodui lejand klas Coyote™ kadna pòt yo. Dapre analiz ekspè, yon seri Coyote-klas ka sèlman kase pa yon machin ipotetik trè konplèks, kreyasyon an ki mande apeprè senk ane ak $ 000 nan envestisman. Èske vil la an sekirite?
Gen plis chans non. Evantyèlman, yon kriminèl jistis anbisye ap parèt. Li pral rezone konsa: “Wi, mwen pral fè gwo depans alavans. Senk ane pasyan ap tann, ak $ 50 000. Men, lè mwen fini, mwen pral gen aksè a tout richès nan vil sa a. Si mwen jwe kat mwen byen, envestisman sa a ap peye pou tèt li anpil fwa."
Menm bagay la tou vre nan kriptografik. Atak kont yon chifre patikilye yo sijè a yon analiz pri-benefis san pitye. Si rapò a favorab, atak la pa pral rive. Men, atak ki travay kont anpil viktim potansyèl nan yon fwa prèske toujou peye, nan ka sa a pi bon pratik konsepsyon se sipoze yo te kòmanse depi premye jou. Nou gen esansyèlman yon vèsyon kriptografik Lwa Murphy a: "Nenpòt bagay ki ka aktyèlman kraze sistèm nan pral kraze sistèm nan."
Egzanp ki pi senp nan yon sistèm kriptografik ki vilnerab a yon atak prekalkil se yon chifre konstan-keyless. Sa a te ka a ak , ki tou senpleman deplase chak lèt nan alfabè a twa lèt pi devan (tablo a an bouk, kidonk dènye lèt nan alfabè a chiffres twazyèm). Isit la ankò prensip Kerchhoffs la antre nan jwèt: yon fwa yo rache yon sistèm, yo rache li pou tout tan.
Konsèp la senp. Menm yon devlopè kriptografik inisyasyon ap gen chans pou rekonèt menas la epi prepare kòmsadwa. Gade nan evolisyon nan kriptografik, atak sa yo te apwopriye pou pifò chifreman, soti nan premye vèsyon yo amelyore nan chifreman Seza a jouk n bès nan chifreman polialfabetik. Atak sa yo sèlman retounen ak avenman nan epòk modèn nan kriptografik.
Retounen sa a se akòz de faktè. Premyèman, sifizameman konplèks kriptosistèm finalman parèt, kote posibilite pou eksplwatasyon apre Hacking pa t 'evidan. Dezyèmman, kriptografik te vin tèlman gaye ke dè milyon de pwofàn te pran desizyon chak jou sou ki kote ak ki pati nan kriptografik yo reitilize. Li te pran kèk tan anvan ekspè reyalize risk yo ak leve alam la.
Sonje atak la precalculasyon: nan fen atik la nou pral gade nan de egzanp kriptografik lavi reyèl kote li te jwe yon wòl enpòtan.
Entèpolasyon
Isit la se detektif la pi popilè Sherlock Holmes, fè yon atak entèpolasyon sou malerèz Dr Watson la:
Mwen te devine imedyatman ke ou te soti nan Afganistan... Tren panse mwen an te jan sa a: "Nonm sa a se yon doktè pa kalite, men li gen yon portant militè. Se konsa, yon doktè militè. Li fèk rive soti nan twopik yo - figi l 'fè nwa, men sa a se pa lonbraj natirèl la nan po l', depi ponyèt li yo pi blan. Figi a se haggard - evidamman, li te soufri anpil ak soufri nan maladi. Li te blese nan men gòch li - li kenbe li san mouvman ak yon ti kras anòmal. Ki kote nan twopik yo ta ka yon doktè militè angle andire difikilte ak blese? Natirèlman, nan Afganistan." Tout tren panse a pa t pran menm yon segond. Se konsa, mwen te di ke ou soti nan Afganistan, epi ou te sezi.
Holmes te kapab ekstrè anpil ti enfòmasyon nan chak prèv endividyèlman. Li te kapab sèlman rive nan konklizyon li lè li konsidere yo tout ansanm. Yon atak entèpolasyon travay menm jan an lè li egzamine pè tèks klè ak tèks chifre ki soti nan menm kle a. Soti nan chak pè, obsèvasyon endividyèl yo ekstrè ki pèmèt yon konklizyon jeneral sou kle a yo dwe trase. Tout konklizyon sa yo vag epi yo sanble initil jiskaske yo toudenkou rive nan yon mas kritik epi mennen nan sèlman konklizyon posib: kèlkeswa jan li enkwayab, li dwe vre. Apre sa, swa kle a revele, oswa pwosesis dechifre la vin tèlman rafine ke li ka repwodui.
Ann ilistre ak yon egzanp senp ki jan entèpolasyon fonksyone. Ann di nou vle li jounal pèsonèl ènmi nou an, Bob. Li ankripte chak nimewo nan jounal pèsonèl li lè l sèvi avèk yon senp sistèm kriptografik li te aprann nan yon reklam nan magazin "A Mock of Cryptography." Sistèm nan travay konsa: Bob chwazi de nonb li renmen: и . Depi koulye a, ankripte nenpòt nimewo , li kalkile . Pou egzanp, si Bob te chwazi и , Lè sa a, nimewo a pral chiffres kòm .
Ann di 28 desanm nou remake ke Bob tap grate yon bagay nan jounal li. Lè li fini, nou pral pran li tou dousman epi gade dènye antre a:
Dat:
235/520Chè Jounal,
Jodi a te yon bon jou. Atravè
64jodia mwen gen yon dat ak Alisa, ki ap viv nan yon apatman843. Mwen reyèlman panse li ta ka26!
Piske nou serye anpil pou nou swiv Bob nan dat li (nou tou de gen 15 nan senaryo sa a), li enpòtan pou konnen dat la ansanm ak adrès Alice. Erezman, nou remake ke sistèm kriptografik Bob a vilnerab a yon atak entèpolasyon. Nou ka pa konnen и , men nou konnen dat jodi a, kidonk nou gen de pè tèks klè-tèks chifreman. Savwa, nou konnen sa kode nan Ak - nan . Men sa nou pral ekri:
Depi nou gen 15 an, nou deja konnen sou yon sistèm de ekwasyon ak de enkoni, ki nan sitiyasyon sa a ase pou jwenn и san okenn pwoblèm. Chak pè tèks klè-tèks chifreman mete yon kontrent sou kle Bob a, epi de kontrent yo ansanm ase pou refè kle a nèt. Nan egzanp nou an repons lan se и (nan , konsa 26 nan jounal pèsonèl la koresponn ak mo 'yon sèl la', se sa ki, "menm nan" - approx. liy).
Atak entèpolasyon yo, nan kou, pa limite a sa yo egzanp senp. Chak sistèm kriptografik ki diminye nan yon objè matematik ki byen konprann ak yon lis paramèt gen risk pou yon atak entèpolasyon-plis objè a konprann, se pi gwo risk la.
Nouvo ki fèk vini yo souvan plenyen ke kriptografi se "atizay la nan konsepsyon bagay yo lèd ke posib." Atak entèpolasyon se pwobableman lajman blame. Bob ka swa sèvi ak yon konsepsyon matematik elegant oswa kenbe dat li ak Alice prive - men Ay, anjeneral ou pa ka genyen li tou de fason. Sa a pral vin klè anpil lè nou evantyèlman rive nan sijè a nan kriptografi kle piblik.
Kwa pwotokòl / downgrade
Nan Now You See Me (2013), yon gwoup ilizyonis eseye vòlò magna asirans koripsyon Arthur Tressler soti nan tout fòtin li. Pou jwenn aksè nan kont labank Arthur, illusionists yo dwe swa bay non itilizatè l ak modpas li oswa fòse l parèt an pèsòn nan bank la epi patisipe nan konplo a.
Tou de opsyon yo trè difisil; Mesye yo abitye fè sou sèn, epi yo pa patisipe nan operasyon entèlijans. Se konsa, yo chwazi twazyèm opsyon posib: konplis yo rele bank la epi pretann yo dwe Arthur. Bank la poze plizyè kesyon pou verifye idantite, tankou non tonton an ak non premye bèt kay la; ewo nou yo davans . Apati pwen sa a, sekirite modpas ekselan pa enpòtan ankò.
(Dapre yon lejand iben ke nou te pèsonèlman verifye ak verifye, yon fwa kriptograf Eli Beaham te rankontre yon bank ki te ensiste pou l poze yon kesyon sekirite. Lè kesye a te mande non grann manman l, Beaham te kòmanse dikte: “Kapital X, ti y, twa... ").
Se menm bagay la tou nan kriptografik, si yo itilize de pwotokòl kriptografik an paralèl pou pwoteje menm avantaj la, epi youn pi fèb pase lòt la. Sistèm ki kapab lakòz yo vin vilnerab a yon atak kwa-pwotokòl, kote yo atake yon pwotokòl ki pi fèb pou yo ka rive jwenn pri a san yo pa manyen youn ki pi fò.
Nan kèk ka konplèks, li pa ase tou senpleman kontakte sèvè a lè l sèvi avèk yon pwotokòl ki pi fèb, men mande pou patisipasyon envolontè yon kliyan lejitim. Sa a ka òganize lè l sèvi avèk sa yo rele atak la downgrade. Pou konprann atak sa a, an n sipoze ke illusionists nou yo gen yon travay ki pi difisil pase nan fim nan. Ann sipoze ke yon anplwaye labank (kesye) ak Arthur te rankontre kèk sikonstans enprevi, sa ki lakòz dyalòg sa a:
Kanbriyolè: Bonjou? Sa a se Arthur Tressler. Mwen ta renmen reset modpas mwen an.
Kesye: Gwo. Tanpri gade nan liv kòd sekrè pèsonèl ou a, paj 28, mo 3. Tout mesaj sa yo pral kode avèk mo espesifik sa a kòm kle. PQJGH. LOTJNAM PGGY MXVRL ZZLQ SRIU HHNMLPPPV…
Kanbriyolè: Hey, hey, tann, tann. Èske sa vrèman nesesè? Èske nou pa ka jis pale tankou moun nòmal?
Kesye: Mwen pa rekòmande pou fè sa.
Kanbriyolè: Mwen jis... gade, mwen te gen yon move jou, oke? Mwen se yon kliyan VIP e mwen pa nan atitid pou fouye nan liv kòd sòt sa yo.
Kesye: Byen. Si ou ensiste, Mesye Tressler. Ki sa ou vle?
Kanbriyolè: Tanpri, mwen ta renmen bay tout kòb mwen nan Arthur Tressler National Victims Fund.
(Poz).
Kesye: Èske li klè kounye a. Tanpri bay PIN ou pou gwo tranzaksyon yo.
Kanbriyolè: kisa mwen?
Kesye: Sou demann pèsonèl ou, tranzaksyon nan gwosè sa a mande pou yon PIN pou tranzaksyon gwo. Kòd sa a te ba ou lè ou louvri kont ou.
Kanbriyolè:... Mwen pèdi li. Èske sa vrèman nesesè? Ou pa ka jis apwouve kontra a?
Kesye: Non. M regrèt mesye Tressler. Ankò, sa a se mezi sekirite ou te mande pou. Si ou vle, nou ka voye yon nouvo kòd PIN nan bwat lèt ou a.
Ewo nou yo ranvwaye operasyon an. Yo ekoute plizyè nan gwo tranzaksyon Tressler yo, espere tande PIN la; men chak fwa konvèsasyon an vin tounen yon kode kode anvan anyen enteresan yo di. Finalman, yon bon jou, plan an mete an aksyon. Yo tann avèk pasyans pou moman sa a lè Tressler gen pou fè yon gwo tranzaksyon nan telefòn nan, li vin sou liy lan, epi answit...
Tressler: Bonjou. Mwen ta renmen konplete yon tranzaksyon aleka, tanpri.
Kesye: Gwo. Tanpri gade nan liv kòd sekrè pèsonèl ou a, paj...
(Volè a peze bouton an; vwa kesye a tounen yon bri ki pa konprann).
Kesye: - #@$#@$#*@$$@#* pral kode avèk mo sa a kòm kle. AAAYRR PLRQRZ MMNJK LOJBAN…
Tressler: Padon, mwen pa t byen konprann. Ankò? Sou ki paj? Ki mo?
Kesye: Sa se paj @#$@#*$)#*#@()#@$(#@*$(#@*).
Tressler: Ki sa?
Kesye: Pawòl nimewo ven @$#@$#%#$.
Tressler: Seryezman! Ase deja! Ou menm ak pwotokòl sekirite ou se yon kalite sirk. Mwen konnen ke ou ka jis pale avè m nòmalman.
Kesye: Mwen pa rekòmande…
Tressler: Apre sa, mwen pa konseye w pèdi tan mwen. Mwen pa vle tande plis sou sa jiskaske ou rezoud pwoblèm liy telefòn ou. Èske nou ka finalize kontra sa a oswa ou pa?
Kesye:… Wi. Byen. Ki sa ou vle?
Tressler: Mwen ta renmen transfere $20 nan Lord Business Investments, nimewo kont...
Kesye: Yon minit, tanpri. Sa a se yon gwo zafè. Tanpri bay PIN ou pou gwo tranzaksyon yo.
Tressler: Kisa? Oh, egzakteman. 1234.
Isit la nan yon atak anba. Pwotokòl ki pi fèb "jis pale dirèkteman" te anvizaje kòm opsyon an ka ijans. E poutan la nou ye.
Ou ta ka mande ki moun ki nan bon lide yo ta konsepsyon yon sistèm reyèl "san danje jiskaske yo mande otreman" tankou sa ki dekri pi wo a. Men, menm jan yon bank fiktiv pran risk pou kenbe kliyan ki pa renmen kriptografik, sistèm an jeneral souvan gravite nan direksyon pou kondisyon ki endiferan oswa menm kareman ostil sekirite.
Sa a se egzakteman sa ki te pase ak pwotokòl SSLv2 an 1995. Gouvènman Ameriken an te kòmanse wè kriptografik depi lontan kòm yon zam ki pi byen kenbe lwen ènmi etranje ak domestik. Moso kòd yo te apwouve endividyèlman pou ekspòtasyon soti nan Etazini, souvan ak kondisyon an ke algorithm la te fè espre febli. Netscape, devlopè navigatè ki pi popilè a, Netscape Navigator, te bay pèmisyon pou SSLv2 sèlman ak kle RSA 512-bit vilnerab nannan (ak 40-bit pou RC4).
Rive nan fen milenè a, règ yo te dekontrakte ak aksè a chifreman modèn te vin lajman disponib. Sepandan, kliyan ak sèvè yo sipòte kriptografik "ekspòtasyon" febli pandan plizyè ane akòz inèsi a menm ki kenbe sipò pou nenpòt sistèm eritaj. Kliyan yo te kwè ke yo ta ka rankontre yon sèvè ki pa sipòte nenpòt lòt bagay. Serveurs yo te fè menm bagay la. Natirèlman, pwotokòl SSL la dikte ke kliyan ak serveurs pa ta dwe janm sèvi ak yon pwotokòl fèb lè yon pi bon youn ki disponib. Men, menm site la aplike nan Tressler ak bank li.
Teyori sa a te jwenn wout li nan de gwo pwofil atak ki souke sekirite pwotokòl SSL la nan 2015, tou de dekouvri pa chèchè Microsoft ak . Premyèman, detay sou atak FREAK la te revele nan mwa fevriye, ki te swiv twa mwa pita pa yon lòt atak menm jan an ki rele Logjam, ke nou pral diskite an plis detay lè nou deplase sou atak sou kriptografi kle piblik.
Vulnerabilite (li rele tou "Smack TLS") te vin parèt lè chèchè te analize aplikasyon kliyan/sèvè TLS epi yo te dekouvri yon ensèk kirye. Nan aplikasyon sa yo, si kliyan an pa menm mande pou sèvi ak kriptografik ekspòtasyon fèb, men sèvè a toujou reponn ak kle sa yo, kliyan an di "Oh byen" epi chanje nan yon suite chifre fèb.
Nan epòk la, kriptografi ekspòtasyon yo te konsidere kòm demode ak ki pa limite, kidonk atak la te vin yon chòk konplè epi li te afekte anpil domèn enpòtan, tankou Mezon Blanch, IRS, ak sit NSA. Menm pi mal, li sanble ke anpil sèvè vilnerab yo te optimize pèfòmans nan reitilize menm kle yo olye ke jenere nouvo pou chak sesyon. Sa a te fè li posib, apre yo fin degrade pwotokòl la, pote soti nan yon atak pre-konpitasyon: fann yon kle rete relativman chè ($ 100 ak 12 èdtan nan moman piblikasyon an), men pri a pratik nan atake koneksyon an te siyifikativman redwi. Li se ase yo chwazi kle nan sèvè yon fwa ak krak chifreman an pou tout koneksyon ki vin apre soti nan moman sa a sou.
E anvan nou kontinye, gen yon atak avanse ki bezwen mansyone...
Oracle atak
pi byen li te ye kòm papa a nan kwa-platfòm aplikasyon an kriptografik mesaj Signal; men nou pèsonèlman renmen youn nan pi piti inovasyon li yo - (Prinsip fayit kriptografik). Pou parafraze yon ti kras, nou ka di sa a: "Si pwotokòl la fè nenpòt fè yon operasyon kriptografik sou yon mesaj ki soti nan yon sous potansyèlman move epi li konpòte yon fason diferan selon rezilta a, li kondane." Oswa nan yon fòm pi byen file: "Pa pran enfòmasyon nan men lènmi an pou trete, epi si ou oblije, Lè sa a, omwen pa montre rezilta a."
Ann kite debòde tanpon, piki kòmande, ak lòt bagay konsa; yo depase limit diskisyon sa a. Vyolasyon "prensip fayit la" mennen nan antay kriptografik grav akòz lefèt ke pwotokòl la konpòte egzakteman jan yo espere.
Kòm yon egzanp, ann pran yon konsepsyon fiktiv ak yon chifreman sibstitisyon vilnerab, ak Lè sa a, demontre yon atak posib. Pandan ke nou te deja wè yon atak sou yon chifreman sibstitisyon lè l sèvi avèk analiz frekans, li pa jis "yon lòt fason yo kraze menm chif la." Okontrè, atak Oracle se yon envansyon pi modèn, aplikab pou anpil sitiyasyon kote analiz frekans echwe, epi nou pral wè yon demonstrasyon sa a nan pwochen seksyon an. Isit la yo chwazi chifreman an senp sèlman pou fè egzanp lan pi klè.
Se konsa, Alice ak Bob kominike lè l sèvi avèk yon chifreman sibstitisyon senp lè l sèvi avèk yon kle yo konnen sèlman. Yo trè strik sou longè mesaj yo: yo gen egzakteman 20 karaktè nan longè. Se konsa, yo te dakò ke si yon moun te vle voye yon mesaj ki pi kout, yo ta dwe ajoute kèk tèks enbesil nan fen mesaj la pou fè li egzakteman 20 karaktè. Apre kèk diskisyon, yo deside ke yo ta sèlman aksepte tèks enbesil sa yo: a, bb, ccc, dddd elatriye Kidonk, yo konnen yon tèks enbesil ki gen nenpòt longè ki nesesè.
Lè Alice oswa Bob resevwa yon mesaj, yo premye tcheke si mesaj la se longè ki kòrèk la (20 karaktè) ak sifiks la se tèks enbesil ki kòrèk la. Si sa a se pa ka a, Lè sa a, yo reponn ak yon mesaj erè apwopriye. Si longè tèks la ak tèks enbesil yo ok, moun k ap resevwa a li mesaj la li menm epi li voye yon repons chiffres.
Pandan atak la, atakè a imite Bob epi voye fo mesaj bay Alice. Mesaj yo se istwa san sans konplè - atakè a pa gen kle a, ak Se poutèt sa pa ka fòje yon mesaj ki gen sans. Men, depi pwotokòl la vyole prensip fayit la, yon atakè ka toujou pyèj Alice nan revele enfòmasyon kle yo, jan yo montre anba a.
Kanbriyolè:
PREWF ZHJKL MMMN. LAAlice: Tèks enbesil ki pa valab.
Kanbriyolè:
PREWF ZHJKL MMMN. LBAlice: Tèks enbesil ki pa valab.
Kanbriyolè:
PREWF ZHJKL MMMN. LCAlice:
ILCT? TLCT RUWO PUT KCAW CPS OWPOW!
Kanbriyolè a pa gen okenn lide sa Alice jis di, men li note ke senbòl la C dwe matche a, depi Alice te aksepte tèks enbesil la.
Kanbriyolè:
REWF ZHJKL MMMN. LAAAlice: Tèks enbesil ki pa valab.
Kanbriyolè:
REWF ZHJKL MMMN. LBBAlice: Tèks enbesil ki pa valab.
Apre yon kantite tantativ...
Kanbriyolè:
REWF ZHJKL MMMN. LGGAlice: Tèks enbesil ki pa valab.
Kanbriyolè:
REWF ZHJKL MMMN. LHHAlice:
TLQO JWCRO FQAW SUY LCR C OWQXYJW. IW PWWR TU TCFA CHUYT TLQO JWFCTQUPOLQZ.
Yon fwa ankò, atakè a pa gen okenn lide sa Alice jis di, men remake ke H dwe matche ak b depi Alice aksepte tèks enbesil la.
Ak sou sa jiskaske atakè a konnen siyifikasyon an nan chak karaktè.
Nan premye gade, metòd la sanble ak yon atak tèks klè. Nan fen a, atakè a chwazi chifretèks yo, ak sèvè a obeyisan trete yo. Diferans prensipal ki fè atak sa yo viab nan mond reyèl la se ke atakè a pa bezwen aksè nan transkripsyon aktyèl la - yon repons sèvè, menm yon sèl inonsan tankou "Tèks enbesil envalid," se ase.
Pandan ke atak patikilye sa a se edikatif, pa jwenn twò pandye sou spesifik yo nan "tèks enbesil" konplo a, sistèm kriptografik espesifik yo itilize, oswa sekans egzak mesaj atakè a voye. Lide debaz la se ki jan Alice reyaji yon fason diferan selon pwopriyete yo nan tèks plenn lan, epi li fè sa san yo pa verifye ke tèks chifre korespondan an aktyèlman soti nan yon pati ou fè konfyans. Kidonk, Alice pèmèt atakè a peze enfòmasyon sekrè nan repons li yo.
Gen anpil bagay ki ka chanje nan senaryo sa a. Senbòl yo ke Alice reyaji a, oswa diferans lan anpil nan konpòtman li, oswa menm sistèm kriptografik yo itilize a. Men, prensip la ap rete menm jan an, epi atak la an antye ap rete solid nan yon fòm oswa yon lòt. Aplikasyon debaz atak sa a te ede dekouvri plizyè ensèk sekirite, ke nou pral gade byento; men anvan gen kèk leson teyorik yo dwe aprann. Ki jan yo sèvi ak sa a fiktiv "Alice script" nan yon atak ki ka travay sou yon chifre modèn reyèl? Èske sa menm posib, menm nan teyori?
An 1998, kriptograf Swis Daniel Bleichenbacher te reponn kesyon sa a nan afimatif. Li te demontre yon atak oracle sou lajman itilize piblik kle kriptosistèm RSA a, lè l sèvi avèk yon konplo mesaj espesifik. Nan kèk aplikasyon RSA, sèvè a reponn ak mesaj erè diferan selon si wi ou non tèks plenn nan matche ak konplo a oswa ou pa; sa a te ase yo pote atak la.
Kat ane pita, an 2002, kriptograf franse Serge Vaudenay te demontre yon atak oracle prèske idantik ak sa ki dekri nan senaryo Alice pi wo a - eksepte ke olye pou yo yon chifreman fiktif, li te kraze tout yon klas respektab nan chifreman modèn ke moun yo aktyèlman itilize. An patikilye, atak Vaudenay a vize chifreman gwosè antre fiks ("chiffrè blòk") lè yo itilize yo nan sa yo rele "mòd chifreman CBC" ak yon sèten konplo padding popilè, fondamantalman ekivalan a youn nan senaryo a Alice.
Epitou nan 2002, kriptograf Ameriken John Kelsey - ko-otè — pwopoze divès kalite atak oracle sou sistèm ki konprese mesaj epi answit ankripte yo. Pi remakab nan mitan sa yo se te yon atak ki te pwofite lefèt ke li se souvan posib yo dedwi longè orijinal la nan tèks plenn nan longè a nan chifreman an. Nan teyori, sa pèmèt pou yon atak Oracle ki refè pati nan tèks orijinal la.
Anba a nou bay yon deskripsyon pi detaye sou atak Vaudenay ak Kelsey (nou pral bay yon deskripsyon pi detaye sou atak Bleichenbacher lè nou ale nan atak sou kriptografi kle piblik). Malgre pi bon efò nou, tèks la vin yon ti jan teknik; Se konsa, si pi wo a ase pou ou, sote de pwochen seksyon yo.
Atak Vodene a
Pou konprann atak Vaudenay la, nou bezwen pale yon ti kras plis sou chifreman blòk ak mòd chifreman. Yon "blòk chifreman" se, jan mansyone, yon chifreman ki pran yon kle ak yon opinyon nan yon sèten longè fiks ("longè blòk") epi ki pwodui yon blòk chiffres ki gen menm longè. Blòk chifre yo lajman itilize epi yo konsidere yo relativman an sekirite. Des kounye a retrete, konsidere kòm premye chifreman modèn, se te yon chifreman blòk. Kòm mansyone pi wo a, menm bagay la tou vre pou AES, ki lajman itilize jodi a.
Malerezman, chifreman blòk yo gen yon sèl feblès flagran. Gwosè blòk tipik la se 128 bits, oswa 16 karaktè. Li evidan, kriptografi modèn mande pou travay ak pi gwo done opinyon, e sa a se kote mòd chifreman antre nan jwèt. Mòd chifreman se esansyèlman yon Hack: li se yon fason yo yon jan kanmenm aplike yon chifreman blòk ki sèlman aksepte opinyon nan yon gwosè sèten nan opinyon nan yon longè abitrè.
Atak Vodene a konsantre sou mòd operasyon popilè CBC (Cipher Block Chaining). Atak la trete chifreman an blòk kache kòm yon bwat nwa majik, inexpugnable epi konplètman kontourne sekirite li yo.
Men yon dyagram ki montre kijan mòd CBC fonksyone:
Plus ansèkle la vle di operasyon XOR (OSWA eksklizif). Pou egzanp, yo resevwa dezyèm blòk nan chifreman:
- Lè w fè yon operasyon XOR sou dezyèm blòk tèks klè ak premye blòk tèks chifreman an.
- Ankripte blòk ki lakòz la ak yon chifreman blòk lè l sèvi avèk yon kle.
Depi CBC fè gwo itilizasyon operasyon binè XOR la, ann pran yon ti moman pou n sonje kèk nan pwopriyete li yo:
- Idepotans:
- Komutativite:
- Asosyativite:
- Oto-reversibilite:
- Byte gwosè: byte n nan = (byte n nan ) (byte n nan )
Tipikman, pwopriyete sa yo vle di ke si nou gen yon ekwasyon ki enplike operasyon XOR ak yon sèl enkoni, li ka rezoud. Pa egzanp, si nou konnen sa ak enkoni a ak pi popilè и , Lè sa a, nou ka konte sou pwopriyete yo mansyone pi wo a pou rezoud ekwasyon an pou . Lè w aplike XOR sou tou de bò ekwasyon an ak , nou jwenn . Tout bagay sa yo pral vin trè enpòtan nan yon moman.
Gen de ti diferans ak yon gwo diferans ant senaryo Alice nou an ak atak Vaudenay la. De minè:
- Nan script la, Alice te espere tèks plenn yo fini ak karaktè yo
a,bb,cccak sou sa. Nan atak Wodene, viktim nan pito espere tèks plenn yo fini N fwa ak N byte a (ki vle di, egzadesimal 01 oswa 02 02, oswa 03 03 03, ak sou sa). Sa a se piman yon diferans kosmetik. - Nan senaryo a Alice, li te fasil pou di si Alice te aksepte mesaj la pa repons lan "Tèks enbesil enkòrèk." Nan atak Vodene a, plis analiz nesesè e egzekisyon presi sou bò viktim nan enpòtan; men pou yon fason ki kout, an nou pran li kòm yon done ke analiz sa a toujou posib.
Diferans prensipal:
- Piske nou pa sèvi ak menm sistèm kriptografik la, relasyon ki genyen ant bytes ciphertext atakè yo kontwole ak sekrè yo (kle ak tèks klè) pral evidamman diferan. Se poutèt sa, atakè a pral oblije sèvi ak yon estrateji diferan lè li kreye tèks chifre ak entèprete repons sèvè.
Gwo diferans sa a se dènye pyès devinèt la pou w konprann atak Vaudenay la, kidonk ann pran yon ti moman pou n reflechi sou poukisa ak kijan yon atak oracle sou CBC ka monte an premye.
Sipoze nou bay yon tèks chifreman CBC nan 247 blòk, epi nou vle dechifre li. Nou ka voye fo mesaj bay sèvè a, menm jan nou te ka voye fo mesaj bay Alice anvan. Sèvè a pral dechifre mesaj yo pou nou, men li pa pral montre dechifre a - olye de sa, ankò, menm jan ak Alice, sèvè a pral rapòte sèlman yon ti kras nan enfòmasyon: si wi ou non tèks la gen padding valab oswa ou pa.
Konsidere ke nan senaryo Alice a nou te gen relasyon sa yo:
$$montre$$tèks{SIMPLE_SUBSTITUTION}(tèks{chifftèks},tèks{kle}) = tèks{tèks klè}$$montre$$
Ann rele sa "ekwasyon Alice." Nou te kontwole chifreman an; sèvè a (Alice) te koule enfòmasyon vag sou tèks plenn te resevwa a; e sa te pèmèt nou dedwi enfòmasyon sou dènye faktè a - kle a. Pa analoji, si nou ka jwenn yon koneksyon konsa pou script CBC a, nou ta ka kapab ekstrè kèk enfòmasyon sekrè la tou.
Erezman, gen reyèlman relasyon yo deyò ke nou ka itilize. Konsidere pwodiksyon apèl final la pou dechifre yon chifreman blòk epi endike pwodiksyon sa a kòm . Nou endike tou blòk tèks klè ak blòk tèks chifreman . Pran yon lòt gade nan dyagram CBC la epi remake sa k ap pase:
Ann rele sa "ekwasyon CBC."
Nan senaryo Alice a, lè nou siveye tèks chifre a epi gade koule tèks ki koresponn lan, nou te kapab monte yon atak ki refè twazyèm tèm nan ekwasyon an—kle a. Nan senaryo CBC a, nou menm tou nou kontwole tèks chifre a epi obsève fwit enfòmasyon sou tèks plenn ki koresponn lan. Si analoji a kenbe, nou ka jwenn enfòmasyon sou .
Ann sipoze nou vrèman retabli , ebyen? Oke, Lè sa a, nou ka enprime tout dènye blòk tèks plenn lan nan yon fwa (), tou senpleman pa antre (ki nou genyen) ak
resevwa nan ekwasyon CBC.
Kounye a ke nou optimis sou plan an jeneral nan atak, li lè yo travay sou detay yo. Tanpri peye atansyon sou egzakteman ki jan enfòmasyon tèks klè yo koule sou sèvè a. Nan script Alice a, koule a te fèt paske Alice ta sèlman reponn ak mesaj ki kòrèk la si $inline$text{SIMPLE_SUBSTITUTION}(tèks{ciphertext},text{key})$inline$ te fini ak liy lan. a (Oswa bb, ak sou sa, men chans pou kondisyon sa yo te deklanche pa chans yo te piti anpil). Menm jan ak CBC, sèvè a aksepte padding a si epi sèlman si fini an ekzadesimal 01. Kidonk, ann eseye menm trik la: voye fo chifre ak pwòp fo valè pa nou jiskaske sèvè a aksepte ranpli a.
Lè sèvè a aksepte yon padding pou youn nan fo mesaj nou yo, sa vle di ke:
Koulye a, nou itilize pwopriyete a byte-byte XOR:
Nou konnen premye ak twazyèm tèm yo. Apre sa, nou te deja wè ke sa a pèmèt nou refè tèm ki rete a - dènye byte soti nan :
Sa a tou ba nou dènye byte nan blòk final la tèks plen atravè ekwasyon an CBC ak pwopriyete a byte-pa-byte.
Nou ta ka kite li nan sa a epi yo dwe satisfè ke nou te fè yon atak sou yon sif teyorikman fò. Men, an reyalite nou ka fè pi plis: nou ka aktyèlman refè tout tèks la. Sa a mande pou yon Trick ki pa t 'nan script orijinal Alice a epi li pa obligatwa pou atak la Oracle, men li la toujou vo aprann.
Pou konprann li, premye sonje ke rezilta a nan pwodiksyon valè ki kòrèk la nan dènye byte a se nou gen yon nouvo kapasite. Koulye a, lè fòje chifretèks, nou ka manipile dènye byte nan tèks ki koresponn lan. Ankò, sa a gen rapò ak ekwasyon CBC a ak pwopriyete a byte-pa-byte:
Depi kounye a nou konnen dezyèm tèm nan, nou ka sèvi ak kontwòl nou sou premye a pou kontwole twazyèm lan. Nou tou senpleman kalkile:
Nou pa t 'kapab fè sa anvan paske nou pa t' gen dènye byte a ankò .
Ki jan sa pral ede nou? Sipoze kounye a nou kreye tout tèks chiffrè konsa ke nan tèks plenn ki koresponn yo dènye byte a egal a. 02. Sèvè a kounye a sèlman aksepte padding si tèks plenn lan fini ak 02 02. Depi nou korije dènye byte a, sa ap rive sèlman si penultyèm byte tèks la se 02 tou. Nou kontinye voye fo blòk tèks chifre, chanje penultyèm octet la, jiskaske sèvè a aksepte padding pou youn nan yo. Nan pwen sa a nou jwenn:
Epi nou retabli penultyèm byte a jis tankou dènye a te retabli. Nou kontinye nan menm lespri a: nou korije de dènye octets de plaintext pou 03 03, nou repete atak sa a pou twazyèm byte a soti nan fen a ak sou sa, finalman konplètman restore .
E rès tèks la? Tanpri sonje ke valè a se aktyèlman $inline$text{BLOCK_DECRYPT}(tèks{kle},C_{247})$inline$. Nou ka mete nenpòt lòt blòk pito , epi atak la ap toujou gen siksè. An reyalite, nou ka mande sèvè a fè $inline$text{BLOCK_DECRYPT}$inline$ pou nenpòt done. Nan pwen sa a, li nan jwèt fini - nou ka dechifre nenpòt tèks chifre (pran yon lòt gade nan dyagram nan dechifre CBC pou wè sa a; epi sonje ke IV a se piblik).
Metòd patikilye sa a jwe yon wòl enpòtan nan atak Oracle ke nou pral rankontre pita.
Atak Kelsey la
John Kelsey nou an te eksprime prensip ki baze sou anpil atak posib, pa sèlman detay yon atak espesifik sou yon sif espesifik. Li se yon etid sou atak posib sou done konprese chiffres. Èske w te panse ke enfòmasyon ke done yo te konprese anvan chifreman pa t ase pou fè yon atak? Li sanble ke se ase.
Rezilta etone sa a se akòz de prensip. Premyèman, gen yon gwo korelasyon ant longè tèks plenn lan ak longè tèks chifreman an; pou anpil chifre egalite egzak. Dezyèmman, lè konpresyon fèt, gen tou yon gwo korelasyon ant longè mesaj la konprese ak degre nan "bwi" nan tèks la plenn, se sa ki, pwopòsyon nan karaktè ki pa repete (tèm teknik la se "entropi segondè" ).
Pou wè prensip la an aksyon, konsidere de tèks klè:
Tèks klè 1:
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAATèks klè 2:
ATVXCAGTRSVPTVVULSJQHGEYCMQPCRQBGCYIXCFJGJ
Ann sipoze tou de tèks plenn yo konprese ak Lè sa a, chiffres. Ou jwenn de tèks chifre ki kapab lakòz epi ou dwe devine ki tèks chifre ki matche ak ki tèks klè:
Ciphertext 1:
PVOVEYBPJDPVANEAWVGCIUWAABCIYIKOOURMYDTACiphertext 2:
DWKJZXYU
Repons lan klè. Pami tèks plenn yo, se sèlman tèks plenn 1 ki ka konprese nan longè mèg dezyèm tèks chifreman an. Nou kalkile sa a san yo pa konnen anyen sou algorithm nan konpresyon, kle nan chifreman, oswa menm chifreman nan tèt li. Konpare ak yerachi a nan atak kriptografik posib, sa a se yon kalite fou.
Kelsey fè remake ke nan sèten sikonstans etranj prensip sa a ka itilize tou pou fè yon atak Oracle. An patikilye, li dekri ki jan yon atakè ka refè tèks klè sekrè a si li ka fòse sèvè a ankripte done fòm yo (tèks plenn lan ki te swiv pa pandan li nan kontwòl epi yo ka yon jan kanmenm tcheke longè rezilta a chiffres.
Ankò, tankou lòt atak Oracle, nou gen relasyon an:
Ankò, nou kontwole yon tèm (), nou wè yon ti koule enfòmasyon sou yon lòt manm (ciphertext) epi eseye refè dènye a (plaintext). Malgre analoji a, sa a se yon sitiyasyon yon ti jan etranj konpare ak lòt atak Oracle nou te wè.
Pou ilistre kijan yon atak konsa ta ka fonksyone, ann sèvi ak yon konpresyon fiktif nou jis te vini ak: TOYZIP. Li chèche liy tèks ki te parèt anvan nan tèks la epi li ranplase yo ak twa byte kote ki gen plas ki endike ki kote pou jwenn yon egzanp pi bonè nan liy lan ak konbyen fwa li parèt la. Pou egzanp, liy lan helloworldhello ka konprese nan helloworld[00][00][05] 13 bytes long konpare ak 15 bytes orijinal yo.
Sipoze yon atakè ap eseye refè tèks klè nan yon fòm password=..., kote modpas la li menm se enkoni. Dapre modèl atak Kelsey a, yon atakè te kapab mande sèvè a konprese epi answit ankripte mesaj fòm yo (tèks klè ki te swiv pa ), ki kote - tèks gratis. Lè sèvè a fini travay, li rapòte longè rezilta a. Atak la ale tankou sa a:
Kanbriyolè: Tanpri konprese ak ankripte tèks la san okenn padding.
Sèvè: Longè rezilta 14.
Kanbriyolè: Tanpri konprese ak ankripte tèks ki anons la
password=a.Sèvè: Longè rezilta 18.
Cracker a nòt: [orijinal 14] + [twa bytes ki ranplase password=] + a
Kanbriyolè: Tanpri konprese ak ankripte tèks klè ke yo ajoute
password=b.Sèvè: Longè rezilta 18.
Kanbriyolè: Tanpri konprese ak ankripte tèks klè ke yo ajoute
password=с.Sèvè: Longè rezilta 17.
Cracker a nòt: [orijinal 14] + [twa bytes ki ranplase password=c]. Sa a sipoze ke tèks orijinal la gen fisèl la password=c. Sa vle di, modpas la kòmanse ak yon lèt c
Kanbriyolè: Tanpri konprese ak ankripte tèks klè ke yo ajoute
password=сa.Sèvè: Longè rezilta 18.
Cracker a nòt: [orijinal 14] + [twa bytes ki ranplase password=с] + a
Kanbriyolè: Tanpri konprese ak ankripte tèks klè ke yo ajoute
password=сb.Sèvè: Longè rezilta 18.
(… Kèk tan apre…)
Kanbriyolè: Tanpri konprese ak ankripte tèks klè ke yo ajoute
password=со.Sèvè: Longè rezilta 17.
Cracker a nòt: [orijinal 14] + [twa bytes ki ranplase password=co]. Sèvi ak menm lojik la, atakè a konkli ke modpas la kòmanse ak lèt yo co
Ak sou sa jiskaske tout modpas la retabli.
Lektè a ta jwenn padon pou panse ke sa a se yon egzèsis piman akademik e ke yon senaryo atak konsa pa ta janm leve nan mond reyèl la. Ay, jan nou pral wè byento, li pi bon pa bay moute sou kriptografik.
Mak vilnerabilite: KRIM, POODLE, NWAYE
Finalman, apre yo fin etidye teyori a an detay, nou ka wè ki jan teknik sa yo aplike nan atak kriptografik lavi reyèl.
KRIM
Si atak la vize navigatè ak rezo viktim nan, gen kèk pral pi fasil epi kèk pral pi difisil. Pou egzanp, li fasil wè trafik viktim nan: jis chita avè l 'nan menm kafe a ak WiFi. Pou rezon sa a, viktim potansyèl yo (sa vle di tout moun) yo jeneralman konseye yo sèvi ak yon koneksyon chiffres. Li pral pi difisil, men toujou posib, fè demann HTTP sou non viktim nan sou kèk sit twazyèm pati (pa egzanp, Google). Atakè a dwe atire viktim nan nan yon paj entènèt move ak yon script ki fè demann lan. Navigatè entènèt la pral otomatikman bay bonbon sesyon apwopriye a.
Sa a sanble etonan. Si Bob te ale nan evil.com, Èske script la sou sit sa a jis mande Google pou voye yon imèl modpas Bob a [email protected]? Oke, nan teyori wi, men an reyalite non. Se senaryo sa a yo rele yon atak falsifikasyon demann kwa (, CSRF), epi li te popilè nan mitan ane 90 yo. Jodi a si evil.com eseye trick sa a, Google (oswa nenpòt sit entènèt ki respekte tèt li) pral anjeneral reponn ak, "Bon, men siy CSRF ou a pou tranzaksyon sa a pral ... um... три триллиона и семь. Tanpri repete nimewo sa a." Navigatè modèn yo gen yon bagay yo rele yon "règleman menm orijin" kote scripts sou sit A pa gen aksè a enfòmasyon ki voye pa sit entènèt B. Se konsa, script sou sit la. evil.com ka voye demann bay google.com, men li pa ka li repons yo oswa aktyèlman konplete tranzaksyon an.
Nou dwe mete aksan sou ke sof si Bob ap itilize yon koneksyon chiffres, tout pwoteksyon sa yo pa gen sans. Yon atakè ka senpleman li trafik Bob a epi refè bonbon sesyon Google la. Avèk bonbon sa a, li pral tou senpleman louvri yon nouvo onglet Google san yo pa kite pwòp navigatè l 'yo epi pèsonalite Bob san yo pa rankontre politik sal menm orijin. Men, malerezman pou yon kanbriyolè, sa a ap vin pi piti ak mwens komen. Entènèt la kòm yon antye depi lontan te deklare lagè sou koneksyon ki pa chiffres, ak trafik sortan Bob a se pwobableman chiffres, si li renmen li oswa ou pa. Anplis de sa, depi nan konmansman an nan aplikasyon an nan pwotokòl la, trafik te tou ratresi anvan chifreman; sa a te pratik komen pou diminye latansi.
Sa a se kote li antre nan jwèt (Konpresyon rapò Infoleak te fè fasil, senp flit nan rapò a konpresyon). Vilnerabilite a te revele nan mwa septanm nan 2012 pa chèchè sekirite Juliano Rizzo ak Thai Duong. Nou te deja egzamine tout baz teyorik la, ki pèmèt nou konprann sa yo te fè ak ki jan. Yon atakè ka fòse navigatè Bob a voye demann bay Google epi koute repons yo sou rezo lokal la nan yon fòm konprese, chiffres. Se poutèt sa nou genyen:
Isit la atakè a kontwole demann lan epi li gen aksè a sniffer trafik la, ki gen ladan gwosè a pake. Senaryo fiktiv Kelsey a te vin nan lavi.
Konprann teyori a, otè yo nan CRIME te kreye yon exploit ki ka vòlè bonbon sesyon pou yon pakèt sit, tankou Gmail, Twitter, Dropbox ak Github. Vilnerabilite a te afekte pifò navigatè entènèt modèn yo, sa ki lakòz yo te pibliye plak ki te antere an silans karakteristik konpresyon nan SSL pou li pa ta dwe itilize ditou. Sèl youn ki te pwoteje kont vilnerabilite a se te venerable Internet Explorer, ki pa janm itilize konpresyon SSL ditou.
POODLE
Nan mwa Oktòb 2014, ekip sekirite Google la te fè vag nan kominote sekirite a. Yo te kapab eksplwate yon vilnerabilite nan pwotokòl la SSL ki te patched plis pase dis ane de sa.
Li sanble ke pandan ke serveurs yo ap kouri klere nouvo TLSv1.2 la, anpil moun te kite sipò pou SSLv3 eritaj la pou konpatibilite bak ak Internet Explorer 6. Nou te deja pale sou atak downgrade, kidonk, ou ka imajine sa k ap pase. Yon sabotaj byen òkestre nan pwotokòl la lanmen ak serveurs yo pare pou retounen nan bon SSLv3 fin vye granmoun, esansyèlman defèt 15 dènye ane yo nan rechèch sekirite.
Pou kontèks istorik, :
Transport Layer Security (TLS) se pwotokòl sekirite ki pi enpòtan sou entènèt la. [..] prèske chak tranzaksyon ou fè sou Entènèt la depann de TLS. [..] Men, TLS pa t toujou TLS. Pwotokòl la te kòmanse lavi li nan yo rele "Secure Sockets Layer" oswa SSL. Rimè fè konnen premye vèsyon SSL la te tèlman terib ke devlopè yo te kolekte tout enprime kòd la epi antere yo nan yon dechaj sekrè nan New Mexico. Kòm yon konsekans, premye vèsyon ki disponib piblikman nan SSL se aktyèlman . Li trè pè, ak [..] se te yon pwodwi nan mitan ane 90 yo, ki kriptograf modèn konsidere kòm "" Anpil nan atak kriptografik ki pi afreyan nou konnen jodi a poko dekouvri. Kòm yon rezilta, devlopè yo nan pwotokòl SSLv2 yo te esansyèlman kite yo fouye wout yo nan fè nwa a, epi yo te fè fas a - nan chagren yo ak benefis nou an, depi atak yo sou SSLv2 kite leson anpil valè pou pwochen jenerasyon pwotokòl la.
Apre evènman sa yo, an 1996, yon Netscape fristre te reamenaje pwotokòl SSL la. Rezilta a te SSL vèsyon 3, ki .
Erezman pou vòlè, "kèk" pa vle di "tout". An jeneral, SSLv3 te bay tout blòk ki nesesè pou lanse yon atak Vodene. Pwotokòl la te itilize yon chifreman blòk mòd CBC ak yon konplo padding ensekirite (sa a te korije nan TLS; pakonsekan bezwen pou yon atak downgrade). Si w sonje konplo padding nan deskripsyon orijinal nou an sou atak Vaudenay, konplo SSLv3 a sanble anpil.
Men, malerezman pou vòlè, "menm jan" pa vle di "idantik." Konplo padding SSLv3 se "N octets o aza ki te swiv pa nimewo N". Eseye, nan kondisyon sa yo, chwazi yon blòk imajinè nan tèks chifre epi ale nan tout etap yo nan konplo orijinal Vaudene a: w ap jwenn ke atak la avèk siksè ekstrè dènye byte nan blòk ki koresponn nan tèks plen, men li pa ale pi lwen. Dechifre chak octet 16 nan chifreman an se yon gwo Trick, men li pa yon viktwa.
Te fè fas ak echèk, ekip Google te itilize yon dènye rekou: yo chanje nan yon modèl menas ki pi pwisan - youn nan itilize nan KRIM. Si nou sipoze atakè a se yon script ki kouri nan tab navigatè viktim nan epi li ka ekstrè bonbon sesyon, atak la toujou enpresyonan. Pandan ke modèl menas ki pi laj la mwens reyalis, nou te wè nan seksyon anvan an ke modèl patikilye sa a se posib.
Bay kapasite atakè sa yo ki pi pwisan, atak la ka kontinye kounye a. Remake byen ke atakè a konnen ki kote bonbon sesyon chiffres la parèt nan header la epi li kontwole longè demann HTTP ki vin anvan li. Se poutèt sa, li se kapab manipile demann HTTP pou dènye byte nan bonbon an ki aliyen ak fen blòk la. Koulye a, byte sa a apwopriye pou dechifre. Ou ka tou senpleman ajoute yon karaktè nan demann lan, ak penultyèm byte nan bonbon an ap rete nan menm kote a epi li apwopriye pou seleksyon lè l sèvi avèk menm metòd la. Atak la kontinye nan fason sa a jiskaske dosye bonbon an konplètman restore. Yo rele sa POODLE: Padding Oracle sou Degrade Legacy Encryption.
NONE
Kòm nou mansyone, SSLv3 te gen defo li yo, men li te fondamantalman diferan de predesesè li a, depi SSLv2 a ki gen fuit se te yon pwodwi nan yon epòk diferan. Gen ou ka entèwonp mesaj la nan mitan an: соглашусь на это только через мой труп tounen соглашусь на это; kliyan an ak sèvè te kapab rankontre sou entènèt, etabli konfyans ak echanj sekrè devan atakè a, ki moun ki te kapab fasilman imite tou de. Genyen tou pwoblèm nan ak kriptografi ekspòtasyon, ki nou mansyone lè w ap konsidere FREAK. Sa yo te kriptografik Sodòm ak Gomò.
Nan mwa mas 2016, yon ekip chèchè ki soti nan diferan domèn teknik te reyini e te fè yon dekouvèt sezisman: SSLv2 toujou itilize nan sistèm sekirite yo. Wi, atakè yo pa t kapab degrade sesyon TLS modèn yo an SSLv2 depi twou sa a te fèmen apre FREAK ak POODLE, men yo ka toujou konekte ak sèvè epi kòmanse sesyon SSLv2 tèt yo.
Ou ka mande, poukisa nou pran swen sa yo fè la? Yo gen yon sesyon vilnerab, men li pa ta dwe afekte lòt sesyon yo oswa sekirite nan sèvè a - dwa? Oke, pa byen. Wi, se konsa li ta dwe nan teyori. Men, non - paske génération sètifika SSL enpoze yon chaj sèten, sa ki lakòz anpil sèvè yo itilize menm sètifika yo epi, kòm yon rezilta, menm kle RSA yo pou koneksyon TLS ak SSLv2. Pou vin pi mal, akòz yon ensèk OpenSSL, opsyon "Dezactive SSLv2" nan aplikasyon SSL popilè sa a pa t 'aktivman travay.
Sa a te fè posib yon atak kwa-pwotokòl sou TLS, yo rele (Dechifre RSA ak eNcryption obsolète ak febli, dechifre RSA ak chifreman demode ak febli). Sonje byen, sa a pa menm ak yon atak kout; atakè a pa bezwen aji kòm yon "moun nan mitan an" epi li pa bezwen enplike kliyan an patisipe nan yon sesyon ansekirite. Atakè yo tou senpleman kòmanse yon sesyon SSLv2 ensekirite ak sèvè a tèt yo, atake pwotokòl ki fèb la, epi refè kle prive RSA sèvè a. Kle sa a valab tou pou koneksyon TLS, epi apati pwen sa a, pa gen okenn kantite sekirite TLS ki pral anpeche li konpwomèt.
Men, krak li, ou bezwen yon atak k ap travay kont SSLv2, ki pèmèt ou refè pa sèlman trafik espesifik, men tou, kle a sèvè RSA sekrè. Malgre ke sa a se yon konfigirasyon konplèks, chèchè yo te kapab chwazi nenpòt vilnerabilite ki te konplètman fèmen apre SSLv2. Yo te jwenn evantyèlman yon opsyon apwopriye: atak la Bleichenbacher, ke nou mansyone pi bonè e ke nou pral eksplike an detay nan pwochen atik la. SSL ak TLS yo pwoteje kont atak sa a, men kèk karakteristik o aza nan SSL, konbine avèk kle kout nan kriptografi ekspòtasyon-klas, te fè li posib. .
Nan moman piblikasyon an, 25% nan pi gwo sit Entènèt la te afekte pa vilnerabilite NOUYE a, epi atak la te kapab fèt ak resous modès ki disponib nan menm entru malfezans poukont yo. Rekipere kle RSA sèvè a te mande uit èdtan nan kalkil ak $ 440, ak SSLv2 te soti nan demode nan radyo-aktif.
Tann, e Heartbleed?
Sa a se pa yon atak kriptografik nan sans ki dekri pi wo a; Sa a se yon debòde tanpon.
Ann pran yon ti repo
Nou te kòmanse ak kèk teknik debaz: fòs brital, entèpolasyon, degradasyon, kwa-pwotokòl, ak prekalkil. Lè sa a, nou te gade yon teknik avanse, petèt eleman prensipal la nan atak kriptografik modèn: atak la Oracle. Nou te pase anpil tan pou n kalkile li - epi nou te konprann non sèlman prensip ki kache a, men tou detay teknik de aplikasyon espesifik: atak Vaudenay sou mòd chifreman CBC ak atak Kelsey sou pwotokòl chifreman pre-konpresyon.
Nan revize atak degrade ak prekonputasyon, nou te dekri yon ti tan atak FREAK la, ki sèvi ak tou de metòd lè yo gen sit sib yo desann nan kle ki fèb epi apresa reitilize menm kle yo. Pou pwochen atik la, nou pral sove atak Logjam (trè menm jan an), ki vize algoritm kle piblik yo.
Apre sa, nou te gade twa lòt egzanp sou aplikasyon prensip sa yo. Premyèman, KRIM ak POODLE: de atak ki te konte sou kapasite atakè a pou enjekte tèks klè abitrè akote tèks plen sib la, Lè sa a, egzamine repons sèvè a ak lè sa a,sèvi ak metodoloji atak Oracle, eksplwate enfòmasyon sa yo ra pou,pasyèlman refè tèks plenn lan. KRIM te ale nan wout atak Kelsey a sou konpresyon SSL, pandan y ap POODLE olye te itilize yon varyant nan atak Vaudenay a sou CBC ak menm efè a.
Lè sa a, nou te vire atansyon nou sou kwa-pwotokòl DOWN atak la, ki etabli yon koneksyon ak sèvè a lè l sèvi avèk eritaj SSLv2 pwotokòl la ak Lè sa a, refè kle sekrè sèvè a lè l sèvi avèk atak la Bleichenbacher. Nou te sote detay teknik atak sa a pou kounye a; tankou Logjam, li pral oblije rete tann jiskaske nou gen yon bon konpreyansyon sou kriptosistèm kle piblik yo ak frajilite yo.
Nan pwochen atik la nou pral pale sou atak avanse tankou rankontre nan mitan an, kripto analiz diferans ak atak anivèsè nesans. Se pou nou fè yon infiltrasyon rapid nan atak bò-chanèl, ak Lè sa a, ale nan pati nan plezi: kriptosistèm kle piblik yo.
Sous: www.habr.com