Երբ լսում եք «գաղտնագրություն» բառը, որոշ մարդիկ հիշում են իրենց WiFi գաղտնաբառը, իրենց սիրելի կայքի հասցեի կողքին գտնվող կանաչ կողպեքը և որքան դժվար է ուրիշի էլ. Մյուսները հիշում են վերջին տարիների մի շարք խոցելիություններ՝ խոսուն հապավումներով (DROWN, FREAK, POODLE...), նորաձև լոգոներով և ձեր դիտարկիչը շտապ թարմացնելու նախազգուշացումներով:

Կրիպտոգրաֆիան ընդգրկում է ամեն ինչ, բայց էությունը ուրիշի մեջ։ Բանն այն է, որ կա մի նուրբ գիծ պարզի և բարդի միջև: Որոշ բաներ հեշտ է անել, բայց դժվար է նորից հավաքել, օրինակ՝ ձուն կոտրելը: Մյուս բաները հեշտ է անել, բայց դժվար է վերադարձնել, երբ մի փոքր, կարևոր, կարևոր մաս բացակայում է. օրինակ՝ բացել կողպված դուռը, երբ «կարևոր մասը» բանալին է: Կրիպտոգրաֆիան ուսումնասիրում է այս իրավիճակները և ինչպես դրանք կարող են օգտագործվել գործնականում:

Վերջին տարիներին կրիպտոգրաֆիկ հարձակումների հավաքածուն վերածվել է ցայտուն լոգոների կենդանաբանական այգու, որը լցված է գիտական ​​հոդվածների բանաձևերով և առաջացրել ընդհանուր մռայլ զգացում, որ ամեն ինչ կոտրված է: Բայց իրականում հարձակումներից շատերը հիմնված են մի քանի ընդհանուր սկզբունքների վրա, և բանաձևերի անվերջ էջերը հաճախ հավաքվում են հեշտ ըմբռնելի գաղափարների վրա:

Այս հոդվածաշարում մենք կանդրադառնանք կրիպտոգրաֆիկ հարձակումների տարբեր տեսակներին՝ շեշտը դնելով հիմնական սկզբունքների վրա: Ընդհանուր ձևով և ոչ թե հենց այս հերթականությամբ, բայց մենք կանդրադառնանք հետևյալին.

• Հիմնական ռազմավարություններ. Կոպիտ ուժ, հաճախականության վերլուծություն, ինտերպոլացիա, իջեցում և խաչաձև արձանագրություններ:
• Բրենդային խոցելիություններ. FREAK, CRIME, POODLE, DOWN, Logjam.
• Ընդլայնված ռազմավարություններ. oracle հարձակումներ (Vodenet հարձակում, Kelsey հարձակում); meet-in-the-middle մեթոդ, ծննդյան հարձակում, վիճակագրական կողմնակալություն (դիֆերենցիալ կրիպտովերլուծություն, ինտեգրալ կրիպտովերլուծություն և այլն):
• Կողմնակի ալիքների հարձակումները և նրանց մերձավոր ազգականները, ձախողումների վերլուծության տեխնիկան:
• Հարձակումներ հանրային բանալիների ծածկագրման վրա. խորանարդի արմատ, հեռարձակում, հարակից հաղորդագրություն, Պղնձագործի հարձակում, Պոհլիգ-Հելմանի ալգորիթմ, թվային մաղ, Վիների հարձակում, Բլեյխենբախերի հարձակում:

Այս կոնկրետ հոդվածը վերոնշյալ նյութը ծածկում է մինչեւ Քելսիի հարձակումը:

Հիմնական ռազմավարություններ

Հետևյալ հարձակումները պարզ են այն առումով, որ դրանք կարող են գրեթե ամբողջությամբ բացատրվել առանց տեխնիկական մանրամասների: Եկեք բացատրենք հարձակման յուրաքանչյուր տեսակ ամենապարզ բառերով, առանց բարդ օրինակների կամ առաջադեմ օգտագործման դեպքերի:

Այս հարձակումներից որոշները հիմնականում հնացել են և երկար տարիներ չեն օգտագործվել: Մյուսները հին ժամանակներ են, ովքեր դեռ կանոնավոր կերպով գաղտնազերծում են 21-րդ դարում կրիպտոհամակարգի անկասկած մշակողներին: Ժամանակակից կրիպտոգրաֆիայի դարաշրջանը կարելի է համարել սկսված IBM DES-ի ի հայտ գալուց հետո՝ առաջին գաղտնագիրը, որը դիմակայել է այս ցուցակի յուրաքանչյուր հարձակմանը:

Պարզ կոպիտ ուժ

Գաղտնագրման սխեման բաղկացած է երկու մասից. 1) գաղտնագրման գործառույթ, որը վերցնում է հաղորդագրություն (պարզ տեքստ)՝ համակցված բանալիով, այնուհետև արտադրում է գաղտնագրված հաղորդագրություն՝ ծածկագրված տեքստ. 2) գաղտնազերծման ֆունկցիա, որը վերցնում է ծածկագրված տեքստը և բանալին և արտադրում պարզ տեքստ: Ե՛վ գաղտնագրումը, և՛ ապակոդավորումը պետք է հեշտ լինեն բանալիով հաշվելու համար, և դժվար է պարզել առանց դրա:

Ենթադրենք, որ մենք տեսնում ենք գաղտնագրված տեքստը և փորձում ենք այն վերծանել առանց որևէ լրացուցիչ տեղեկատվության (սա կոչվում է միայն գաղտնագրված գրոհ): Եթե ​​մենք ինչ-որ կերպ կախարդական կերպով գտնենք ճիշտ բանալին, մենք հեշտությամբ կարող ենք ստուգել, ​​որ այն իսկապես ճիշտ է, եթե արդյունքը ողջամիտ հաղորդագրություն է:

Նշենք, որ այստեղ կան երկու անուղղակի ենթադրություններ. Նախ, մենք գիտենք, թե ինչպես կատարել գաղտնազերծում, այսինքն՝ ինչպես է աշխատում կրիպտոհամակարգը: Սա ստանդարտ ենթադրություն է գաղտնագրությունը քննարկելիս: Գաղտնագրի ներդրման մանրամասները հարձակվողներից թաքցնելը կարող է թվալ որպես լրացուցիչ անվտանգության միջոց, բայց երբ հարձակվողը պարզում է այդ մանրամասները, այս լրացուցիչ անվտանգությունը հանգիստ և անդառնալիորեն կորչում է: Այդպես Կերխհոֆսի սկզբունքըՀակառակորդի ձեռքն ընկնող համակարգը չպետք է անհարմարություններ առաջացնի.

Երկրորդ, մենք ենթադրում ենք, որ ճիշտ բանալին միակ բանալին է, որը կհանգեցնի ողջամիտ վերծանման: Սա նույնպես ողջամիտ ենթադրություն է. այն բավարարվում է, եթե գաղտնագրված տեքստը շատ ավելի երկար է, քան բանալին և ընթեռնելի: Սա սովորաբար այն է, ինչ տեղի է ունենում իրական աշխարհում, բացառությամբ հսկայական անիրագործելի բանալիներ կամ այլ նենգություններ, որոնք ավելի լավ է մի կողմ թողնել (եթե ձեզ դուր չի գալիս մեր բացատրությունների մերժումը, տես 3.8 թեորեմը այստեղ).

Հաշվի առնելով վերը նշվածը, առաջանում է ռազմավարություն՝ ստուգեք բոլոր հնարավոր բանալիները: Սա կոչվում է բիրտ ուժ, և նման հարձակումը երաշխավորված է աշխատելու բոլոր գործնական ծածկագրերի դեմ, ի վերջո: Օրինակ, բիրտ ուժը բավական է կոտրելու համար Կեսարի ծածկագիրը, հնագույն ծածկագիր, որտեղ բանալին այբուբենի մեկ տառն է, որը ենթադրում է 20 հնարավոր ստեղների մի փոքր ավելին:

Ցավոք, կրիպտովերլուծաբանների համար, բանալին մեծացնելը լավ պաշտպանություն է դաժան ուժի դեմ: Քանի որ բանալու չափը մեծանում է, հնարավոր ստեղների թիվը երկրաչափականորեն ավելանում է: Ժամանակակից առանցքային չափերի դեպքում պարզ կոպիտ ուժը լիովին անիրագործելի է: Հասկանալու համար, թե ինչ նկատի ունենք, եկեք վերցնենք ամենաարագ հայտնի սուպերհամակարգիչը 2019 թվականի կեսերի դրությամբ. Գագաթաժողովի IBM-ից՝ վայրկյանում մոտ 1017 գործողությունների առավելագույն կատարմամբ: Այսօր բանալիների տիպիկ երկարությունը 128 բիթ է, ինչը նշանակում է 2128 հնարավոր համակցություններ: Բոլոր ստեղները փնտրելու համար Summit սուպերհամակարգչին ժամանակ կպահանջվի, որը մոտավորապես 7800 անգամ ավելի է, քան Տիեզերքի տարիքը:

Արդյո՞ք բիրտ ուժը պետք է համարվի պատմական հետաքրքրություն։ Ամենևին էլ. դա կրիպտովերլուծության խոհարարական գրքի անհրաժեշտ բաղադրիչն է: Հազվադեպ են գաղտնագրերն այնքան թույլ, որ դրանք կարող են կոտրվել միայն խելացի հարձակման միջոցով՝ առանց այս կամ այն ​​չափով ուժի կիրառման: Շատ հաջողակ հաքերներ օգտագործում են ալգորիթմական մեթոդ՝ նախ թիրախային ծածկագիրը թուլացնելու համար, այնուհետև բիրտ ուժային հարձակում իրականացնելու համար:

Հաճախականության վերլուծություն

Տեքստերի մեծ մասը խաբեություն չեն: Օրինակ, անգլերեն տեքստերում կան բազմաթիվ «e» տառեր և «the» հոդվածներ; Երկուական ֆայլերում կան բազմաթիվ զրոյական բայթեր՝ որպես լիցք տեղեկատվության կտորների միջև: Հաճախականության վերլուծությունը ցանկացած հարձակում է, որն օգտվում է այս փաստից:

Այս հարձակման համար խոցելի ծածկագրի կանոնական օրինակը փոխարինող պարզ ծածկագիրն է: Այս ծածկագրում բանալին աղյուսակ է, որտեղ բոլոր տառերը փոխարինված են: Օրինակ՝ «g»-ը փոխարինվում է «h»-ով, «o»-ն փոխարինվում է j-ով, ուստի «go» բառը դառնում է «hj»: Այս ծածկագիրը դժվար է կոպիտ ուժով, քանի որ կան շատ հնարավոր որոնման աղյուսակներ: Եթե ​​ձեզ հետաքրքրում է մաթեմատիկան, բանալիների արդյունավետ երկարությունը մոտ 88 բիթ է
. Բայց հաճախականության վերլուծությունը սովորաբար արագ է կատարում աշխատանքը:

Դիտարկենք հետևյալ գաղտնագրված տեքստը, որը մշակվել է պարզ փոխարինող ծածկագրով.

XDYLY ALY UGLY XDWNKE WN DYAJYN ANF YALXD DGLAXWG XDAN ALY FLYAUX GR WN OGQL ZDWBGEGZDO

Հետո Y հաճախակի է հանդիպում, այդ թվում՝ շատ բառերի վերջում, մենք կարող ենք պայմանականորեն ենթադրել, որ սա տառն է e:

XDeLe ALe UGLe XDWNKE WN DeAJeN ANF eALXD DGLAXWG XDAN ALe FleAUX GR WN OGQL ZDWBGEGZDO

Զույգ XD կրկնվում է մի քանի բառերի սկզբում: Մասնավորապես, XDeLe համադրությունը հստակ հուշում է բառը these կամ there, ուրեմն շարունակենք.

theLe ALe UGLE thWNKE WN heAJeN ANF eALth DGLAtWG քան ALe FleAUt GR WN OGQL ZDWBGEGZDO

Եկեք հետագայում ենթադրենք, որ L համապատասխանում r, A - a եւ այլն։ Հավանաբար, մի քանի փորձ կպահանջվի, բայց, համեմատած ամբողջ բիրտ ուժի հարձակման հետ, այս հարձակումը կարճ ժամանակում վերականգնում է սկզբնական տեքստը.

երկնքում և երկրում ավելի շատ բաներ կան, քան երազում եք ձեր փիլիսոփայության մեջ

Ոմանց համար նման «կրիպտոգրամներ» լուծելը հետաքրքիր հոբբի է:

Հաճախականության վերլուծության գաղափարն ավելի հիմնարար է, քան թվում է առաջին հայացքից: Եվ դա վերաբերում է շատ ավելի բարդ ծածկագրերին: Պատմության ընթացքում գաղտնագրերի տարբեր ձևավորումներ փորձել են հակազդել նման հարձակմանը, օգտագործելով «բազմաբբայական փոխարինում»: Այստեղ, գաղտնագրման գործընթացում, տառերի փոխարինման աղյուսակը փոփոխվում է բարդ, բայց կանխատեսելի ձևերով, որոնք կախված են բանալիից: Այս բոլոր ծածկագրերը համարվում էին, որ դժվար է կոտրել միաժամանակ. և, այնուամենայնիվ, համեստ հաճախականության վերլուծությունը ի վերջո հաղթեց բոլորին:

Պատմության մեջ ամենահավակնոտ բազմայբբենական ծածկագիրը և, հավանաբար, ամենահայտնին, Երկրորդ համաշխարհային պատերազմի Enigma ծածկագիրն էր: Այն համեմատաբար բարդ էր՝ համեմատած իր նախորդների հետ, սակայն շատ քրտնաջան աշխատանքից հետո բրիտանացի կրիպտովերլուծաբանները կոտրեցին այն՝ օգտագործելով հաճախականության վերլուծությունը: Իհարկե, նրանք չէին կարող զարգացնել էլեգանտ հարձակում, ինչպես վերը նշվածը. նրանք պետք է համեմատեին պարզ տեքստի և գաղտնագրային տեքստի հայտնի զույգերը (այսպես կոչված «պարզ տեքստային հարձակում»), նույնիսկ հրահրելով Enigma-ի օգտատերերին գաղտնագրել որոշակի հաղորդագրություններ և վերլուծել արդյունքը («ընտրված պարզ տեքստի հարձակումը»): Բայց դա չհեշտացրեց պարտված թշնամու բանակների և խորտակված սուզանավերի ճակատագիրը։

Այս հաղթանակից հետո հաճախականության վերլուծությունը անհետացավ կրիպտովերլուծության պատմությունից: Ժամանակակից թվային դարաշրջանում ծածկագրերը նախատեսված են ոչ թե տառերի, այլ բիթերի հետ աշխատելու համար: Ամենակարևորն այն է, որ այս ծածկագրերը նախագծվել են մութ ըմբռնմամբ, ինչը հետագայում հայտնի դարձավ որպես Շնայերի օրենքըՅուրաքանչյուրը կարող է ստեղծել գաղտնագրման ալգորիթմ, որն իրենք չեն կարող կոտրել: Դա բավարար չէ կոդավորման համակարգի համար Թվում էր դժվար է. իր արժեքը ապացուցելու համար այն պետք է ենթարկվի անվտանգության անխնա վերանայման բազմաթիվ կրիպտովերլուծաբանների կողմից, ովքեր կանեն հնարավորը գաղտնագիրը կոտրելու համար:

Նախնական հաշվարկներ

Վերցնենք 200 բնակչությամբ Precom Heights-ի հիպոթետիկ քաղաքը: Քաղաքի յուրաքանչյուր տուն պարունակում է միջինը 000 դոլար արժողությամբ թանկարժեք իրեր, բայց ոչ ավելի, քան 30 դոլար արժողությամբ թանկարժեք իրեր: Precom-ի անվտանգության շուկան մենաշնորհված է ACME Industries-ի կողմից, որն արտադրում է լեգենդար Coyote™ դռների փականներ: Փորձագիտական ​​վերլուծությունների համաձայն՝ Coyote-ի դասի կողպեքը կարող է կոտրվել միայն շատ բարդ հիպոթետիկ մեքենայի միջոցով, որի ստեղծումը կպահանջի մոտ հինգ տարի և 000 դոլարի ներդրում: Արդյո՞ք քաղաքը անվտանգ է:

Ամենայն հավանականությամբ՝ ոչ։ Ի վերջո, կհայտնվի բավականին հավակնոտ հանցագործ։ Նա այսպես կպատճառաբանի. «Այո, ես մեծ նախնական ծախսեր կկրեմ: Հինգ տարի համբերատար սպասում և 50 դոլար: Բայց երբ ավարտեմ, ես մուտք կունենամ այս քաղաքի ողջ հարստությունը. Եթե ​​ես ճիշտ խաղամ իմ խաղաքարտերը, այս ներդրումը կվճարի իր համար բազմապատիկ»:

Նույնը վերաբերում է գաղտնագրությանը: Որոշակի ծածկագրի դեմ հարձակումները ենթակա են ծախսերի և օգուտների անողոք վերլուծության: Եթե ​​հարաբերակցությունը բարենպաստ է, ապա հարձակումը տեղի չի ունենա։ Բայց հարձակումները, որոնք միանգամից գործում են բազմաթիվ պոտենցիալ զոհերի դեմ, գրեթե միշտ արդյունք են տալիս, որի դեպքում դիզայնի լավագույն պրակտիկան ենթադրելն է, որ դրանք սկսվել են առաջին իսկ օրվանից: Մենք, ըստ էության, ունենք Մերֆիի օրենքի գաղտնագրված տարբերակը. «Ամեն ինչ, որը կարող է իրականում կոտրել համակարգը, կխախտի համակարգը»:

Կրիպտոհամակարգի ամենապարզ օրինակը, որը խոցելի է նախահաշվարկային հարձակման համար, մշտական ​​առանց բանալիների ծածկագրումն է: Այդպես էր Կեսարի ծածկագիրը, որը պարզապես այբուբենի յուրաքանչյուր տառը տեղափոխում է երեք տառ առաջ (աղյուսակը օղակված է, ուստի այբուբենի վերջին տառը կոդավորված է երրորդով): Այստեղ կրկին գործում է Կերչհոֆսի սկզբունքը. երբ համակարգը կոտրվում է, այն ընդմիշտ կոտրվում է:

Հայեցակարգը պարզ է. Նույնիսկ կրիպտոհամակարգի սկսնակ մշակողը, հավանաբար, կճանաչի սպառնալիքը և կպատրաստվի համապատասխանաբար: Նայելով ծածկագրության էվոլյուցիային՝ նման հարձակումները անպատշաճ էին գաղտնագրերի մեծ մասի համար՝ սկսած Կեսարի ծածկագրի առաջին բարելավված տարբերակներից մինչև բազմայբբենական ծածկագրերի անկումը: Նման հարձակումները վերադարձան միայն գաղտնագրության ժամանակակից դարաշրջանի գալուստով:

Այս վերադարձը պայմանավորված է երկու գործոնով. Նախ, վերջապես ի հայտ եկան բավական բարդ կրիպտոհամակարգեր, որտեղ հաքերից հետո շահագործման հնարավորությունն ակնհայտ չէր։ Երկրորդ, գաղտնագրությունն այնքան լայն տարածում գտավ, որ միլիոնավոր աշխարհական մարդիկ ամեն օր որոշում էին կայացնում այն ​​մասին, թե գաղտնագրության որտեղ և որ մասերը նորից օգտագործել: Որոշ ժամանակ պահանջվեց, մինչև փորձագետները գիտակցեցին ռիսկերը և ահազանգեցին:

Հիշեք նախնական հաշվարկային հարձակումը. հոդվածի վերջում մենք կանդրադառնանք իրական կյանքի երկու գաղտնագրային օրինակների, որտեղ այն կարևոր դեր է խաղացել:

Միջնորդություն

Ահա հանրահայտ հետախույզ Շերլոկ Հոլմսը, որը ինտերպոլացիոն հարձակում է կատարում դժբախտ դոկտոր Ուոթսոնի վրա.

Անմիջապես կռահեցի, որ դուք եկել եք Աֆղանստանից... Մտքերիս շարանը հետևյալն էր. Այսպիսով, ռազմական բժիշկ. Նա նոր է եկել արևադարձային շրջաններից. նրա դեմքը մուգ է, բայց սա նրա մաշկի բնական երանգը չէ, քանի որ նրա դաստակները շատ ավելի սպիտակ են: Դեմքը թշվառ է, ակնհայտ է, որ նա շատ է տառապել և տառապել հիվանդությունից։ Նա ձախ ձեռքից վիրավորվել է, այն պահում է անշարժ և մի փոքր անբնական։ Որտե՞ղ կարող էր արևադարձային գոտում անգլիացի զինվորական բժիշկը դիմանալ դժվարություններին և վիրավորվել: Իհարկե, Աֆղանստանում»: Մտքերի ողջ ընթացքը վայրկյան անգամ չտևեց։ Եվ այսպես, ես ասացի, որ դուք եկել եք Աֆղանստանից, և դուք զարմացաք։

Հոլմսը կարող էր շատ քիչ տեղեկություններ քաղել յուրաքանչյուր ապացույցից առանձին։ Նա կարող էր իր եզրակացության գալ միայն դրանք բոլորը միասին դիտարկելով։ Ինտերպոլացիոն հարձակումը նույն կերպ է աշխատում՝ ուսումնասիրելով պարզ և գաղտնագրված տեքստի հայտնի զույգերը, որոնք ստացվում են նույն բանալիից: Յուրաքանչյուր զույգից արդյունահանվում են անհատական ​​դիտարկումներ, որոնք թույլ են տալիս ընդհանուր եզրակացություն անել բանալին: Այս բոլոր եզրակացությունները մշուշոտ են և անօգուտ են թվում, մինչև հանկարծ չհասնեն կրիտիկական զանգվածի և չհանգեցնեն միակ հնարավոր եզրակացությանը՝ որքան էլ դա անհավանական լինի, այն պետք է ճիշտ լինի։ Դրանից հետո կա՛մ բանալին բացահայտվում է, կա՛մ գաղտնազերծման գործընթացն այնքան է կատարելագործվում, որ այն կարող է կրկնօրինակվել:

Եկեք պարզ օրինակով ցույց տանք, թե ինչպես է գործում ինտերպոլացիան: Ասենք ուզում ենք կարդալ մեր թշնամու՝ Բոբի անձնական օրագիրը։ Նա գաղտնագրում է իր օրագրի յուրաքանչյուր թիվը՝ օգտագործելով պարզ կրիպտոհամակարգ, որի մասին իմացել է «A Mock of Cryptography» ամսագրի գովազդից: Համակարգն աշխատում է այսպես. Բոբն ընտրում է երկու թվեր, որոնք իրեն դուր են գալիս. и . Այսուհետ ցանկացած համար գաղտնագրելու համար , այն հաշվարկում է . Օրինակ, եթե Բոբը ընտրեց и , ապա համարը կոդավորված կլինի որպես .

Ասենք, որ դեկտեմբերի 28-ին մենք նկատեցինք, որ Բոբը ինչ-որ բան է քորում իր օրագրում։ Երբ նա ավարտի, մենք հանգիստ կվերցնենք այն և կդիտենք վերջին գրառումը.

Дата: 235/520

Սիրելի օրագիր,

Այսօր լավ օր էր. միջոցով 64 այսօր ես ժամադրություն ունեմ Ալիսայի հետ, ով ապրում է բնակարանում 843. Ես իսկապես կարծում եմ, որ նա կարող է լինել 26!

Քանի որ մենք շատ լուրջ ենք վերաբերվում Բոբին նրա ժամադրությանը հետևելուն (այս սցենարում մենք երկուսս էլ 15 տարեկան ենք), շատ կարևոր է իմանալ ամսաթիվը, ինչպես նաև Ալիսի հասցեն: Բարեբախտաբար, մենք նկատում ենք, որ Բոբի կրիպտոհամակարգը խոցելի է ինտերպոլացիոն հարձակման համար: Հնարավոր է՝ մենք չգիտենք и , բայց մենք գիտենք այսօրվա ամսաթիվը, ուստի ունենք երկու պարզ տեքստ-գաղտնագրված տեքստ: Այսինքն, մենք դա գիտենք կոդավորված է Իսկ - ին . Ահա թե ինչ ենք գրելու.

Քանի որ մենք 15 տարեկան ենք, մենք արդեն գիտենք երկու անհայտ ունեցող երկու հավասարումների համակարգի մասին, որն այս իրավիճակում բավական է գտնելու համար. и առանց որևէ խնդիրների: Պարզ տեքստ-գաղտնագրված տեքստի յուրաքանչյուր զույգ սահմանափակում է դնում Բոբի ստեղնի վրա, և երկու սահմանափակումները միասին բավարար են բանալին ամբողջությամբ վերականգնելու համար: Մեր օրինակում պատասխանն է и (ժամը , այսպես 26 օրագրում համապատասխանում է «մեկը» բառին, այսինքն՝ «նույնը»՝ մոտ. գոտի):

Ինտերպոլացիոն հարձակումները, իհարկե, չեն սահմանափակվում նման պարզ օրինակներով։ Յուրաքանչյուր կրիպտոհամակարգ, որը վերածվում է լավ հասկացված մաթեմատիկական օբյեկտի և պարամետրերի ցանկի, ենթարկվում է ինտերպոլացիայի հարձակման. որքան ավելի հասկանալի է օբյեկտը, այնքան մեծ է ռիսկը:

Նորեկները հաճախ դժգոհում են, որ ծածկագրությունը «իրերը հնարավորինս տգեղ ձևավորելու արվեստն է»։ Ինտերպոլացիոն հարձակումները, հավանաբար, մեծ մասամբ մեղավոր են: Բոբը կարող է կամ օգտագործել էլեգանտ մաթեմատիկական ձևավորում, կամ էլ Ալիսի հետ իր ժամադրությունը գաղտնի պահել, բայց ավաղ, դուք սովորաբար չեք կարող դա անել երկու ձևով: Սա շատ պարզ կդառնա, երբ ի վերջո հասնենք հանրային բանալիների ծածկագրության թեմային:

Խաչաձև արձանագրություն / իջեցում

Հիմա դու ինձ տեսնում ես (2013) ֆիլմում մի խումբ իլյուզիոնիստներ փորձում են խաբել կոռումպացված ապահովագրական մագնատ Արթուր Թրեսլերին իր ողջ ունեցվածքից: Արթուրի բանկային հաշիվ մուտք գործելու համար իլյուզիոնիստները կամ պետք է տրամադրեն նրա օգտանունն ու գաղտնաբառը, կամ ստիպեն նրան անձամբ ներկայանալ բանկ և մասնակցել սխեմային։

Երկու տարբերակներն էլ շատ բարդ են. Տղաները սովոր են բեմում ելույթ ունենալ, հետախուզական գործողություններին չմասնակցել։ Այսպիսով, նրանք ընտրում են երրորդ հնարավոր տարբերակը՝ իրենց հանցակիցը զանգում է բանկ և ձևանում, որ Արթուրն է։ Բանկը տալիս է մի քանի հարց՝ ինքնությունը հաստատելու համար, օրինակ՝ հորեղբոր անունը և առաջին ընտանի կենդանու անունը. մեր հերոսները նախօրոք նրանք հեշտությամբ քաղում են այս տեղեկատվությունը Արթուրից՝ օգտագործելով խելացի սոցիալական ճարտարագիտություն. Այս պահից սկսած գաղտնաբառի գերազանց անվտանգությունն այլևս նշանակություն չունի:

(Ըստ քաղաքային լեգենդի, որը մենք անձամբ ստուգել և ստուգել ենք, կրիպտոգրաֆ Էլի Բիհամը մի անգամ հանդիպեց բանկի գանձապահի, ով պնդում էր անվտանգության հարց դնել: Երբ գանձապահը հարցրեց իր մորական տատիկի անունը, Բիհամը սկսեց թելադրել. փոքր y, երեք ... »):

Դա նույնն է գաղտնագրության մեջ, եթե երկու գաղտնագրային արձանագրություններ զուգահեռաբար օգտագործվում են նույն ակտիվը պաշտպանելու համար, և մեկը շատ ավելի թույլ է, քան մյուսը: Արդյունքում համակարգը խոցելի է դառնում խաչաձև արձանագրային հարձակման համար, որտեղ ավելի թույլ արձանագրությունը հարձակվում է մրցանակին հասնելու համար՝ առանց դիպչելու ավելի ուժեղին:

Որոշ բարդ դեպքերում բավական չէ պարզապես կապ հաստատել սերվերի հետ՝ օգտագործելով ավելի թույլ արձանագրություն, այլ պահանջում է օրինական հաճախորդի ակամա մասնակցությունը։ Սա կարելի է կազմակերպել՝ օգտագործելով, այսպես կոչված, իջեցման գրոհը: Այս հարձակումը հասկանալու համար ենթադրենք, որ մեր իլյուզիոնիստների առջեւ ավելի բարդ խնդիր է դրված, քան ֆիլմում։ Ենթադրենք, որ բանկի աշխատակիցը (գանձապահը) և Արթուրը բախվել են որոշ չնախատեսված հանգամանքների, որի արդյունքում ձևավորվել է հետևյալ երկխոսությունը.

Կողոպտիչ: Բարեւ Ձեզ? Սա Արթուր Թրեսլերն է։ Ես կցանկանայի վերականգնել իմ գաղտնաբառը:

Գանձապահ: Հիանալի: Խնդրում ենք նայեք ձեր անձնական գաղտնի ծածկագրերի գրքին, էջ 28, բառ 3: Հետևյալ բոլոր հաղորդագրությունները կգաղտնագրվեն՝ օգտագործելով այս կոնկրետ բառը որպես բանալի: ՊՔՋՂ. LOTJNAM PGGY MXVRL ZZLQ SRIU HHNMLPPPPV…

Կողոպտիչ: Հեյ, հեյ, սպասիր, սպասիր: Արդյո՞ք սա իսկապես անհրաժեշտ է: Չե՞նք կարող նորմալ մարդկանց նման խոսել:

Գանձապահ: Ես խորհուրդ չեմ տալիս դա անել:

Կողոպտիչ: Ես ուղղակի... նայիր, ես վատ օր եմ ունեցել, լա՞վ: Ես VIP հաճախորդ եմ և տրամադրություն չունեմ փորփրելու այս հիմար ծածկագրերը:

Գանձապահ: Լավ: Եթե ​​դուք պնդում եք, պարոն Թրեսլեր։ Ինչ ես դու ուզում?

Կողոպտիչ: Խնդրում եմ, ես ցանկանում եմ իմ ամբողջ գումարը նվիրաբերել Արթուր Թրեսլերի զոհերի ազգային հիմնադրամին:

(Դադար):

Գանձապահ: Հիմա պարզ է՞։ Խնդրում ենք տրամադրել ձեր PIN կոդը խոշոր գործարքների համար:

Կողոպտիչ: Իմ ինչ?

Գանձապահ: Ձեր անձնական խնդրանքով այս չափի գործարքները պահանջում են PIN խոշոր գործարքների համար: Այս կոդը տրվել է ձեզ, երբ բացել եք ձեր հաշիվը:

Կողոպտիչ:... Ես կորցրել եմ այն: Արդյո՞ք սա իսկապես անհրաժեշտ է: Չե՞ք կարող պարզապես հաստատել գործարքը:

Գանձապահ: Ոչ Ներեցեք, պարոն Թրեսլեր։ Կրկին, սա այն անվտանգության միջոցն է, որը դուք խնդրել եք: Եթե ​​ցանկանում եք, մենք կարող ենք նոր PIN կոդ ուղարկել ձեր փոստարկղին:

Մեր հերոսները հետաձգում են վիրահատությունը. Նրանք գաղտնալսում են Tressler-ի մի քանի խոշոր գործարքներ՝ հուսալով լսել PIN-ը. բայց ամեն անգամ, երբ խոսակցությունը վերածվում է կոդավորված ժլատության, նախքան որևէ հետաքրքիր բան ասելը: Վերջապես, մի ​​գեղեցիկ օր, ծրագիրը գործի է դրվում։ Նրանք համբերատար սպասում են այն պահին, երբ Թրեսլերը պետք է հեռախոսով խոշոր գործարք կատարի, նա գիծ է մտնում, իսկ հետո...

Tressler: Բարեւ Ձեզ. Խնդրում եմ, ես կցանկանայի կատարել հեռավոր գործարք:

Գանձապահ: Հիանալի: Խնդրում ենք նայեք ձեր անձնական գաղտնի ծածկագրի գրքին, էջին...

(Կողոպտիչը սեղմում է կոճակը, գանձապահի ձայնը վերածվում է անհասկանալի աղմուկի):

Գանձապահ: - #@$#@$#*@$$@#* կոդավորված կլինի այս բառով որպես բանալի: AAAYRR PLRQRZ MMNJK LOJBAN…

Tressler: Կներեք, ես այնքան էլ չհասկացա: Նորի՞ց։ Ո՞ր էջում։ Ի՞նչ բառ:

Գանձապահ: Սա @#$@#*$)#*#@()#@$(#@*$(#@*) էջն է։

Tressler: Ինչ?

Գանձապահ: Բառ թիվ քսան @$#@$#%#$.

Tressler: Լուրջ! Արդեն բավական է! Դուք և ձեր անվտանգության արձանագրությունը մի քիչ կրկես եք: Ես գիտեմ, որ դու կարող ես ինձ հետ նորմալ խոսել։

Գանձապահ: խորհուրդ չեմ տալիս…

Tressler: Եվ ես ձեզ խորհուրդ չեմ տալիս վատնել իմ ժամանակը: Ես այլևս չեմ ուզում լսել այս մասին, քանի դեռ չեք լուծել ձեր հեռախոսի գծի խնդիրները: Կարո՞ղ ենք վերջնական տեսքի բերել այս գործարքը, թե՞ ոչ:

Գանձապահ:… Այո: Լավ: Ինչ ես դու ուզում?

Tressler: Ցանկանում եմ փոխանցել 20 ԱՄՆ դոլար Lord Business Investments-ին, հաշվի համարը...

Գանձապահ: Մի րոպե, խնդրում եմ: Դա մեծ խնդիր է: Խնդրում ենք տրամադրել ձեր PIN կոդը խոշոր գործարքների համար:

Tressler: Ինչ? Ահ, ճիշտ. 1234 թ.

Ահա մի վայրընթաց հարձակում: Ավելի թույլ արձանագրությունը «ուղղակի խոսիր ուղղակիորեն» նախատեսված էր որպես տարբերակ արտակարգ իրավիճակի դեպքում. Եվ այնուամենայնիվ, մենք այստեղ ենք:

Դուք կարող եք մտածել, թե ով է իր ճիշտ մտքում նախագծել իրական «անվտանգ, քանի դեռ այլ բան չի խնդրել» համակարգ, ինչպիսին է վերը նկարագրվածը: Բայց ճիշտ այնպես, ինչպես հորինված բանկը ռիսկի է դիմում՝ պահելու հաճախորդներին, ովքեր չեն սիրում գաղտնագրություն, համակարգերն ընդհանուր առմամբ հաճախ ձգտում են դեպի անվտանգության պահանջները, որոնք անտարբեր են կամ նույնիսկ բացարձակապես թշնամական:

Սա հենց այն է, ինչ տեղի ունեցավ SSLv2 արձանագրության հետ 1995 թ. ԱՄՆ կառավարությունը վաղուց սկսել է գաղտնագրությունը դիտարկել որպես զենք, որը լավագույնս հեռու է արտաքին և ներքին թշնամիներից: Կոդի կտորներն առանձին-առանձին հաստատվում էին Միացյալ Նահանգներից արտահանման համար՝ հաճախ ալգորիթմը միտումնավոր թուլացնելու պայմանով: Netscape-ը՝ ամենահայտնի բրաուզերի՝ Netscape Navigator-ի մշակողին, թույլտվություն է ստացել SSLv2-ի համար միայն խոցելի 512-բիթանոց RSA բանալիով (և 40-բիթանոց RC4-ի համար):

Հազարամյակի վերջում կանոնները թուլացել էին, և ժամանակակից գաղտնագրման հասանելիությունը լայնորեն հասանելի դարձավ: Այնուամենայնիվ, հաճախորդները և սերվերները տարիներ շարունակ աջակցել են թուլացած «արտահանման» կրիպտոգրաֆիային՝ նույն իներցիայի պատճառով, որը պահպանում է ցանկացած ժառանգական համակարգի աջակցություն: Հաճախորդները կարծում էին, որ նրանք կարող են հանդիպել սերվերի, որն այլ բան չի աջակցում: Նույնն արեցին սերվերները: Իհարկե, SSL արձանագրությունը թելադրում է, որ հաճախորդները և սերվերները երբեք չպետք է օգտագործեն թույլ արձանագրություն, երբ ավելի լավը հասանելի է: Բայց նույն նախադրյալը վերաբերում էր Թրեսլերին և նրա բանկին:

Այս տեսությունն իր ճանապարհը գտավ երկու բարձրակարգ գրոհների մեջ, որոնք ցնցեցին SSL արձանագրության անվտանգությունը 2015 թվականին, որոնք երկուսն էլ հայտնաբերել էին Microsoft-ի հետազոտողները և ԻՆՐԻԱ. Նախ, FREAK-ի հարձակման մանրամասները բացահայտվեցին փետրվարին, որին հաջորդեց երեք ամիս անց մեկ այլ նմանատիպ հարձակում Logjam անունով, որը մենք ավելի մանրամասն կքննարկենք, երբ անցնենք հանրային բանալիների կրիպտոգրաֆիայի վրա հարձակումներին:

Խոցելիություն ԽՈՍՏՈՒՄ (Հայտնի է նաեւ որպես «Smack TLS») լույս տեսավ, երբ հետազոտողները վերլուծեցին TLS հաճախորդի / սերվերի իրականացումը եւ հայտնաբերեցին հետաքրքրաշարժ սխալ: Այս իրականացումներում, եթե հաճախորդը նույնիսկ չի խնդրում օգտագործել թույլ արտահանման կրիպտոգրաֆիա, բայց սերվերը դեռ պատասխանում է նման ստեղներով, հաճախորդն ասում է «Օ, լավ» և անցնում է թույլ ծածկագրման փաթեթին:

Այն ժամանակ արտահանման գաղտնագրությունը լայնորեն համարվում էր հնացած և անսահմանափակ, ուստի հարձակումը լիակատար ցնցում էր և ազդեց շատ կարևոր տիրույթների վրա, ներառյալ Սպիտակ տունը, IRS-ը և NSA-ի կայքերը: Նույնիսկ ավելի վատ, պարզվում է, որ շատ խոցելի սերվերներ օպտիմիզացնում էին կատարողականությունը՝ նորից օգտագործելով նույն բանալիները, այլ ոչ թե յուրաքանչյուր նստաշրջանի համար նորերը ստեղծելով: Սա հնարավոր եղավ արձանագրությունը իջեցնելուց հետո իրականացնել նախնական հաշվարկային հարձակում. մեկ բանալին կոտրելը մնաց համեմատաբար թանկ (100 դոլար և 12 ժամ հրապարակման պահին), բայց կապի վրա հարձակման գործնական արժեքը զգալիորեն նվազեց: Բավական է մեկ անգամ գուշակել սերվերի բանալին և կոտրել կոդավորումը բոլոր հետագա կապերի համար այդ պահից սկսած։

Եվ մինչ շարժվելը, կա մեկ առաջադեմ հարձակում, որը պետք է նշել...

Oracle հարձակումը

Մոքսի Մարլինսպայք առավել հայտնի է որպես միջպլատֆորմային կրիպտո հաղորդագրությունների Signal հավելվածի հայրը; բայց մենք անձամբ սիրում ենք նրա քիչ հայտնի նորամուծություններից մեկը. գաղտնագրային կործանման սկզբունքը (Ծպտյալ կործանման սկզբունք): Մի փոքր վերափոխելու համար կարող ենք ասել. «Եթե արձանագրությունը կատարվի ցանկացած կատարում է գաղտնագրային գործողություն պոտենցիալ վնասակար աղբյուրից ստացված հաղորդագրության վրա և տարբեր կերպ է վարվում՝ կախված արդյունքից, այն դատապարտված է»: Կամ ավելի սուր ձևով. «Թշնամուց տեղեկություն մի վերցրեք մշակման համար, իսկ եթե պետք է, ապա գոնե արդյունքը ցույց մի տվեք»։

Մի կողմ թողնենք բուֆերային արտահոսքերը, հրամանների ներարկումները և այլն; դրանք այս քննարկման շրջանակներից դուրս են: «Դատապարտության սկզբունքի» խախտումը հանգեցնում է կրիպտոգրաֆիայի լուրջ հաքերների՝ պայմանավորված այն հանգամանքով, որ արձանագրությունն իրեն պահում է ճիշտ այնպես, ինչպես սպասվում էր։

Որպես օրինակ, եկեք վերցնենք ֆիկտիվ դիզայնը խոցելի փոխարինման ծածկագրով, ապա ցուցադրենք հնարավոր հարձակումը: Թեև մենք արդեն տեսել ենք փոխարինող ծածկագրի վրա հարձակում՝ օգտագործելով հաճախականության վերլուծությունը, դա պարզապես «նույն ծածկագիրը կոտրելու այլ միջոց չէ»: Ի հակադրություն, Oracle հարձակումները շատ ավելի ժամանակակից գյուտ են, որոնք կիրառվում են բազմաթիվ իրավիճակներում, երբ հաճախականության վերլուծությունը ձախողվում է, և մենք դրա ցուցադրումը կտեսնենք հաջորդ բաժնում: Այստեղ պարզ ծածկագիրը ընտրված է միայն օրինակն ավելի պարզ դարձնելու համար։

Այսպիսով, Ալիսն ու Բոբը շփվում են՝ օգտագործելով հասարակ փոխարինող ծածկագիրը՝ օգտագործելով միայն իրենց հայտնի բանալի: Նրանք շատ խիստ են վերաբերվում հաղորդագրությունների երկարությանը. դրանք ունեն ուղիղ 20 նիշ: Այսպիսով, նրանք համաձայնեցին, որ եթե ինչ-որ մեկը ցանկանում է ավելի կարճ հաղորդագրություն ուղարկել, ապա պետք է հաղորդագրության վերջում ավելացնեն կեղծ տեքստ, որպեսզի այն կազմի 20 նիշ: Որոշ քննարկումներից հետո նրանք որոշեցին, որ կընդունեն միայն հետևյալ կեղծ տեքստերը. a, bb, ccc, dddd և այլն: Այսպիսով, հայտնի է ցանկացած պահանջվող երկարության կեղծ տեքստ:

Երբ Ալիսը կամ Բոբը հաղորդագրություն են ստանում, նրանք նախ ստուգում են, որ հաղորդագրությունը ճիշտ երկարություն է (20 նիշ) և որ վերջածանցը ճիշտ կեղծ տեքստ է: Եթե ​​դա այդպես չէ, ապա նրանք պատասխանում են համապատասխան սխալի հաղորդագրությամբ։ Եթե ​​տեքստի երկարությունը և կեղծ տեքստը լավ են, ստացողն ինքն է կարդում հաղորդագրությունը և ուղարկում գաղտնագրված պատասխան:

Հարձակման ժամանակ հարձակվողը անձնավորվում է Բոբին և կեղծ հաղորդագրություններ է ուղարկում Ալիսին։ Հաղորդագրությունները կատարյալ անհեթեթություն են. հարձակվողը չունի բանալին և, հետևաբար, չի կարող իմաստալից հաղորդագրություն կեղծել: Բայց քանի որ արձանագրությունը խախտում է կործանման սկզբունքը, հարձակվողը դեռ կարող է Ալիսին թակարդի մեջ գցել հիմնական տեղեկատվությունը բացահայտելու համար, ինչպես ցույց է տրված ստորև:

Կողոպտիչ: PREWF ZHJKL MMMN. LA

Ալիս. Անվավեր կեղծ տեքստ:

Կողոպտիչ: PREWF ZHJKL MMMN. LB

Ալիս. Անվավեր կեղծ տեքստ:

Կողոպտիչ: PREWF ZHJKL MMMN. LC

Ալիս. ILCT? TLCT RUWO PUT KCAW CPS OWPOW!

Կողոպտիչը չի պատկերացնում, թե ինչ է ասել Ալիսը, բայց նշում է, որ խորհրդանիշը C պետք է համապատասխանի a, քանի որ Ալիսն ընդունեց կեղծ տեքստը։

Կողոպտիչ: REWF ZHJKL MMMN. LAA

Ալիս. Անվավեր կեղծ տեքստ:

Կողոպտիչ: REWF ZHJKL MMMN. LBB

Ալիս. Անվավեր կեղծ տեքստ:

Մի շարք փորձերից հետո...

Կողոպտիչ: REWF ZHJKL MMMN. LGG

Ալիս. Անվավեր կեղծ տեքստ:

Կողոպտիչ: REWF ZHJKL MMMN. LHH

Ալիս. TLQO JWCRO FQAW SUY LCR C OWQXYJW. IW PWWR TU TCFA CHUYT TLQO JWFCTQUPOLQZ.

Կրկին հարձակվողը չի պատկերացնում, թե ինչ է ասել Ալիսը, բայց նշում է, որ H-ը պետք է համապատասխանի b-ին, քանի որ Ալիսն ընդունել է կեղծ տեքստը:

Եվ այսպես շարունակ, քանի դեռ հարձակվողը չիմանա յուրաքանչյուր կերպարի իմաստը:

Առաջին հայացքից մեթոդը նման է ընտրված պարզ տեքստի գրոհին: Ի վերջո, հարձակվողն ընտրում է գաղտնագրված տեքստերը, և սերվերը հնազանդորեն մշակում է դրանք: Հիմնական տարբերությունը, որը այս հարձակումները կենսունակ է դարձնում իրական աշխարհում, այն է, որ հարձակվողին անհրաժեշտ չէ մուտք գործել դեպի իրական տառադարձություն. սերվերի պատասխանը, նույնիսկ նույնքան անվնաս, որքան «Անվավեր կեղծ տեքստը», բավարար է:

Թեև այս հարձակումը ուսանելի է, շատ մի՛ նայեք «կեղծ տեքստի» սխեմայի առանձնահատկություններին, օգտագործվող հատուկ կրիպտոհամակարգին կամ հարձակվողի կողմից ուղարկված հաղորդագրությունների ճշգրիտ հաջորդականությանը: Հիմնական գաղափարն այն է, թե ինչպես է Ալիսը տարբեր կերպ արձագանքում՝ հիմնվելով պարզ տեքստի հատկությունների վրա, և դա անում է առանց ստուգելու, որ համապատասխան գաղտնագրված տեքստն իրականում ստացվել է վստահելի կողմից: Այսպիսով, Ալիսը հարձակվողին թույլ է տալիս քամել գաղտնի տեղեկատվությունն իր պատասխաններից:

Այս սցենարում շատ բան կարելի է փոխել։ Խորհրդանիշները, որոնց արձագանքում է Ալիսը, կամ նրա վարքագծի տարբերությունը, կամ նույնիսկ օգտագործված կրիպտոհամակարգը: Բայց սկզբունքը կմնա նույնը, և հարձակումն ամբողջությամբ կմնա կենսունակ այս կամ այն ​​ձևով: Այս հարձակման հիմնական իրականացումը օգնեց բացահայտել մի քանի անվտանգության սխալներ, որոնց մենք շուտով կանդրադառնանք. բայց նախ պետք է մի քանի տեսական դասեր քաղել: Ինչպե՞ս օգտագործել այս մտացածին «Ալիսի սցենարը» հարձակման մեջ, որը կարող է աշխատել իրական ժամանակակից ծածկագրի վրա: Հնարավո՞ր է դա նույնիսկ տեսականորեն:

1998 թվականին շվեյցարացի կրիպտոգրաֆ Դանիել Բլեյխենբախերը այս հարցին դրական է պատասխանել։ Նա ցույց տվեց Oracle հարձակում լայնորեն օգտագործվող հանրային բանալին RSA կրիպտոհամակարգի վրա՝ օգտագործելով հատուկ հաղորդագրությունների սխեմա: Որոշ RSA իրականացումներում սերվերը պատասխանում է տարբեր սխալի հաղորդագրություններով՝ կախված նրանից, թե արդյոք պարզ տեքստը համապատասխանում է սխեմային, թե ոչ. սա բավական էր հարձակումն իրականացնելու համար։

Չորս տարի անց՝ 2002 թվականին, ֆրանսիացի կրիպտոգրաֆ Սերժ Վոդենայը ցույց տվեց օրակլի գրոհը, որը գրեթե նույնն էր վերը նշված Ալիսի սցենարում նկարագրվածին, բացառությամբ, որ հորինված ծածկագրի փոխարեն նա կոտրեց ժամանակակից ծածկագրերի մի ամբողջ պատկառելի դաս, որոնք իրականում օգտագործվում են մարդիկ: Մասնավորապես, Vaudenay-ի հարձակման թիրախը ֆիքսված մուտքային չափի ծածկագրերն են («բլոկի ծածկագրեր»), երբ դրանք օգտագործվում են այսպես կոչված «CBC գաղտնագրման ռեժիմում» և որոշակի հանրաճանաչ լիցքավորման սխեմայով, որը հիմնականում համարժեք է Ալիսի սցենարին:

Նաև 2002 թվականին ամերիկացի գաղտնագիր Ջոն Քելսին համահեղինակեց Երկչոտ — առաջարկել է տարբեր Oracle հարձակումներ համակարգերի վրա, որոնք սեղմում են հաղորդագրությունները և այնուհետև գաղտնագրում դրանք: Դրանցից ամենաուշագրավը հարձակումն էր, որն օգտվեց այն փաստից, որ հաճախ հնարավոր է պարզ տեքստի սկզբնական երկարությունը պարզել գաղտնագրված տեքստի երկարությունից: Տեսականորեն սա թույլ է տալիս oracle-ի հարձակումը, որը վերականգնում է սկզբնական պարզ տեքստի մասերը:

Ստորև մենք տրամադրում ենք Vaudenay-ի և Kelsey-ի հարձակումների ավելի մանրամասն նկարագրությունը (մենք ավելի մանրամասն նկարագրություն կտանք Bleichenbacher-ի հարձակմանը, երբ անցնենք հանրային բանալիների գաղտնագրության վրա հարձակումներին): Չնայած մեր լավագույն ջանքերին, տեքստը որոշ չափով դառնում է տեխնիկական. այնպես որ, եթե վերը նշվածը բավարար է ձեզ համար, բաց թողեք հաջորդ երկու բաժինները:

Վոդենեի հարձակումը

Vaudenay-ի հարձակումը հասկանալու համար մենք նախ պետք է մի փոքր ավելին խոսենք բլոկային ծածկագրերի և գաղտնագրման ռեժիմների մասին: «Բլոկ ծածկագիրը», ինչպես նշվեց, ծածկագիր է, որն ընդունում է որոշակի ֆիքսված երկարության բանալին և մուտքագրում («բլոկի երկարություն») և արտադրում է նույն երկարության կոդավորված բլոկ: Բլոկային ծածկագրերը լայնորեն օգտագործվում են և համարվում են համեմատաբար անվտանգ: Այժմ թոշակի անցած DES-ը, որը համարվում է առաջին ժամանակակից ծածկագիրը, բլոկային ծածկագիր էր: Ինչպես նշվեց վերևում, նույնը վերաբերում է AES-ին, որն այսօր լայնորեն կիրառվում է:

Ցավոք, բլոկային ծածկագրերն ունեն մեկ ակնհայտ թուլություն. Բլոկի բնորոշ չափը 128 բիթ է կամ 16 նիշ: Ակնհայտ է, որ ժամանակակից կրիպտոգրաֆիան պահանջում է աշխատել ավելի մեծ մուտքային տվյալների հետ, և այստեղ է, որ գործում են գաղտնագրման ռեժիմները: Գաղտնագրման ռեժիմը, ըստ էության, հաքեր է. դա միջոց է ինչ-որ կերպ կիրառել բլոկային ծածկագիրը, որն ընդունում է միայն որոշակի չափի մուտքագրում կամայական երկարության մուտքագրման համար:

Vodene-ի հարձակումը կենտրոնացած է հանրահայտ CBC (Cipher Block Chaining) գործողության ռեժիմի վրա: Հարձակումը վերաբերվում է հիմքում ընկած բլոկի ծածկագրին որպես կախարդական, անառիկ սև արկղի և ամբողջությամբ շրջանցում է դրա անվտանգությունը:

Ահա մի դիագրամ, որը ցույց է տալիս, թե ինչպես է աշխատում CBC ռեժիմը.

Շրջված գումարածը նշանակում է XOR (բացառիկ OR) գործողությունը: Օրինակ, ստացվում է ծածկագրված տեքստի երկրորդ բլոկը.

1. Երկրորդ պարզ տեքստային բլոկի վրա XOR գործողություն կատարելով առաջին ծածկագրված տեքստի բլոկով:
2. Ստացված բլոկի գաղտնագրում բլոկային ծածկագրով՝ օգտագործելով բանալի:

Քանի որ CBC-ն այդքան շատ օգտագործում է երկուական XOR գործողությունը, եկեք մի պահ հիշենք դրա որոշ հատկություններ.

• Անզորություն.
• Փոխատեղելիություն:
• Ասոցիատիվություն:
• Ինքնաշրջելիություն.
• Բայթի չափը՝ բայթ n of = (բայթ n-ից ) (բայթ n-ից )

Սովորաբար, այս հատկությունները ենթադրում են, որ եթե մենք ունենք հավասարում, որը ներառում է XOR գործողություններ և մեկ անհայտ, այն կարող է լուծվել: Օրինակ, եթե մենք գիտենք, որ անհայտի հետ և հայտնի и , ապա մենք կարող ենք հիմնվել վերը նշված հատկությունների վրա՝ լուծելու համարի հավասարումը . XOR-ը կիրառելով հավասարման երկու կողմերում , ստանում ենք . Այս ամենը շատ ակտուալ կդառնա մի պահ։

Մեր Ալիս սցենարի և Վոդենայի հարձակման միջև կա երկու փոքր տարբերություն և մեկ հիմնական տարբերություն: Երկու փոքր.

• Սցենարում Ալիսն ակնկալում էր, որ պարզ տեքստերը կավարտվեն հերոսներով a, bb, ccc եւ այլն։ Wodene հարձակման ժամանակ տուժողը ակնկալում է, որ պարզ տեքստերը N անգամ ավարտվեն N բայթով (այսինքն՝ տասնվեցական 01 կամ 02 02, կամ 03 03 03 և այլն): Սա զուտ կոսմետիկ տարբերություն է։
• Ալիսի սցենարում հեշտ էր պարզել, թե արդյոք Ալիսն ընդունել է հաղորդագրությունը «Սխալ կեղծ տեքստ» պատասխանով։ Վոդենեի հարձակման ժամանակ ավելի շատ վերլուծություն է պահանջվում, և տուժողի կողմից ճշգրիտ իրականացումը կարևոր է. բայց հակիրճության համար եկեք ընդունենք որպես տրված, որ այս վերլուծությունը դեռ հնարավոր է:

Հիմնական տարբերությունը.

• Քանի որ մենք չենք օգտագործում նույն կրիպտոհամակարգը, հարձակվողի կողմից վերահսկվող գաղտնագրային տեքստի բայթերի և գաղտնիքների (բանալին և պարզ տեքստ) հարաբերությունները ակնհայտորեն տարբեր կլինեն: Հետևաբար, հարձակվողը ստիպված կլինի օգտագործել այլ ռազմավարություն գաղտնագրային տեքստեր ստեղծելիս և սերվերի պատասխանները մեկնաբանելիս:

Այս հիմնական տարբերությունը հանելուկի վերջին կտորն է Վոդենայի հարձակումը հասկանալու համար, ուստի եկեք մի պահ մտածենք, թե ինչու և ինչպես հնարավոր կլինի օրակլի հարձակումը CBC-ի վրա:

Ենթադրենք, մեզ տրված է 247 բլոկների CBC ծածկագրված տեքստ, և մենք ցանկանում ենք այն վերծանել: Մենք կարող ենք կեղծ հաղորդագրություններ ուղարկել սերվերին, ինչպես նախկինում կարող էինք կեղծ հաղորդագրություններ ուղարկել Ալիսին: Սերվերը գաղտնազերծելու է հաղորդագրությունները մեզ համար, բայց չի ցուցադրի վերծանումը. փոխարենը, կրկին, ինչպես Ալիսի դեպքում, սերվերը կհաղորդի միայն մեկ բիթ տեղեկատվություն՝ արդյոք պարզ տեքստը վավեր ներդիր ունի, թե ոչ:

Հաշվի առեք, որ Ալիսի սցենարում մենք ունեինք հետևյալ հարաբերությունները.

$$display$$text{SIMPLE_SUBSTITUTION}(text{ciphertext},text{key}) = text{plaintext}$$display$$

Սա անվանենք «Ալիսի հավասարում»։ Մենք վերահսկում էինք ծածկագրված տեքստը. սերվերը (Alice) արտահոսել է անորոշ տեղեկատվություն ստացված պարզ տեքստի մասին. և դա մեզ թույլ տվեց տեղեկատվություն ստանալ վերջին գործոնի՝ բանալիի մասին: Ըստ անալոգիայի, եթե մենք կարողանանք նման կապ գտնել CBC սցենարի համար, մենք կարող ենք այնտեղից էլ որոշ գաղտնի տեղեկություններ կորզել:

Բարեբախտաբար, այնտեղ իսկապես կան հարաբերություններ, որոնք մենք կարող ենք օգտագործել: Դիտարկենք վերջնական զանգի ելքը՝ բլոկային ծածկագիրը վերծանելու և այս ելքը նշելու համար . Մենք նաև նշում ենք պարզ տեքստի բլոկներ և ծածկագրված տեքստային բլոկներ . Եվս մեկ նայեք CBC-ի դիագրամին և նկատեք, թե ինչ է տեղի ունենում.

Եկեք սա անվանենք «CBC հավասարում»:

Ալիսի սցենարով, գաղտնագրված տեքստը վերահսկելով և համապատասխան պարզ տեքստի արտահոսքը դիտելով, մենք կարողացանք հարձակում գործադրել, որը վերականգնել է հավասարման երրորդ անդամը՝ բանալին: CBC-ի սցենարում մենք նաև վերահսկում ենք գաղտնագրված տեքստը և դիտարկում ենք տեղեկատվության արտահոսքը համապատասխան պարզ տեքստի վրա: Եթե ​​անալոգիան պահպանվի, մենք կարող ենք տեղեկություններ ստանալ դրա մասին .

Ենթադրենք, մենք իսկապես վերականգնվել ենք , Ուրեմն ինչ? Դե, ապա մենք կարող ենք միանգամից տպել պարզ տեքստի ամբողջ վերջին բլոկը (), պարզապես մտնելով (որ մենք ունենք) և
ստացել է CBC հավասարման մեջ:

Այժմ, երբ մենք լավատես ենք հարձակման ընդհանուր պլանի վերաբերյալ, ժամանակն է մշակել մանրամասները: Խնդրում ենք ուշադրություն դարձնել, թե ինչպես է պարզ տեքստի տեղեկատվությունը արտահոսում սերվերում: Ալիսի սկրիպտում արտահոսքը տեղի ունեցավ, քանի որ Ալիսը կպատասխաներ ճիշտ հաղորդագրությամբ, եթե $inline$text{SIMPLE_SUBSTITUTION}(text{ciphertext},text{key})$inline$ ավարտվեր տողով a (Կամ bbև այլն, բայց այս պայմանների պատահական առաջացման հավանականությունը շատ փոքր էր): CBC-ի նման, սերվերն ընդունում է լիցքավորումը, եթե և միայն այն դեպքում, եթե ավարտվում է տասնվեցական 01. Այսպիսով, եկեք փորձենք նույն հնարքը՝ ուղարկել կեղծ գաղտնագրային տեքստեր մեր իսկ կեղծ արժեքներով մինչև սերվերը ընդունի լցոնումը:

Երբ սերվերն ընդունում է լիցք մեր կեղծ հաղորդագրություններից մեկի համար, դա նշանակում է, որ.

Այժմ մենք օգտագործում ենք բայթ-բայթ XOR հատկությունը.

Մենք գիտենք առաջին և երրորդ տերմինները: Եվ մենք արդեն տեսել ենք, որ դա մեզ թույլ է տալիս վերականգնել մնացած տերմինը՝ վերջին բայթը :

Սա նաև մեզ տալիս է վերջնական պարզ տեքստի բլոկի վերջին բայթը CBC հավասարման և բայթ առ բայթ հատկության միջոցով:

Մենք կարող էինք այդպես թողնել և գոհ լինել, որ հարձակում ենք գործել տեսականորեն ուժեղ ծածկագրի վրա։ Բայց իրականում մենք կարող ենք շատ ավելին անել. մենք իրականում կարող ենք վերականգնել ամբողջ տեքստը: Սա պահանջում է հնարք, որը չկար Ալիսի սկզբնական սցենարում և պարտադիր չէ oracle-ի հարձակման համար, բայց այն դեռ արժե սովորել:

Դա հասկանալու համար նախ նշեք, որ վերջին բայթի ճիշտ արժեքը դուրս բերելու արդյունքն է մենք նոր կարողություն ունենք. Այժմ, երբ կեղծում ենք գաղտնագրային տեքստերը, մենք կարող ենք շահարկել համապատասխան պարզ տեքստի վերջին բայթը: Կրկին, սա կապված է CBC հավասարման և բայթ առ բայթ հատկության հետ.

Քանի որ մենք այժմ գիտենք երկրորդ տերմինը, մենք կարող ենք օգտագործել մեր վերահսկողությունը առաջինի նկատմամբ՝ երրորդը վերահսկելու համար: Մենք պարզապես հաշվարկում ենք.

Մենք նախկինում չէինք կարող դա անել, քանի որ մենք դեռ չունեինք վերջին բայթը .

Ինչպե՞ս դա կօգնի մեզ: Ենթադրենք, որ մենք այժմ ստեղծում ենք բոլոր ծածկագրված տեքստերը այնպես, որ համապատասխան պարզ տեքստերում վերջին բայթը հավասար է 02. Սերվերն այժմ ընդունում է լիցքավորումը միայն այն դեպքում, եթե պարզ տեքստն ավարտվում է դրանով 02 02. Քանի որ մենք ուղղել ենք վերջին բայթը, դա տեղի կունենա միայն այն դեպքում, եթե պարզ տեքստի նախավերջին բայթը նույնպես 02 է: Մենք շարունակում ենք ուղարկել կեղծ գաղտնագրային տեքստի բլոկներ, փոխելով նախավերջին բայթը, մինչև սերվերը ընդունի դրանցից մեկի լրացումը: Այս պահին մենք ստանում ենք.

Եվ մենք վերականգնում ենք նախավերջին բայթը ճիշտ այնպես, ինչպես վերջինը վերականգնվեց։ Մենք շարունակում ենք նույն ոգով. մենք ուղղում ենք պարզ տեքստի վերջին երկու բայթերը 03 03, մենք այս հարձակումը կրկնում ենք երրորդ բայթի համար վերջից և այդպես շարունակ՝ ի վերջո ամբողջությամբ վերականգնելով .

Ի՞նչ կասեք տեքստի մնացած մասի մասին: Խնդրում ենք նկատի ունենալ, որ արժեքը իրականում $inline$text{BLOCK_DECRYPT}(text{key},C_{247})$inline$ է: Փոխարենը մենք կարող ենք տեղադրել ցանկացած այլ բլոկ , և հարձակումը դեռ հաջող կլինի։ Փաստորեն, մենք կարող ենք խնդրել սերվերին կատարել $inline$text{BLOCK_DECRYPT}$inline$ ցանկացած տվյալների համար: Այս պահին խաղն ավարտված է. մենք կարող ենք վերծանել ցանկացած ծածկագրված տեքստ (դա տեսնելու համար մեկ այլ նայեք CBC-ի վերծանման դիագրամին և նշեք, որ IV-ը հանրային է):

Այս կոնկրետ մեթոդը վճռորոշ դեր է խաղում oracle-ի հարձակման մեջ, որին մենք հետագայում կհանդիպենք:

Քելսիի հարձակումը

Մեր հարազատ Ջոն Քելսին շարադրեց բազմաթիվ հնարավոր հարձակումների հիմքում ընկած սկզբունքները, ոչ միայն կոնկրետ գաղտնագրման վրա կոնկրետ հարձակման մանրամասները: Նրան Տարվա 2002 հոդվածը գաղտնագրված սեղմված տվյալների վրա հնարավոր հարձակումների ուսումնասիրություն է: Դուք կարծում էիք, որ տեղեկատվությունը, որ տվյալները սեղմվել են նախքան գաղտնագրումը, բավարար չէ՞ր հարձակում իրականացնելու համար: Պարզվում է՝ բավական է։

Այս զարմանալի արդյունքը պայմանավորված է երկու սկզբունքներով. Նախ, կա ամուր հարաբերակցություն պարզ տեքստի երկարության և գաղտնագրված տեքստի երկարության միջև. շատ գաղտնագրերի համար ճշգրիտ հավասարություն: Երկրորդ, երբ սեղմումը կատարվում է, կա նաև ամուր հարաբերակցություն սեղմված հաղորդագրության երկարության և պարզ տեքստի «աղմուկի» աստիճանի, այսինքն՝ չկրկնվող նիշերի համամասնության միջև (տեխնիկական տերմինը «բարձր էնտրոպիա» է։ )

Սկզբունքը գործողության մեջ տեսնելու համար հաշվի առեք երկու պարզ տեքստ.

Պարզ տեքստ 1: AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA

Պարզ տեքստ 2: ATVXCAGTRSVPTVVULSJQHGEYCMQPCRQBGCYIXCFJGJ

Ենթադրենք երկու պարզ տեքստերն էլ սեղմված են, իսկ հետո կոդավորված: Դուք ստանում եք երկու արդյունքում ստացված գաղտնագրված տեքստ և պետք է գուշակեք, թե որ ծածկագրված տեքստը համընկնում է պարզ տեքստի հետ.

Գաղտնագրված տեքստ 1: PVOVEYBPJDPVANEAWVGCIUWAABCIYIKOOURMYDTA

Գաղտնագրված տեքստ 2: DWKJZXYU

Պատասխանը պարզ է. Պարզ տեքստերից միայն պարզ տեքստ 1-ը կարող էր սեղմվել երկրորդ գաղտնագրված տեքստի չնչին երկարության մեջ: Մենք դա պարզեցինք առանց որևէ բան իմանալու սեղմման ալգորիթմի, գաղտնագրման բանալիի կամ նույնիսկ բուն ծածկագրի մասին: Համեմատած հնարավոր կրիպտոգրաֆիկ հարձակումների հիերարխիայի հետ՝ սա մի տեսակ խելագարություն է:

Քելսին այնուհետև մատնանշում է, որ որոշակի անսովոր հանգամանքներում այս սկզբունքը կարող է օգտագործվել նաև օրակլի հարձակում իրականացնելու համար: Մասնավորապես, այն նկարագրում է, թե ինչպես հարձակվողը կարող է վերականգնել գաղտնի պարզ տեքստը, եթե նա կարող է ստիպել սերվերին գաղտնագրել ձևի տվյալները (բաց տեքստը, որին հաջորդում է. մինչ նա վերահսկում է և կարող է ինչ-որ կերպ ստուգել գաղտնագրված արդյունքի երկարությունը:

Կրկին, ինչպես այլ oracle հարձակումները, մենք ունենք հարաբերություններ.

Կրկին մենք վերահսկում ենք մեկ տերմին (), մենք տեսնում ենք մեկ այլ անդամի մասին տեղեկատվության փոքր արտահոսք (գաղտնագրված տեքստ) և փորձում ենք վերականգնել վերջինը (պարզ տեքստ): Չնայած նմանությանը, սա փոքր-ինչ անսովոր իրավիճակ է, համեմատած մեր տեսած այլ oracle հարձակումների հետ:

Ցույց տալու համար, թե ինչպես կարող է գործել նման հարձակումը, եկեք օգտագործենք ֆիկտիվ սեղմման սխեման, որը մենք հենց նոր ստեղծեցինք՝ TOYZIP: Այն փնտրում է տեքստի տողեր, որոնք նախկինում հայտնվել են տեքստում և դրանք փոխարինում է երեք տեղապահ բայթերով, որոնք ցույց են տալիս, թե որտեղ կարելի է գտնել տողի ավելի վաղ օրինակը և քանի անգամ է այն հայտնվում այնտեղ: Օրինակ, գիծը helloworldhello կարող է սեղմվել մեջ helloworld[00][00][05] 13 բայթ երկարություն՝ սկզբնական 15 բայթի համեմատ:

Ենթադրենք, հարձակվողը փորձում է վերականգնել ձևի պարզ տեքստը password=..., որտեղ ինքնին գաղտնաբառը անհայտ է: Ըստ Քելսիի հարձակման մոդելի, հարձակվողը կարող է խնդրել սերվերին սեղմել և այնուհետև գաղտնագրել ձևի հաղորդագրությունները (պարզ տեքստ, որին հաջորդում է. ) որտեղ  - ազատ տեքստ: Երբ սերվերն ավարտում է աշխատանքը, այն հայտնում է արդյունքի երկարությունը: Հարձակումն ընթանում է այսպես.

Կողոպտիչ: Խնդրում ենք սեղմել և գաղտնագրել պարզ տեքստը՝ առանց որևէ լիցքավորման:

Սերվեր: Արդյունքի երկարությունը 14.

Կողոպտիչ: Խնդրում ենք սեղմել և գաղտնագրել պարզ տեքստը, որին կցված է password=a.

Սերվեր: Արդյունքի երկարությունը 18.

Կրեկերը նշում է. [օրիգինալ 14] + [երեք բայթ, որը փոխարինվել է password=] + a

Կողոպտիչ: Խնդրում ենք սեղմել և գաղտնագրել պարզ տեքստը, որին ավելացվել է password=b.

Սերվեր: Արդյունքի երկարությունը 18.

Կողոպտիչ: Խնդրում ենք սեղմել և գաղտնագրել պարզ տեքստը, որին ավելացվել է password=с.

Սերվեր: Արդյունքի երկարությունը 17.

Կրեկերը նշում է. [օրիգինալ 14] + [երեք բայթ, որը փոխարինվել է password=c]. Սա ենթադրում է, որ սկզբնական պարզ տեքստը պարունակում է տողը password=c. Այսինքն՝ գաղտնաբառը սկսվում է տառով c

Կողոպտիչ: Խնդրում ենք սեղմել և գաղտնագրել պարզ տեքստը, որին ավելացվել է password=сa.

Սերվեր: Արդյունքի երկարությունը 18.

Կրեկերը նշում է. [օրիգինալ 14] + [երեք բայթ, որը փոխարինվել է password=с] + a

Կողոպտիչ: Խնդրում ենք սեղմել և գաղտնագրել պարզ տեքստը, որին ավելացվել է password=сb.

Սերվեր: Արդյունքի երկարությունը 18.

(… Որոշ ժամանակ անց…)

Կողոպտիչ: Խնդրում ենք սեղմել և գաղտնագրել պարզ տեքստը, որին ավելացվել է password=со.

Սերվեր: Արդյունքի երկարությունը 17.

Կրեկերը նշում է. [օրիգինալ 14] + [երեք բայթ, որը փոխարինվել է password=co]. Նույն տրամաբանությամբ հարձակվողը եզրակացնում է, որ գաղտնաբառը սկսվում է տառերով co

Եվ այսպես շարունակ, մինչև ամբողջ գաղտնաբառը վերականգնվի:

Ընթերցողին կներեն մտածել, որ սա զուտ ակադեմիական վարժություն է, և որ նման հարձակման սցենար իրական աշխարհում երբեք չի առաջանա: Ավաղ, ինչպես շուտով կտեսնենք, ավելի լավ է չհրաժարվել գաղտնագրությունից։

Բրենդի խոցելիությունը՝ CRIME, POODLE, DROWN

Վերջապես, տեսությունը մանրամասն ուսումնասիրելուց հետո մենք կարող ենք տեսնել, թե ինչպես են այս տեխնիկան կիրառվում իրական կյանքում կրիպտոգրաֆիկ հարձակումների ժամանակ:

ՀԱՆՑԱՆՔ

Եթե ​​հարձակումը թիրախ է դարձնում զոհի բրաուզերը և ցանցը, որոշ բաներ ավելի հեշտ կլինեն, իսկ որոշները՝ ավելի դժվար: Օրինակ՝ հեշտ է տեսնել զոհի երթևեկությունը. պարզապես նստեք նրա հետ նույն սրճարանում՝ WiFi-ով: Այդ պատճառով պոտենցիալ զոհերին (այսինքն բոլորին) սովորաբար խորհուրդ է տրվում օգտագործել կոդավորված կապ: Ավելի դժվար, բայց դեռ հնարավոր կլինի զոհի անունից HTTP հարցումներ կատարել երրորդ կողմի կայք (օրինակ՝ Google): Հարձակվողը պետք է զոհին տանի դեպի չարամիտ վեբ էջ՝ հարցումը կատարող սցենարով: Վեբ զննարկիչը ավտոմատ կերպով կտրամադրի համապատասխան նիստի քուքի:

Սա զարմանալի է թվում: Եթե ​​Բոբը գնա evil.com, կարող է այս կայքի սցենարը պարզապես խնդրել Google-ին ուղարկել Բոբի գաղտնաբառը [email protected]? Դե, տեսականորեն այո, բայց իրականում ոչ։ Այս սցենարը կոչվում է խաչմերուկային հարցումների կեղծման հարձակում (Cross-site Request կեղծիք, CSRF), և այն հայտնի էր 90-ականների կեսերին: Այսօր եթե evil.com Փորձելով այս հնարքը, Google-ը (կամ իրեն հարգող ցանկացած կայք) սովորաբար պատասխանում է՝ «Հիանալի է, բայց ձեր CSRF նշանն այս գործարքի համար կլինի... три триллиона и семь. Խնդրում եմ կրկնել այս թիվը»։ Ժամանակակից բրաուզերներն ունեն մի բան, որը կոչվում է «նույն ծագման քաղաքականություն», ըստ որի A կայքի սկրիպտները մուտք չունեն B կայքի կողմից ուղարկված տեղեկատվությանը: Այսպիսով, սկրիպտը evil.com կարող է հարցումներ ուղարկել google.com, բայց չի կարող կարդալ պատասխանները կամ իրականում ավարտել գործարքը:

Պետք է ընդգծենք, որ եթե Բոբը գաղտնագրված կապ չի օգտագործում, այս բոլոր պաշտպանությունները անիմաստ են: Հարձակվողը կարող է պարզապես կարդալ Բոբի տրաֆիկը և վերականգնել Google-ի նիստի թխուկը: Այս թխուկի միջոցով նա պարզապես կբացի Google-ի նոր ներդիր՝ առանց սեփական զննարկիչը լքելու և կներկայացնի Բոբին՝ առանց բախվելու նույն ծագման տհաճ քաղաքականության: Բայց, ի դժբախտություն կողոպտողի, սա գնալով ավելի քիչ տարածված է դառնում: Համացանցն ամբողջությամբ վաղուց պատերազմ է հայտարարել չգաղտնագրված կապերին, և Բոբի ելքային տրաֆիկը, ուզած թե չուզած, հավանաբար կոդավորված է: Բացի այդ, արձանագրության ներդրման հենց սկզբից տրաֆիկ էր նաև կծկվել նախքան կոդավորումը; սա սովորական պրակտիկա էր՝ նվազեցնելու հետաձգումը:

Այստեղ է, որ այն մտնում է խաղի մեջ ՀԱՆՑԱՆՔ (Compression Ratio Infoleak Made Easy, պարզ արտահոսք սեղմման հարաբերակցության միջոցով): Խոցելիությունը բացահայտվել է 2012 թվականի սեպտեմբերին անվտանգության հետազոտողներ Ջուլիանո Ռիզոն և Թայ Դուոնգը: Մենք արդեն ուսումնասիրել ենք ամբողջ տեսական հիմքը, որը թույլ է տալիս հասկանալ, թե ինչ են արել և ինչպես։ Հարձակվողը կարող է ստիպել Բոբի զննարկիչին հարցումներ ուղարկել Google-ին, այնուհետև լսել տեղական ցանցի պատասխանները սեղմված, կոդավորված ձևով: Ուստի մենք ունենք.

Այստեղ հարձակվողը վերահսկում է հարցումը և ունի մուտք դեպի երթևեկության ախտահանիչ, ներառյալ փաթեթի չափը: Քելսիի հորինված սցենարը կյանքի կոչվեց։

Հասկանալով տեսությունը՝ CRIME-ի հեղինակները ստեղծել են շահագործում, որը կարող է գողանալ սեսիայի թխուկները կայքերի լայն շրջանակի համար, ներառյալ Gmail-ը, Twitter-ը, Dropbox-ը և Github-ը: Խոցելիությունը ազդել է ժամանակակից վեբ բրաուզերների մեծ մասի վրա, ինչի արդյունքում թողարկվել են պատչեր, որոնք լուռ թաղել են սեղմման հնարավորությունը SSL-ում, որպեսզի այն ընդհանրապես չօգտագործվի: Խոցելիությունից պաշտպանված միակը հարգարժան Internet Explorer-ն էր, որն ընդհանրապես երբեք չի օգտագործել SSL սեղմում:

ՄԻՇՏ

2014 թվականի հոկտեմբերին Google-ի անվտանգության թիմը մեծ աղմուկ բարձրացրեց անվտանգության համայնքում: Նրանք կարողացան օգտագործել SSL արձանագրության խոցելիությունը, որը կարկատվել էր ավելի քան տասը տարի առաջ:

Պարզվում է, որ մինչ սերվերները գործարկում են փայլուն նոր TLSv1.2-ը, շատերը թողել են ժառանգական SSLv3-ի աջակցությունը Internet Explorer 6-ի հետ հետ համատեղելիության համար: Մենք արդեն խոսել ենք իջեցման գրոհների մասին, այնպես որ կարող եք պատկերացնել, թե ինչ է կատարվում: Ձեռքսեղմման արձանագրության լավ կազմակերպված սաբոտաժը և սերվերները պատրաստ են վերադառնալու հին լավ SSLv3-ին՝ ըստ էության չեղարկելով անվտանգության վերջին 15 տարվա հետազոտությունը:

Պատմական համատեքստի համար՝ ահա SSL-ի մինչև 2-րդ տարբերակի պատմության հակիրճ ամփոփագիրը Մեթյու Գրինից:

Տրանսպորտային շերտի անվտանգությունը (TLS) ինտերնետի անվտանգության ամենակարևոր արձանագրությունն է: [..] Համացանցում ձեր կատարած գրեթե յուրաքանչյուր գործարք կախված է TLS-ից: [..] Բայց TLS-ը միշտ չէ, որ եղել է TLS: Արձանագրությունը սկսեց իր կյանքը Netscape Communications կոչվում է «Secure Sockets Layer» կամ SSL: Խոսակցություններ կան, որ SSL-ի առաջին տարբերակն այնքան սարսափելի էր, որ մշակողները հավաքեցին կոդի բոլոր տպագրությունները և թաղեցին Նյու Մեքսիկոյի գաղտնի աղբավայրում: Արդյունքում, SSL-ի առաջին հրապարակայնորեն հասանելի տարբերակը իրականում տարբերակը SSL 2. Դա բավականին սարսափելի է, և [...] այն 90-ականների կեսերի արդյունք էր, որը ժամանակակից կրիպտոգրաֆիստները համարում են «ծածկագրության մութ դարեր« Ամենասարսափելի գաղտնագրական հարձակումներից շատերը, որոնց մասին մենք այսօր գիտենք, դեռևս չեն հայտնաբերվել: Արդյունքում, SSLv2 արձանագրության մշակողները, ըստ էության, մնացին իրենց ճանապարհը մթության մեջ, և նրանք բախվեցին. շատ սարսափելի հրեշներ - ի վրդովմունք նրանց և մեր օգտին, քանի որ SSLv2-ի վրա հարձակումները անգնահատելի դասեր են թողել հաջորդ սերնդի արձանագրությունների համար:

Այս իրադարձություններից հետո, 1996 թվականին, հիասթափված Netscape-ը վերափոխեց SSL արձանագրությունը զրոյից: Արդյունքը եղավ SSL տարբերակը 3, որը շտկել է իր նախորդի անվտանգության մի քանի հայտնի խնդիրներ.

Բարեբախտաբար գողերի համար «մի քանիսը» չի նշանակում «բոլորը»: Ընդհանուր առմամբ, SSLv3-ը տրամադրեց բոլոր անհրաժեշտ շինարարական բլոկները Vodene-ի հարձակում սկսելու համար: Արձանագրությունն օգտագործում էր CBC ռեժիմի բլոկի ծածկագիրը և անապահով լիցքավորման սխեման (սա ուղղվել է TLS-ում, հետևաբար՝ իջեցման հարձակման անհրաժեշտությունը): Եթե ​​հիշում եք լիցքավորման սխեման Vaudenay-ի հարձակման մեր սկզբնական նկարագրության մեջ, SSLv3 սխեման շատ նման է:

Բայց, ցավոք, կողոպտիչների համար «նման» չի նշանակում «նույնական»: SSLv3 լիցքավորման սխեման «N պատահական բայթ է, որին հաջորդում է N թիվը»: Փորձեք, այս պայմաններում, ընտրել գաղտնագրված տեքստի երևակայական բլոկ և անցնել Վոդենի սկզբնական սխեմայի բոլոր քայլերը. դուք կգտնեք, որ հարձակումը հաջողությամբ հանում է վերջին բայթը համապատասխան պարզ տեքստի բլոկում, բայց ավելի հեռուն չի գնում: Գաղտնագրված տեքստի յուրաքանչյուր 16-րդ բայթը վերծանելը հիանալի հնարք է, բայց դա հաղթանակ չէ:

Կանգնած ձախողման հետ՝ Google-ի թիմը դիմեց վերջին միջոցին. նրանք անցան սպառնալիքի ավելի հզոր մոդելի՝ CRIME-ում օգտագործվող մոդելի: Ենթադրելով, որ հարձակվողը տուժողի բրաուզերի ներդիրում աշխատող սցենար է և կարող է հանել նիստի թխուկները, հարձակումը դեռ տպավորիչ է: Թեև սպառնալիքների ավելի լայն մոդելն ավելի քիչ իրատեսական է, մենք նախորդ բաժնում տեսանք, որ այս կոնկրետ մոդելն իրագործելի է:

Հաշվի առնելով այս ավելի հզոր հարձակվողի հնարավորությունները, հարձակումն այժմ կարող է շարունակվել: Նկատի ունեցեք, որ հարձակվողը գիտի, թե որտեղ է գաղտնագրված նիստի թխուկը հայտնվում վերնագրում և վերահսկում է դրան նախորդող HTTP հարցման երկարությունը: Հետևաբար, այն ի վիճակի է մանիպուլյացիայի ենթարկել HTTP հարցումը, որպեսզի թխուկի վերջին բայթը համապատասխանեցվի բլոկի վերջի հետ: Այժմ այս բայթը հարմար է վերծանման համար: Դուք կարող եք պարզապես մեկ նիշ ավելացնել հարցումին, և թխուկի նախավերջին բայթը կմնա նույն տեղում և հարմար է նույն մեթոդով ընտրելու համար: Հարձակումը շարունակվում է այս կերպ, մինչև թխուկների ֆայլը ամբողջությամբ վերականգնվի: Այն կոչվում է POODLE: Padding Oracle on Downgraded Legacy Encryption-ում:

Խեղդվել

Ինչպես նշեցինք, SSLv3-ն ուներ իր թերությունները, բայց այն սկզբունքորեն տարբերվում էր իր նախորդից, քանի որ արտահոսող SSLv2-ը այլ դարաշրջանի արդյունք էր: Այնտեղ դուք կարող եք ընդհատել հաղորդագրությունը մեջտեղում. соглашусь на это только через мой труп վերածվեց соглашусь на это; հաճախորդը և սերվերը կարող էին հանդիպել առցանց, վստահություն հաստատել և գաղտնիքներ փոխանակել հարձակվողի առջև, որն այնուհետև հեշտությամբ կարող էր անձնավորել երկուսին էլ: Կա նաև արտահանման գաղտնագրության խնդիր, որը մենք նշեցինք FREAK-ը դիտարկելիս։ Սրանք գաղտնագրային Սոդոմն ու Գոմորն էին։

2016 թվականի մարտին տարբեր տեխնիկական ոլորտների հետազոտողների թիմը հավաքվեց և կատարեց ապշեցուցիչ բացահայտում. SSLv2-ը դեռ օգտագործվում է անվտանգության համակարգերում: Այո, հարձակվողներն այլևս չէին կարող իջեցնել ժամանակակից TLS նիստերը SSLv2-ի, քանի որ այդ անցքը փակվել էր FREAK-ից և POODLE-ից հետո, բայց նրանք դեռ կարող են միանալ սերվերներին և իրենք սկսել SSLv2 նիստերը:

Դուք կարող եք հարցնել, թե ինչու մեզ հետաքրքրում է, թե ինչ են անում այնտեղ: Նրանք ունեն խոցելի նիստ, բայց դա չպետք է ազդի այլ նիստերի կամ սերվերի անվտանգության վրա. Դե, ոչ այնքան: Այո, տեսականորեն այդպես պետք է լինի։ Բայց ոչ, քանի որ SSL վկայագրերի ստեղծումը որոշակի ծանրաբեռնվածություն է առաջացնում, ինչի արդյունքում շատ սերվերներ օգտագործում են նույն վկայականները և, արդյունքում, նույն RSA ստեղները TLS և SSLv2 կապերի համար: Իրավիճակն ավելի վատթարացնելու համար, OpenSSL սխալի պատճառով այս հանրաճանաչ SSL ներդրման «Անջատել SSLv2» տարբերակը իրականում չի աշխատել:

Սա հնարավոր դարձրեց խաչաձև արձանագրային հարձակում TLS-ի վրա, որը կոչվում է Խեղդվել (RSA-ի վերծանում հնացած և թուլացած ծածկագրմամբ, RSA-ի վերծանում հնացած և թուլացած կոդավորումով): Հիշեք, որ սա նույնը չէ, ինչ կարճ հարձակումը. հարձակվողը կարիք չունի հանդես գալ որպես «մարդը մեջտեղում» և կարիք չունի հաճախորդին ներգրավելու անապահով նիստին մասնակցելու համար: Հարձակվողները պարզապես իրենք են նախաձեռնում անապահով SSLv2 նիստը սերվերի հետ, հարձակվում են թույլ արձանագրության վրա և վերականգնում սերվերի RSA մասնավոր բանալին: Այս բանալին վավեր է նաև TLS միացումների համար, և այս պահից սկսած, ոչ մի TLS անվտանգություն չի խանգարի դրա վտանգմանը:

Բայց այն կոտրելու համար ձեզ հարկավոր է աշխատանքային գրոհ SSLv2-ի դեմ, որը թույլ է տալիս վերականգնել ոչ միայն հատուկ տրաֆիկը, այլև RSA սերվերի գաղտնի բանալին։ Չնայած սա բարդ կարգավորում է, հետազոտողները կարող էին ընտրել ցանկացած խոցելիություն, որն ամբողջությամբ փակվել էր SSLv2-ից հետո: Նրանք ի վերջո գտան հարմար տարբերակ՝ Բլեյխենբախերի հարձակումը, որի մասին մենք ավելի վաղ նշել ենք, և որը մանրամասն կբացատրենք հաջորդ հոդվածում։ SSL-ը և TLS-ը պաշտպանված են այս հարձակումից, սակայն SSL-ի որոշ պատահական առանձնահատկություններ՝ համակցված արտահանման կարգի կրիպտոգրաֆիայի կարճ ստեղներով, դա հնարավոր դարձրեց. DROWN-ի կոնկրետ իրականացում.

Հրապարակման պահին ինտերնետի լավագույն կայքերի 25%-ը տուժել է DROWN խոցելիությունից, և հարձակումը կարող էր իրականացվել համեստ ռեսուրսներով, որոնք հասանելի են նույնիսկ չարաճճի միայնակ հաքերներին: Սերվերի RSA բանալին առբերելու համար պահանջվեց ութ ժամ հաշվարկ և 440 դոլար, իսկ SSLv2-ը հնացածից դարձավ ռադիոակտիվ:

Սպասեք, իսկ Heartbleed-ը:

Սա գաղտնագրային հարձակում չէ վերը նկարագրված իմաստով. Սա բուֆերային արտահոսք է:

Եկեք ընդմիջենք

Մենք սկսեցինք մի քանի հիմնական տեխնիկայից՝ բիրտ ուժ, ինտերպոլացիա, իջեցում, խաչաձև արձանագրություն և նախնական հաշվարկ: Այնուհետև մենք դիտարկեցինք մեկ առաջադեմ տեխնիկա, որը, հավանաբար, ժամանակակից կրիպտոգրաֆիկ հարձակումների հիմնական բաղադրիչն է՝ oracle հարձակումը: Մենք բավական ժամանակ ծախսեցինք պարզելու համար, և հասկացանք ոչ միայն հիմքում ընկած սկզբունքը, այլև երկու կոնկրետ իրագործման տեխնիկական մանրամասները՝ Vaudenay հարձակումը CBC գաղտնագրման ռեժիմի վրա և Kelsey հարձակումը նախնական սեղմման գաղտնագրման արձանագրությունների վրա:

Նվազեցման և նախնական հաշվարկային հարձակումները վերանայելիս մենք հակիրճ ուրվագծեցինք FREAK-ի հարձակումը, որն օգտագործում է երկու մեթոդները՝ նպատակային կայքերը իջեցնելով թույլ ստեղների և այնուհետև նորից օգտագործելու նույն բանալիները: Հաջորդ հոդվածի համար մենք կպահենք (շատ նման) Logjam հարձակումը, որն ուղղված է հանրային բանալիների ալգորիթմներին:

Այնուհետև մենք դիտարկեցինք այս սկզբունքների կիրառման ևս երեք օրինակ: Նախ, CRIME և POODLE. երկու հարձակումներ, որոնք հիմնված էին հարձակվողի կարողության վրա կամայական պարզ տեքստ ներարկել թիրախային պարզ տեքստի կողքին, այնուհետև ուսումնասիրել սերվերի պատասխանները և ապա, օգտագործելով Oracle հարձակման մեթոդոլոգիան, օգտագործեք այս սակավ տեղեկատվությունը պարզ տեքստը մասամբ վերականգնելու համար: CRIME-ը գնաց SSL սեղմման վրա Քելսիի հարձակման ճանապարհով, մինչդեռ ՓՈՒԴԼ-ը դրա փոխարեն օգտագործեց Վոդենեյի հարձակման տարբերակը CBC-ի վրա նույն էֆեկտով:

Այնուհետև մենք մեր ուշադրությունը դարձրեցինք խաչաձև պրոտոկոլային DROWN հարձակմանը, որը կապ է հաստատում սերվերի հետ՝ օգտագործելով ժառանգական SSLv2 արձանագրությունը, այնուհետև վերականգնում է սերվերի գաղտնի բանալիները՝ օգտագործելով Bleichenbacher հարձակումը: Մենք առայժմ բաց ենք թողել այս հարձակման տեխնիկական մանրամասները. Logjam-ի նման, այն պետք է սպասի, մինչև մենք լավ հասկանանք հանրային բանալիների կրիպտոհամակարգերը և դրանց խոցելիությունը:

Հաջորդ հոդվածում մենք կխոսենք առաջադեմ հարձակումների մասին, ինչպիսիք են meet-in-the-middle, դիֆերենցիալ կրիպտովերլուծությունը և ծննդյան հարձակումները: Եկեք արագ ներխուժենք կողային ալիքի հարձակումները, այնուհետև հասնենք գործի հիմնական կետին՝ հանրային բանալիների կրիպտոհամակարգերին:

Source: www.habr.com