Þegar þú heyrir orðið „dulkóðun“ muna sumir eftir WiFi lykilorðinu sínu, græna hengilásnum við hliðina á heimilisfangi uppáhaldsvefsíðunnar sinnar og hversu erfitt það er að komast inn í tölvupóst einhvers annars. Aðrir rifja upp röð veikleika á undanförnum árum með talsverðum skammstöfunum (DROWN, FREAK, POODLE...), stílhrein lógó og viðvörun um að uppfæra vafrann þinn sem fyrst.
Dulritun nær yfir allt, en kjarninn í öðru. Aðalatriðið er að það er fín lína á milli einfalds og flókins. Sumt er auðvelt að gera en erfitt að setja saman aftur, eins og að brjóta egg. Annað er auðvelt að gera en erfitt að fá til baka þegar lítinn, mikilvægan, mikilvægan hluta vantar: til dæmis að opna læstar hurð þegar „mikilvægi hlutinn“ er lykillinn. Dulritun rannsakar þessar aðstæður og hvernig hægt er að nota þær í reynd.
Undanfarin ár hefur söfnun dulmálsárása breyst í dýragarð af áberandi lógóum, fylltum formúlum úr vísindaritum, og gefið tilefni til almennrar dökkrar tilfinningar um að allt sé brotið. En í raun og veru eru margar árásirnar byggðar á nokkrum almennum reglum og endalausar blaðsíður af formúlum eru oft soðnar niður í auðskiljanlegar hugmyndir.
Í þessari greinaröð munum við skoða mismunandi tegundir dulmálsárása, með áherslu á grunnreglurnar. Almennt séð og ekki nákvæmlega í þessari röð, en við munum fjalla um eftirfarandi:
- Grunnaðferðir: brute force, tíðnigreining, innskot, lækkun og krosssamskiptareglur.
- Vörumerkjaveikleikar: FRÆÐI, GLÆPUR, POODLE, DREKNA, Logjam.
- Ítarlegar aðferðir: véfréttaárásir (Vodenet árás, Kelsey árás); mæta-í-miðju aðferð, afmælisárás, tölfræðileg hlutdrægni (mismunandi dulmálsgreining, samþætt dulmálsgreining o.s.frv.).
- Hliðarrásarárásir og nánustu ættingja þeirra, bilanagreiningaraðferðir.
- Árásir á dulritun opinberra lykla: teningsrót, útsending, tengd skilaboð, Coppersmith árás, Pohlig-Hellman reiknirit, talna sigti, Wiener árás, Bleichenbacher árás.
Þessi tiltekna grein fjallar um ofangreint efni fram að árás Kelsey.
Grunnaðferðir
Eftirfarandi árásir eru einfaldar í þeim skilningi að hægt er að útskýra þær nánast alveg án mikilla tæknilegra smáatriða. Við skulum útskýra hverja tegund árása á einfaldasta hátt, án þess að fara í flókin dæmi eða háþróuð notkunartilvik.
Sumar þessara árása eru að mestu orðnar úreltar og hafa ekki verið notaðar í mörg ár. Aðrir eru gamalmenni sem laumast enn reglulega að grunlausum dulritunarkerfum á 21. öldinni. Tímabil nútíma dulritunar má telja að hafi hafist með tilkomu IBM DES, fyrsta dulmálsins til að standast hverja árás á þessum lista.
Einfalt hrottaafl
Dulkóðunarkerfið samanstendur af tveimur hlutum: 1) dulkóðunaraðgerð sem tekur skilaboð (látlaus texta) ásamt lykli og framleiðir síðan dulkóðuð skilaboð—dulkóðunartexta; 2) afkóðunaraðgerð sem tekur dulmálstextann og lykilinn og framleiðir einfaldan texta. Bæði dulkóðun og afkóðun verður að vera auðvelt að reikna með lyklinum - og erfitt að átta sig á því án hans.
Gerum ráð fyrir að við sjáum dulmálstextann og reynum að afkóða hann án frekari upplýsinga (þetta er kallað árás eingöngu með dulmálstexta). Ef við finnum réttan lykil á einhvern hátt á töfrandi hátt getum við auðveldlega sannreynt að hann sé örugglega réttur ef niðurstaðan er sanngjörn skilaboð.
Athugið að hér eru tvær óbeina forsendur. Í fyrsta lagi vitum við hvernig á að framkvæma afkóðun, það er hvernig dulritunarkerfið virkar. Þetta er staðlað forsenda þegar rætt er um dulmál. Að fela útfærsluupplýsingar dulmálsins fyrir árásarmönnum kann að virðast vera viðbótaröryggisráðstöfun, en þegar árásarmaður hefur fundið út þessar upplýsingar tapast þetta viðbótaröryggi hljóðlega og óafturkræft. Þannig er það : Kerfið sem fellur í hendur óvinarins ætti ekki að valda óþægindum.
Í öðru lagi gerum við ráð fyrir að réttur lykill sé eini lykillinn sem mun leiða til hæfilegrar afkóðunar. Þetta er líka eðlileg forsenda; það er fullnægt ef dulmálstextinn er miklu lengri en lykillinn og læsilegur. Þetta er venjulega það sem gerist í hinum raunverulega heimi, nema eða (ef þér líkar ekki við að vísa frá okkur skýringum, vinsamlegast sjáðu setningu 3.8 ).
Í ljósi ofangreinds kemur upp stefna: athugaðu alla mögulega lykla. Þetta er kallað brute force, og slík árás er tryggð að vinna gegn öllum hagnýtum dulmáli - að lokum. Til dæmis dugar brute force til að hakka , forn dulmál þar sem lykillinn er einn stafur í stafrófinu, sem gefur til kynna rúmlega 20 mögulega lykla.
Því miður fyrir dulkóðunarfræðinga er aukning á lykilstærð góð vörn gegn grimmt afli. Þegar lykilstærðin eykst eykst fjöldi mögulegra lykla veldisvísis. Með nútíma lykilstærðum er einfalt grimmt afl algjörlega óframkvæmanlegt. Til að skilja hvað við meinum skulum við taka hraðskreiðastu þekkta ofurtölvuna frá miðju ári 2019: frá IBM, með hámarksafköst um 1017 aðgerðir á sekúndu. Í dag er dæmigerð lyklalengd 128 bitar, sem þýðir 2128 mögulegar samsetningar. Til að leita í gegnum alla lyklana mun Summit ofurtölvan þurfa tíma sem er um það bil 7800 sinnum eldri en alheimurinn.
Ætti gróft afl að teljast söguleg forvitni? Alls ekki: það er nauðsynlegt innihaldsefni í matreiðslubókinni um dulmálsgreiningu. Sjaldan eru dulmál svo veik að þau verði aðeins brotin með snjallri árás, án þess að beita valdi að einu eða öðru marki. Mörg vel heppnuð járnsög nota reikniritaðferð til að veikja markdulkóðann fyrst og framkvæma síðan árás.
Tíðnigreining
Flestir textar eru ekki bull. Til dæmis, í enskum texta eru margir stafir „e“ og greinar „the“; í tvíundarskrám eru fullt af núllbætum sem fylling á milli upplýsinga. Tíðnigreining er sérhver árás sem nýtir sér þessa staðreynd.
Kanóníska dæmið um dulmál sem er viðkvæmt fyrir þessari árás er einfaldur staðgengill. Í þessum dulmáli er lykillinn tafla með öllum stöfunum skipt út. Til dæmis er „g“ skipt út fyrir „h“, „o“ kemur í stað j, þannig að orðið „fara“ verður „hj“. Þetta dulmál er erfitt að grípa til vegna þess að það eru svo margar mögulegar uppflettitöflur. Ef þú hefur áhuga á stærðfræði, þá er áhrifarík lyklalengd um 88 bitar: það er það
. En tíðnigreining gerir verkið venjulega fljótt.
Lítum á eftirfarandi dulmálstexta sem er unninn með einföldum staðgengilsdulkóðun:
XDYLY ALY LJÓT XDWNKE WN DYAJYN ANF YALXD DGLAXWG XDAN ALY FLYAUX GR WN OGQL ZDWBGEGZDO
Þar Y kemur oft fyrir, þar á meðal í lok margra orða, getum við gert ráð fyrir að þetta sé bókstafurinn e:
XDeLe ALe UGLe XDWNKE WN DeAJeN ANF eALXD DGLAXWG XDAN ALE FLeAUX GR WN OGQL ZDWBGEGZDO
Par XD endurtekið í upphafi nokkurra orða. Sérstaklega gefur samsetningin XDeLe greinilega til kynna orðið these eða there, svo við höldum áfram:
theLe ALE UGLe thWNKE WN heAJeN ANF eALth DGLAtWG en ALe FLeAUt GR WN OGQL ZDWBGEGZDO
Við skulum frekar gera ráð fyrir því L соответствует r, A - a og svo framvegis. Það mun líklega taka nokkrar tilraunir, en miðað við fulla brute force árás endurheimtir þessi árás upprunalega textann á skömmum tíma:
það eru fleiri hlutir á himni og jörð horatio en dreymt er um í heimspeki þinni
Fyrir suma er það spennandi áhugamál að leysa slík „dulkóðunarrit“.
Hugmyndin um tíðnigreiningu er grundvallaratriði en hún virðist við fyrstu sýn. Og það á við um miklu flóknari dulmál. Í gegnum tíðina hafa ýmsar dulmálshönnun reynt að vinna gegn slíkri árás með því að nota „fjölstafrófsskipti“. Hér, meðan á dulkóðunarferlinu stendur, er stafskiptatöflunni breytt á flókna en fyrirsjáanlegan hátt sem fer eftir lyklinum. Öll þessi dulmál þóttu erfitt að brjóta í einu; og þó sigraði hófleg tíðnigreining að lokum þá alla.
Metnaðarfyllsta fjölstafrófs dulmál sögunnar, og líklega sú frægasta, var Enigma dulmálið í seinni heimsstyrjöldinni. Það var tiltölulega flókið miðað við forvera sína, en eftir mikla vinnu, sprungu breskir dulmálsfræðingar það með tíðnigreiningu. Auðvitað gátu þeir ekki þróað glæsilega sókn eins og þá sem sýnd er hér að ofan; þeir þurftu að bera saman þekkt pör af einföldum texta og dulmálstexta (svokallaða „látlausa textaárás“), jafnvel ögra Enigma-notendum til að dulkóða ákveðin skilaboð og greina niðurstöðuna („valin látlaus textaárás“). En þetta gerði örlög hinna sigruðu óvinaherja og sökkvuðum kafbátum ekki auðveldari.
Eftir þennan sigur hvarf tíðnigreining úr sögu dulmálsgreiningar. Dulmál á nútíma stafrænni öld eru hönnuð til að vinna með bitum, ekki bókstöfum. Meira um vert, þessi dulmál voru hönnuð með myrkum skilningi á því sem síðar varð þekkt sem : Hver sem er getur búið til dulkóðunaralgrím sem hann sjálfur getur ekki brotið. Það er ekki nóg fyrir dulkóðunarkerfið virtist erfitt: til að sanna gildi sitt verður það að gangast undir miskunnarlausa öryggisskoðun margra dulmálsfræðinga sem munu gera sitt besta til að brjóta dulmálið.
Bráðabirgðaútreikningar
Tökum ímyndaða borg Precom Heights, íbúa 200. Hvert heimili í borginni inniheldur að meðaltali $000 verðmæti af verðmætum, en ekki meira en $30 af verðmætum.Öryggismarkaðurinn í Precom er einokaður af ACME Industries, sem framleiðir hina goðsagnakenndu Coyote™ hurðarlása. Samkvæmt greiningu sérfræðinga er aðeins hægt að brjóta lás af Coyote-flokki með mjög flókinni tilgátu vél, til að búa til hana myndi þurfa um fimm ár og $000 fjárfestingu. Er borgin örugg?
Líklegast nei. Að lokum birtist nokkuð metnaðarfullur glæpamaður. Hann mun rökstyðja svona: „Já, ég mun leggja á mig mikinn fyrirframkostnað. Fimm ára bið með þolinmæði og $50. En þegar ég er búinn mun ég hafa aðgang að allan auð þessarar borgar. Ef ég spila rétt á spilunum mun þessi fjárfesting borga sig margfalt til baka.“
Sama er upp á teningnum í dulritun. Árásir á tiltekið dulmál eru háð miskunnarlausri kostnaðar- og ávinningsgreiningu. Ef hlutfallið er hagstætt mun árásin ekki eiga sér stað. En árásir sem vinna gegn mörgum hugsanlegum fórnarlömbum í einu borga sig næstum alltaf, en þá er besta hönnunarvenjan að gera ráð fyrir að þær hafi byrjað frá fyrsta degi. Við höfum í raun dulmálsútgáfu af lögmáli Murphys: "Allt sem getur í raun brotið kerfið mun brjóta kerfið."
Einfaldasta dæmið um dulmálskerfi sem er viðkvæmt fyrir forútreikningsárás er stöðugt lyklalaust dulmál. Þetta var raunin með , sem einfaldlega færir hvern staf í stafrófinu þrjá stafi áfram (taflan er lykkjuð, þannig að síðasti stafurinn í stafrófinu er dulkóðaður þriðji). Hér kemur aftur Kerchhoffs meginreglan til sögunnar: þegar kerfi hefur verið brotist inn er það brotist að eilífu.
Hugmyndin er einföld. Jafnvel nýliði í dulritunarkerfi mun líklega viðurkenna ógnina og undirbúa sig í samræmi við það. Þegar litið er á þróun dulritunar, þá voru slíkar árásir óviðeigandi fyrir flestar dulmál, allt frá fyrstu endurbættu útgáfunum af Caesar dulmálinu þar til fjölstafrófs dulritunum fækkaði. Slíkar árásir komu aðeins aftur með tilkomu nútíma dulmálstíma.
Þessi ávöxtun stafar af tveimur þáttum. Í fyrsta lagi birtust loksins nægilega flókin dulritunarkerfi, þar sem möguleikinn á hagnýtingu eftir reiðhestur var ekki augljós. Í öðru lagi varð dulkóðun svo útbreidd að milljónir leikmanna tóku ákvarðanir á hverjum degi um hvar og hvaða hluta dulmálsins ætti að endurnýta. Það tók nokkurn tíma áður en sérfræðingar áttuðu sig á áhættunni og vörpuðu viðvörun.
Mundu forreikningsárásina: í lok greinarinnar munum við skoða tvö raunveruleikadæmi um dulmál þar sem hún gegndi mikilvægu hlutverki.
Innskot
Hér er hinn frægi einkaspæjari Sherlock Holmes, sem framkvæmir innskotsárás á hinn óheppna Dr. Watson:
Ég giskaði strax á að þú kæmir frá Afganistan... Hugsunarháttur minn var eftirfarandi: „Þessi maður er læknir að gerð, en hann er með hernaðarlegt fas. Svo, herlæknir. Hann er nýkominn frá hitabeltinu - andlitið er dökkt, en þetta er ekki náttúruleg litbrigði húðarinnar þar sem úlnliðir hans eru miklu hvítari. Andlitið er hrörlegt — augljóslega hefur hann þjáðst mikið og þjáðst af veikindum. Hann var særður á vinstri hendi - heldur henni hreyfingarlaus og svolítið óeðlilega. Hvar í hitabeltinu gat enskur herlæknir þolað erfiðleika og særst? Auðvitað í Afganistan.“ Allur hugsanagangurinn tók ekki einu sinni eina sekúndu. Og svo sagði ég að þú komst frá Afganistan og þú varst hissa.
Holmes gat dregið mjög litlar upplýsingar úr hverri sönnunargögn fyrir sig. Hann gat aðeins komist að niðurstöðu sinni með því að íhuga þær allar saman. Innskotsárás virkar á svipaðan hátt með því að skoða þekkt texta- og dulmálspör sem myndast af sama lykli. Úr hverju pari eru dregnar út einstakar athuganir sem gera kleift að draga almenna ályktun um lykilinn. Allar þessar ályktanir eru óljósar og virðast gagnslausar þar til þær ná skyndilega mikilvægum massa og leiða til hinnar einu mögulegu niðurstöðu: sama hversu ótrúleg hún er, hún hlýtur að vera sönn. Eftir þetta kemur annað hvort lykillinn í ljós eða afkóðunarferlið verður svo fágað að hægt er að endurtaka það.
Við skulum útskýra með einföldu dæmi hvernig innskot virkar. Segjum að við viljum lesa persónulega dagbók óvinar okkar, Bob. Hann dulkóðar hverja tölu í dagbók sinni með því að nota einfalt dulmálskerfi sem hann lærði um í auglýsingu í tímaritinu „A Mock of Cryptography“. Kerfið virkar svona: Bob velur tvær tölur sem honum líkar: и . Héðan í frá, til að dulkóða hvaða númer sem er , það reiknar út . Til dæmis, ef Bob kaus и , síðan númerið verður dulkóðuð sem .
Segjum að 28. desember tókum við eftir því að Bob var að klóra eitthvað í dagbókina sína. Þegar hann er búinn tökum við það hljóðlega upp og horfum á síðustu færsluna:
Dagsetningin:
235/520Kæra dagbók,
Dagurinn í dag var góður. Í gegnum
64í dag á ég stefnumót með Alisu sem býr í íbúð843. Ég held virkilega að hún gæti verið það26!
Þar sem okkur er mjög alvara með að fylgja Bob á stefnumótinu hans (við erum bæði 15 ára í þessari atburðarás) er mikilvægt að vita dagsetninguna og heimilisfang Alice. Sem betur fer tökum við eftir því að dulritunarkerfi Bob er viðkvæmt fyrir innskotsárás. Við vitum það kannski ekki и , en við vitum dagsetninguna í dag, þannig að við höfum tvö einföld texta-dulmálstextapör. Það vitum við nefnilega dulkóðuð inn Og - kl . Þetta er það sem við munum skrifa niður:
Þar sem við erum 15 ára vitum við nú þegar um kerfi tveggja jöfnur með tveimur óþekktum, sem í þessari stöðu er nóg til að finna и án vandræða. Hvert pör með einföldum texta og dulmálstexta setur þvingun á lykil Bobs og þessar tvær skorður saman nægja til að endurheimta lykilinn algjörlega. Í okkar dæmi er svarið и (kl , svo 26 í dagbókinni samsvarar orðinu „sá“, það er „sami“ - u.þ.b. braut).
Innskotsárásir takmarkast auðvitað ekki við svona einföld dæmi. Sérhvert dulmálskerfi sem minnkar í vel skiljanlegan stærðfræðilegan hlut og lista yfir færibreytur er í hættu á innskotsárás - því skiljanlegri sem hluturinn er, því meiri áhætta.
Nýliðar kvarta oft yfir því að dulmál sé „listin að hanna hluti þannig að þeir séu eins ljótir og hægt er. Innskotsárásir eiga líklega að mestu sök á. Bob getur annað hvort notað glæsilega stærðfræðilega hönnun eða haldið stefnumótinu sínu með Alice einkamáli — en því miður, þú getur venjulega ekki haft það á báða vegu. Þetta mun koma berlega í ljós þegar við komum að lokum að efni dulmáls almenningslykils.
Krosssamskiptareglur/niðurfærsla
Í Now You See Me (2013) reynir hópur sjónhverfingamanna að svindla á spillta tryggingaauðvaldinu Arthur Tressler úr allri auðæfum sínum. Til að fá aðgang að bankareikningi Arthurs verða sjónhverfingarmennirnir annaðhvort að gefa upp notandanafn hans og lykilorð eða þvinga hann til að mæta í eigin persónu í bankanum og taka þátt í áætluninni.
Báðir kostirnir eru mjög erfiðir; Strákarnir eru vanir því að koma fram á sviði og taka ekki þátt í njósnaaðgerðum. Þeir velja því þriðja mögulega kostinn: vitorðsmaður þeirra hringir í bankann og þykist vera Arthur. Bankinn spyr nokkurra spurninga til að sannreyna auðkenni, eins og nafn frænda og nafn fyrsta gæludýrsins; hetjurnar okkar fyrirfram . Frá þessum tímapunkti skiptir frábært lykilorðsöryggi ekki lengur máli.
(Samkvæmt borgargoðsögn sem við höfum persónulega sannreynt og sannreynt, rakst dulritunarmaðurinn Eli Beaham einu sinni á bankagjaldkera sem krafðist þess að setja öryggisspurningu. Þegar gjaldkerinn spurði um nafn móðurömmu sinnar, byrjaði Beaham að segja: „Höfuðborg X, lítið y, þrír... ").
Það er það sama í dulritun, ef tvær dulritunarsamskiptareglur eru notaðar samhliða til að vernda sömu eignina og önnur er mun veikari en hin. Kerfið sem myndast verður viðkvæmt fyrir árás yfir samskiptareglur, þar sem ráðist er á veikari siðareglur til að komast í verðlaunin án þess að snerta þann sterkari.
Í sumum flóknum tilfellum er ekki nóg að hafa einfaldlega samband við netþjóninn með því að nota veikari samskiptareglur, heldur krefst óviljandi þátttöku lögmæts viðskiptavinar. Þetta er hægt að skipuleggja með svokallaðri niðurfærsluárás. Til að skilja þessa árás skulum við gera ráð fyrir að sjónhverfingafólk okkar hafi erfiðara verkefni en í myndinni. Gerum ráð fyrir að bankastarfsmaður (gjaldkeri) og Arthur hafi lent í einhverjum ófyrirséðum aðstæðum sem leiddi til eftirfarandi samtals:
Innbrotsþjófur: Halló? Þetta er Arthur Tressler. Ég vil endurstilla lykilorðið mitt.
Gjaldkeri: Frábært. Vinsamlegast skoðaðu persónulegu leynikóðabókina þína, blaðsíðu 28, orð 3. Öll eftirfarandi skilaboð verða dulkóðuð með því að nota þetta sérstaka orð sem lykil. PQJGH. LOTJNAM PGGY MXVRL ZZLQ SRIU HHNMLPPPV…
Innbrotsþjófur: Hæ, hæ, bíddu, bíddu. Er þetta virkilega nauðsynlegt? Getum við ekki bara talað eins og venjulegt fólk?
Gjaldkeri: Ég mæli ekki með því að gera þetta.
Innbrotsþjófur: Ég bara... sko, ég átti ömurlegan dag, allt í lagi? Ég er VIP viðskiptavinur og ég er ekki í skapi til að grafa í gegnum þessar heimskulegu kóðabækur.
Gjaldkeri: Fínt. Ef þú krefst þess, herra Tressler. Hvað viltu?
Innbrotsþjófur: Vinsamlegast, mig langar að gefa alla peningana mína í Arthur Tressler National Victims Fund.
(Hlé).
Gjaldkeri: Er það ljóst núna. Vinsamlegast gefðu upp PIN-númerið þitt fyrir stórar færslur.
Innbrotsþjófur: Hvað minn?
Gjaldkeri: Að persónulegri beiðni þinni krefjast færslur af þessari stærð PIN-númers fyrir stórar færslur. Þessi kóði fékkst þér þegar þú opnaðir reikninginn þinn.
Innbrotsþjófur:... Ég missti það. Er þetta virkilega nauðsynlegt? Geturðu ekki bara samþykkt samninginn?
Gjaldkeri: Nei. Fyrirgefðu, herra Tressler. Aftur, þetta er öryggisráðstöfunin sem þú baðst um. Ef þú vilt getum við sent nýtt PIN-númer í pósthólfið þitt.
Hetjurnar okkar fresta aðgerðinni. Þeir hlera nokkrar af stórum viðskiptum Tressler í von um að heyra PIN-númerið; en í hvert sinn sem samtalið breytist í dulmáls bull áður en eitthvað áhugavert er sagt. Loksins einn góðan veðurdag er áætlunin sett í framkvæmd. Þeir bíða þolinmóðir eftir því augnabliki þegar Tressler þarf að gera stór viðskipti í gegnum síma, hann fer á línuna og svo...
Tressler: Halló. Mig langar að klára fjarskipti, takk.
Gjaldkeri: Frábært. Vinsamlegast skoðaðu persónulegu leynikóðabókina þína, síðu...
(Þjófurinn ýtir á takkann; rödd gjaldkerans breytist í óskiljanlegan hávaða).
Gjaldkeri: - #@$#@$#*@$$@#* verður dulkóðuð með þessu orði sem lykill. AAAYRR PLRQRZ MMNJK LOJBAN…
Tressler: Sorry, ég skildi ekki alveg. Aftur? Á hvaða síðu? Hvaða orð?
Gjaldkeri: Þetta er síðan @#$@#*$)#*#@()#@$(#@*$(#@*.
Tressler: Hvað?
Gjaldkeri: Orð númer tuttugu @$#@$#%#$.
Tressler: Í alvöru! Nóg nú þegar! Þú og öryggisreglurnar þínar eruð svolítið sirkus. Ég veit að þú getur bara talað við mig venjulega.
Gjaldkeri: ég mæli ekki með…
Tressler: Og ég ráðlegg þér ekki að eyða tíma mínum. Ég vil ekki heyra meira um þetta fyrr en þú lagar símalínuvandamálin þín. Getum við gengið frá þessum samningi eða ekki?
Gjaldkeri:… Já. Fínt. Hvað viltu?
Tressler: Mig langar að millifæra $20 til Lord Business Investments, reikningsnúmer...
Gjaldkeri: Ein mínúta, takk. Það er mikið mál. Vinsamlegast gefðu upp PIN-númerið þitt fyrir stórar færslur.
Tressler: Hvað? Ó, nákvæmlega. 1234.
Hér er árás niður á við. Veikari siðareglur „talaðu bara beint“ var fyrirséð sem kostur í neyðartilfellum. Og samt erum við hér.
Þú gætir velt því fyrir þér hver með réttum huga myndi hanna alvöru „öruggt þar til um annað er spurt“ kerfi eins og lýst er hér að ofan. En rétt eins og skáldaður banki tekur áhættu til að halda viðskiptavinum sem líkar ekki dulritun, þá hallast kerfi almennt að kröfum sem eru áhugalausar eða jafnvel beinlínis fjandsamlegar öryggi.
Þetta er nákvæmlega það sem gerðist með SSLv2 samskiptareglunum árið 1995. Bandarísk stjórnvöld eru löngu farin að líta á dulmál sem vopn sem best er haldið fjarri erlendum og innlendum óvinum. Kóðastykki voru sérstaklega samþykkt til útflutnings frá Bandaríkjunum, oft með því skilyrði að reikniritið væri vísvitandi veikt. Netscape, þróunaraðili vinsælasta vafrans, Netscape Navigator, fékk leyfi fyrir SSLv2 eingöngu með 512 bita RSA lykli sem er í eðli sínu viðkvæmur (og 40 bita fyrir RC4).
Í lok árþúsundsins höfðu reglurnar slakað á og aðgangur að nútíma dulkóðun varð víða aðgengilegur. Hins vegar hafa viðskiptavinir og netþjónar stutt veiklað "útflutnings" dulritun í mörg ár vegna sömu tregðu og viðheldur stuðningi við öll eldri kerfi. Viðskiptavinir töldu að þeir gætu rekist á netþjón sem styður ekki neitt annað. Netþjónarnir gerðu það sama. Auðvitað, SSL samskiptareglur kveða á um að viðskiptavinir og netþjónar ættu aldrei að nota veika samskiptareglur þegar betri er í boði. En sama forsenda gilti um Tressler og banka hans.
Þessi kenning rataði inn í tvær áberandi árásir sem hristu öryggi SSL samskiptareglunnar árið 2015, báðar uppgötvaðar af Microsoft vísindamönnum og . Í fyrsta lagi voru upplýsingar um FREAK árásina opinberaðar í febrúar, fylgt eftir þremur mánuðum síðar með annarri svipaðri árás sem kallast Logjam, sem við munum ræða nánar þegar við förum yfir í árásir á dulritun opinberra lykla.
Viðkvæmni (einnig þekkt sem „Smack TLS“) kom í ljós þegar vísindamenn greindu útfærslur á TLS biðlara/miðlara og uppgötvuðu forvitnilega villu. Í þessum útfærslum, ef viðskiptavinurinn biður ekki einu sinni um að nota veika útflutningsdulkóðun, en þjónninn svarar samt með slíkum lyklum, segir viðskiptavinurinn „Jæja“ og skiptir yfir í veika dulmálssvítuna.
Á þeim tíma var útflutnings dulmál almennt talið úrelt og óheimilt, svo árásin kom sem algjört áfall og hafði áhrif á mörg mikilvæg lén, þar á meðal Hvíta húsið, IRS og NSA síður. Jafnvel verra, það kemur í ljós að margir viðkvæmir netþjónar voru að hámarka afköst með því að endurnota sömu lykla frekar en að búa til nýja fyrir hverja lotu. Þetta gerði það mögulegt, eftir að samskiptareglurnar voru lækkaðar, að framkvæma forútreikningaárás: að sprunga einn lykil var áfram tiltölulega dýrt ($100 og 12 klukkustundir við birtingu), en hagnýtur kostnaður við að ráðast á tenginguna minnkaði verulega. Það er nóg að giska einu sinni á netþjónslykilinn og brjóta dulkóðunina fyrir allar síðari tengingar frá því augnabliki.
Og áður en við höldum áfram er ein háþróuð árás sem þarf að nefna...
Oracle árás
best þekktur sem faðir dulmálsskilaboðaforritsins Signal; en við elskum persónulega eina af minna þekktum nýjungum hans: (Dulmál Doom Principle). Til að umorða örlítið getum við sagt þetta: „Ef siðareglur virka Einhver framkvæmir dulmálsaðgerð á skilaboðum frá hugsanlegum skaðlegum uppruna og hegðar sér öðruvísi eftir niðurstöðunni, það er dauðadæmt." Eða í beittari mynd: „Ekki taka upplýsingar frá óvininum til vinnslu, og ef þú þarft, þá að minnsta kosti ekki sýna niðurstöðuna.
Við skulum sleppa stuðpúðaflæði, skipunum inndælingum og þess háttar; þær eru utan viðfangsefnis þessarar umræðu. Brot á „doom-reglunni“ leiðir til alvarlegra dulritunarárása vegna þess að siðareglur hegða sér nákvæmlega eins og búist var við.
Sem dæmi skulum við taka tilbúna hönnun með viðkvæmum staðgöngudulmáli og sýna síðan hugsanlega árás. Þó að við höfum þegar séð árás á staðgöngudulmál með tíðnigreiningu, þá er það ekki bara "önnur leið til að brjóta sama dulmálið." Aftur á móti eru véfréttaárásir miklu nútímalegri uppfinning sem á við í mörgum aðstæðum þar sem tíðnigreining mistekst og við munum sjá sýningu á þessu í næsta kafla. Hér er einfalt dulmál aðeins valið til að gera dæmið skýrara.
Þannig að Alice og Bob eiga samskipti með því að nota einfaldan staðgengils dulmál með því að nota lykil sem þeir þekkja aðeins. Þeir eru mjög strangir varðandi lengd skilaboða: þau eru nákvæmlega 20 stafir að lengd. Þannig að þeir voru sammála um að ef einhver vildi senda styttri skilaboð ætti hann að bæta við einhverjum líknartexta í lok skilaboðanna til að þau yrðu nákvæmlega 20 stafir. Eftir nokkrar umræður ákváðu þeir að samþykkja aðeins eftirfarandi dúllutexta: a, bb, ccc, dddd o.s.frv. Þannig er líknartexti af hvaða lengd sem er nauðsynlegur þekktur.
Þegar Alice eða Bob fá skilaboð ganga þau fyrst úr skugga um að skilaboðin séu rétt lengd (20 stafir) og að viðskeyti sé réttur dummy texti. Ef þetta er ekki raunin, þá svara þeir með viðeigandi villuskilaboðum. Ef textalengd og dummy texti eru í lagi les viðtakandinn skilaboðin sjálf og sendir dulkóðað svar.
Á meðan á árásinni stendur, líkir árásarmaðurinn eftir Bob og sendir fölsuð skilaboð til Alice. Skilaboðin eru algjört bull - árásarmaðurinn er ekki með lykilinn og getur því ekki falsað innihaldsrík skilaboð. En þar sem samskiptareglan brýtur í bága við dómsregluna, getur árásarmaður samt gripið Alice til að afhjúpa lykilupplýsingarnar, eins og sýnt er hér að neðan.
Innbrotsþjófur:
PREWF ZHJKL MMMN. LAAlice: Ógildur dummy texti.
Innbrotsþjófur:
PREWF ZHJKL MMMN. LBAlice: Ógildur dummy texti.
Innbrotsþjófur:
PREWF ZHJKL MMMN. LCAlice:
ILCT? TLCT RUWO PUT KCAW CPS OWPOW!
Innbrotsþjófurinn hefur ekki hugmynd um hvað Alice sagði, en tekur fram að táknið C verður að samsvara a, þar sem Alice samþykkti dummy textann.
Innbrotsþjófur:
REWF ZHJKL MMMN. LAAAlice: Ógildur dummy texti.
Innbrotsþjófur:
REWF ZHJKL MMMN. LBBAlice: Ógildur dummy texti.
Eftir nokkrar tilraunir...
Innbrotsþjófur:
REWF ZHJKL MMMN. LGGAlice: Ógildur dummy texti.
Innbrotsþjófur:
REWF ZHJKL MMMN. LHHAlice:
TLQO JWCRO FQAW SUY LCR C OWQXYJW. IW PWWR TU TCFA CHUYT TLQO JWFCTQUPOLQZ.
Aftur, árásarmaðurinn hefur ekki hugmynd um hvað Alice sagði bara, en tekur fram að H verður að passa við b þar sem Alice samþykkti dummy textann.
Og svo framvegis þar til árásarmaðurinn veit merkingu hverrar persónu.
Við fyrstu sýn líkist aðferðin valinni árás á texta. Að lokum velur árásarmaðurinn dulmálstextana og þjónninn vinnur þá hlýðnislega. Helsti munurinn sem gerir þessar árásir raunhæfar í raunveruleikanum er að árásarmaðurinn þarf ekki aðgang að raunverulegu afritinu - svar miðlara, jafnvel eins saklaust og „Ógildur dummy texti,“ er nóg.
Þó að þessi tiltekna árás sé lærdómsrík, ekki vera of háður sérkenni „glaðtexta“ kerfisins, tilteknu dulmálskerfi sem notað er eða nákvæmri röð skilaboða sem árásarmaðurinn sendi. Grunnhugmyndin er hvernig Alice bregst öðruvísi við út frá eiginleikum textans og gerir það án þess að sannreyna að samsvarandi dulmálstexti hafi í raun komið frá traustum aðila. Þannig leyfir Alice árásarmanninum að kreista leynilegar upplýsingar út úr svörum sínum.
Það er margt sem hægt er að breyta í þessari atburðarás. Táknin sem Alice bregst við, eða munurinn á hegðun hennar, eða jafnvel dulkóðunarkerfið sem notað er. En meginreglan verður áfram sú sama og árásin í heild verður lífvænleg í einni eða annarri mynd. Grunnútfærsla þessarar árásar hjálpaði til við að afhjúpa nokkrar öryggisvillur, sem við munum skoða fljótlega; en fyrst þarf að draga nokkra fræðilega lexíu. Hvernig á að nota þetta tilbúna "Alice handrit" í árás sem getur virkað á alvöru nútíma dulmál? Er þetta jafnvel mögulegt, jafnvel í orði?
Árið 1998 svaraði svissneski dulritunarmaðurinn Daniel Bleichenbacher þessari spurningu játandi. Hann sýndi véfréttaárás á hið víða notaða dulritunarkerfi RSA með opinberum lyklum með sérstöku skilaboðakerfi. Í sumum RSA útfærslum svarar þjónninn með mismunandi villuboðum eftir því hvort textinn passar við kerfið eða ekki; þetta var nóg til að framkvæma árásina.
Fjórum árum síðar, árið 2002, sýndi franski dulritunarmaðurinn Serge Vaudenay fram á véfréttaárás sem var næstum því eins og lýst er í Alice atburðarásinni hér að ofan - nema að í stað uppdiktaðs dulmáls braut hann heilan virðulegan flokk nútíma dulmáls sem fólk er í raun notað. Sérstaklega beinast árásir Vaudenay á föstum dulkóðum inntaksstærðar ("blokkdulkóða") þegar þeir eru notaðir í svokölluðum "CBC dulkóðunarham" og með ákveðnu vinsælu fyllingarkerfi, sem jafngildir í grundvallaratriðum því sem er í Alice atburðarásinni.
Einnig árið 2002 var bandaríski dulritunarmaðurinn John Kelsey meðhöfundur — lagði til ýmsar véfréttaárásir á kerfi sem þjappa skilaboðum og dulkóða þau síðan. Áberandi þar á meðal var árás sem nýtti sér þá staðreynd að oft er hægt að álykta um upprunalega lengd textans út frá lengd dulmálstextans. Fræðilega séð gerir þetta ráð fyrir véfréttaárás sem endurheimtir hluta af upprunalega textanum.
Hér að neðan gefum við ítarlegri lýsingu á Vaudenay og Kelsey árásunum (við munum gefa nánari lýsingu á Bleichenbacher árásinni þegar við förum yfir í árásir á dulritun opinberra lykla). Þrátt fyrir okkar bestu viðleitni verður textinn nokkuð tæknilegur; svo ef ofangreint er nóg fyrir þig skaltu sleppa næstu tveimur köflum.
Árás Vodene
Til að skilja Vaudenay árásina þurfum við fyrst að tala aðeins meira um blokkadulmál og dulkóðunarstillingar. „Blokkdulmál“ er, eins og getið er, dulmál sem tekur lykil og inntak af ákveðinni fastri lengd („blokklengd“) og framleiðir dulkóðaðan kubb af sömu lengd. Blokkdulmál eru mikið notuð og talin tiltölulega örugg. DES sem nú er á eftirlaunum, talið fyrsta nútíma dulmálið, var blokkdumál. Eins og fram kemur hér að ofan á það sama við um AES, sem er mikið notað í dag.
Því miður, blokk dulmál hafa einn áberandi veikleika. Dæmigerð blokkastærð er 128 bitar, eða 16 stafir. Augljóslega krefst nútíma dulritunar að vinna með stærri inntaksgögn og það er þar sem dulkóðunarstillingar koma við sögu. Dulkóðunarstilling er í meginatriðum hakk: það er leið til að nota blokkdulmál á einhvern hátt sem tekur aðeins við inntak af ákveðinni stærð við inntak af handahófskenndri lengd.
Árás Vodene beinist að hinni vinsælu CBC (Cipher Block Chaining) vinnuaðferð. Árásin meðhöndlar undirliggjandi kubba dulmál sem töfrandi, órjúfanlegur svartur kassi og framhjá öryggi hans algjörlega.
Hér er skýringarmynd sem sýnir hvernig CBC háttur virkar:
Hringurinn plús táknar XOR (exclusive OR) aðgerðina. Til dæmis er seinni blokkin af dulmálstexta móttekin:
- Með því að framkvæma XOR aðgerð á öðrum textablokkinni með fyrsta dulmálstextablokkinni.
- Dulkóðar blokkina sem myndast með blokkdulmáli með því að nota lykil.
Þar sem CBC notar tvöfalda XOR aðgerðina svo mikið, skulum við taka smá stund til að rifja upp nokkra eiginleika hennar:
- Geðleysi:
- Samskipti:
- Félagshæfni:
- Sjálfskræft:
- Bætastærð: bæti n af = (bæti n af ) (bæti n af )
Venjulega gefa þessir eiginleikar til kynna að ef við höfum jöfnu sem felur í sér XOR-aðgerðir og eina óþekkta, þá er hægt að leysa hana. Til dæmis ef við vitum það við hið óþekkta og frægur и , þá getum við treyst á fyrrnefnda eiginleika hér að ofan til að leysa jöfnuna fyrir . Með því að beita XOR á báðum hliðum jöfnunnar með , við fáum . Þetta verður allt mjög viðeigandi eftir augnablik.
Það eru tveir smámunir og einn stór munur á Alice atburðarás okkar og árás Vaudenay. Tvær minniháttar:
- Í handritinu bjóst Alice við að látlaus texti myndi enda með persónunum
a,bb,cccog svo framvegis. Í Wodene-árásinni býst fórnarlambið þess í stað við að látlaus textinn endi N sinnum með N bæti (þ.e. sextánsnúmer 01 eða 02 02, eða 03 03 03, og svo framvegis). Þetta er eingöngu snyrtifræðilegur munur. - Í Alice atburðarásinni var auðvelt að sjá hvort Alice hefði samþykkt skilaboðin með svarinu „Röngur dummy texti“. Í árás Vodene þarf meiri greiningu og nákvæm útfærsla fórnarlambsins megin er mikilvæg; en í stuttu máli skulum við taka því sem gefnu að þessi greining sé enn möguleg.
Helsti munur:
- Þar sem við erum ekki að nota sama dulmálskerfið, verður sambandið milli árásarstýrðra dulritunarbæta og leyndarmálanna (lykill og látlaus texti) augljóslega öðruvísi. Þess vegna verður árásarmaðurinn að nota aðra stefnu þegar hann býr til dulmálstexta og túlkar svör netþjónsins.
Þessi mikli munur er síðasta púslið til að skilja Vaudenay árásina, svo við skulum íhuga í smástund hvers vegna og hvernig véfréttaárás á CBC væri jafnvel möguleg.
Segjum sem svo að við fáum CBC dulmálstexta með 247 blokkum og við viljum afkóða hann. Við getum sent fölsuð skilaboð á netþjóninn, alveg eins og við gætum sent fölsuð skilaboð til Alice áður. Þjónninn mun afkóða skilaboðin fyrir okkur, en mun ekki sýna afkóðunina - í staðinn, aftur, eins og með Alice, mun þjónninn aðeins tilkynna eina hluta af upplýsingum: hvort textinn sé með gilda fyllingu eða ekki.
Íhugaðu að í atburðarás Alice áttum við eftirfarandi sambönd:
$$display$$text{SIMPLE_SUBSTITUTION}(texti{ciphertext},texti{lykill}) = texti{látlaus texti}$$display$$
Við skulum kalla þetta "jöfnu Alice." Við stjórnuðum dulmálstextanum; þjónninn (Alice) lak óljósum upplýsingum um móttekinn texta; og þetta gerði okkur kleift að fá upplýsingar um síðasta þáttinn - lykilinn. Á hliðstæðan hátt, ef við getum fundið slíka tengingu fyrir CBC handritið, gætum við líka dregið út einhverjar leynilegar upplýsingar þar.
Sem betur fer eru raunveruleg sambönd þarna úti sem við getum notað. Íhugaðu úttak síðasta símtals til að afkóða blokkdulmál og táknaðu þetta úttak sem . Við táknum líka blokkir af einföldum texta og dulmálstextablokkir . Skoðaðu CBC skýringarmyndina aftur og taktu eftir því sem gerist:
Við skulum kalla þetta "CBC jöfnuna."
Í atburðarás Alice, með því að fylgjast með dulmálstextanum og horfa á samsvarandi látlausan texta leka, gátum við gert árás sem endurheimti þriðja lið jöfnunnar - lykilinn. Í CBC atburðarás fylgjumst við einnig með dulmálstextanum og fylgjumst með upplýsingaleka á samsvarandi texta. Ef samlíkingin stenst getum við fengið upplýsingar um .
Gerum ráð fyrir að við höfum raunverulega endurreist , hvað þá? Jæja, þá getum við prentað út allan síðasta textablokkinn í einu (), einfaldlega með því að slá inn (sem við höfum) og
fengið inn í CBC jöfnuna.
Nú þegar við erum bjartsýn á heildarárásaráætlunina er kominn tími til að vinna út smáatriðin. Vinsamlegast athugaðu nákvæmlega hvernig textaupplýsingum er lekið á netþjóninn. Í handriti Alice varð lekinn vegna þess að Alice svaraði aðeins með réttum skilaboðum ef $inline$text{SIMPLE_SUBSTITUTION}(texti{ciphertext},text{key})$inline$ endaði með línunni a (Eða bb, og svo framvegis, en líkurnar á því að þessar aðstæður kæmu af stað af tilviljun voru mjög litlar). Svipað og CBC, þjónninn samþykkir bólstrunin ef og aðeins ef endar á sextándu 01. Svo við skulum reyna sama bragðið: að senda falsa dulmálstexta með okkar eigin fölsuðu gildum þar til þjónninn samþykkir fyllinguna.
Þegar þjónninn samþykkir fyllingu fyrir eitt af fölsuðu skilaboðunum okkar þýðir það að:
Nú notum við byte-byte XOR eignina:
Við þekkjum fyrsta og þriðja hugtakið. Og við höfum þegar séð að þetta gerir okkur kleift að endurheimta þann tíma sem eftir er - síðasta bæti frá :
Þetta gefur okkur líka síðasta bæti síðasta textablokkarinnar í gegnum CBC jöfnuna og bæti-fyrir-bæta eiginleikann.
Við gætum sleppt því og verið sátt við að hafa gert árás á fræðilega sterkan dulmál. En í raun getum við gert miklu meira: við getum í raun endurheimt allan textann. Þetta krefst bragðar sem var ekki í upprunalegu handriti Alice og er ekki krafist fyrir véfréttaárásina, en það er samt þess virði að læra.
Til að skilja það skaltu fyrst athuga að niðurstaðan af því að gefa út rétt gildi síðasta bætisins er við höfum nýja hæfileika. Nú, þegar við smölum dulmálstexta, getum við hagrætt síðasta bæti samsvarandi texta. Aftur, þetta er tengt CBC jöfnunni og bæti fyrir bæti eignina:
Þar sem við þekkjum nú annað hugtakið, getum við notað stjórn okkar yfir því fyrsta til að stjórna því þriðja. Við reiknum einfaldlega:
Við gátum ekki gert þetta áður vegna þess að við vorum ekki með síðasta bæti ennþá .
Hvernig mun þetta hjálpa okkur? Segjum sem svo að við búum til alla dulmálstexta þannig að í samsvarandi látlausum textum sé síðasta bæti jafnt og 02. Þjónninn samþykkir nú aðeins fyllingu ef textinn endar á 02 02. Þar sem við leiðréttum síðasta bæti, mun þetta aðeins gerast ef næstsíðasta bæti textans er líka 02. Við höldum áfram að senda falsa dulmálstextakubba, breytum næstsíðasta bæti, þar til þjónninn samþykkir fyllingu fyrir einn þeirra. Á þessum tímapunkti fáum við:
Og við endurheimtum næstsíðasta bæti alveg eins og sá síðasti var endurreistur. Við höldum áfram í sama anda: við leiðréttum síðustu tvö bæti textans til 03 03, við endurtökum þessa árás í þriðja bæti frá lokum og svo framvegis, að lokum endurheimtum við algjörlega .
Hvað með restina af textanum? Vinsamlegast athugaðu að gildi er í raun $inline$text{BLOCK_DECRYPT}(texti{lykill},C_{247})$inline$. Við getum sett hvaða annan blokk sem er í staðinn , og árásin mun samt skila árangri. Reyndar getum við beðið þjóninn um að gera $inline$text{BLOCK_DECRYPT}$inline$ fyrir hvaða gögn sem er. Á þessum tímapunkti er leiknum lokið - við getum afkóðað hvaða dulmálstexta sem er (skoðaðu aftur CBC afkóðunarskýrsluna til að sjá þetta; og athugaðu að IV er opinber).
Þessi tiltekna aðferð gegnir mikilvægu hlutverki í véfréttaárásinni sem við munum lenda í síðar.
Árás Kelsey
Vingjarnlegur John Kelsey okkar lagði fram meginreglurnar sem liggja að baki mörgum mögulegum árásum, ekki bara smáatriðin um tiltekna árás á tiltekna dulmál. Hans er rannsókn á mögulegum árásum á dulkóðuð þjöppuð gögn. Hélt þú að upplýsingarnar um að gögnin hafi verið þjappuð fyrir dulkóðun nægðu ekki til að framkvæma árás? Það kemur í ljós að það er nóg.
Þessi óvænta niðurstaða er vegna tveggja meginreglna. Í fyrsta lagi er sterk fylgni á milli lengdar texta og lengdar dulmáls; fyrir marga dulmál nákvæmlega jafnrétti. Í öðru lagi, þegar þjöppun er framkvæmd, er einnig sterk fylgni á milli lengdar þjappaðra skilaboða og gráðu „hávaða“ í textanum, það er hlutfalls óendurtekinna stafa (tæknihugtakið er „há óreiðu“ ).
Til að sjá meginregluna í verki skaltu íhuga tvo texta:
Einfaldur texti 1:
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAEinfaldur texti 2:
ATVXCAGTRSVPTVVULSJQHGEYCMQPCRQBGCYIXCFJGJ
Gerum ráð fyrir að báðir látlausir textar séu þjappaðir og síðan dulkóðaðir. Þú færð tvo dulmálstexta og þarft að giska á hvaða dulmálstexti passar við hvaða texta:
Dulmál 1:
PVOVEYBPJDPVANEAWVGCIUWAABCIYIKOOURMYDTADulmál 2:
DWKJZXYU
Svarið er skýrt. Meðal látlausra texta var aðeins hægt að þjappa látlausum texta 1 saman í litla lengd annars dulmálstextans. Við komumst að þessu án þess að vita neitt um þjöppunaralgrímið, dulkóðunarlykilinn eða jafnvel dulmálið sjálft. Í samanburði við stigveldi mögulegra dulmálsárása er þetta hálf brjálað.
Kelsey bendir ennfremur á að við ákveðnar óvenjulegar aðstæður sé einnig hægt að nota þessa reglu til að framkvæma véfréttaárás. Sérstaklega lýsir það því hvernig árásarmaður getur endurheimt leynilega textann ef hann getur þvingað þjóninn til að dulkóða formgögnin (látlaus textinn á eftir á meðan hann stjórnar og getur einhvern veginn athugað lengd dulkóðuðu niðurstöðunnar.
Aftur, eins og aðrar véfréttaárásir, höfum við sambandið:
Aftur, við stjórnum einu kjörtímabili (), sjáum við smá leka af upplýsingum um annan meðlim (dulkóðun) og reynum að endurheimta þann síðasta (látlaus texta). Þrátt fyrir líkinguna er þetta nokkuð óvenjulegt ástand miðað við aðrar véfréttaárásir sem við höfum séð.
Til að sýna hvernig slík árás gæti virkað, skulum við nota uppdiktað þjöppunarkerfi sem við komum með: TOYZIP. Það leitar að textalínum sem hafa birst áður í textanum og kemur í staðinn fyrir þrjú staðsetningarbæti sem gefa til kynna hvar eldra tilvik af línunni er að finna og hversu oft það birtist þar. Til dæmis línan helloworldhello hægt að þjappa inn í helloworld[00][00][05] 13 bæti að lengd miðað við upprunalegu 15 bæti.
Segjum sem svo að árásarmaður reyni að endurheimta texta eyðublaðs password=..., þar sem lykilorðið sjálft er óþekkt. Samkvæmt árásarlíkani Kelsey gæti árásarmaður beðið netþjóninn að þjappa og síðan dulkóða formskilaboð (látlaus texti á eftir ), hvar - frjáls texti. Þegar þjónninn hefur lokið störfum, tilkynnir hann lengd niðurstöðunnar. Árásin er svona:
Innbrotsþjófur: Vinsamlegast þjappaðu og dulkóðaðu textann án þess að fylla út.
Server: Niðurstöðulengd 14.
Innbrotsþjófur: Vinsamlegast þjappaðu saman og dulkóðaðu textann sem er bætt við
password=a.Server: Niðurstöðulengd 18.
The cracker athugasemdir: [upprunalega 14] + [þrjú bæti sem kom í staðinn password=] + a
Innbrotsþjófur: Vinsamlegast þjappaðu og dulkóðaðu textann sem er bætt við
password=b.Server: Niðurstöðulengd 18.
Innbrotsþjófur: Vinsamlegast þjappaðu og dulkóðaðu textann sem er bætt við
password=с.Server: Niðurstöðulengd 17.
The cracker athugasemdir: [upprunalega 14] + [þrjú bæti sem kom í staðinn password=c]. Þetta gerir ráð fyrir að upprunalegi textinn innihaldi strenginn password=c. Það er, lykilorðið byrjar á staf c
Innbrotsþjófur: Vinsamlegast þjappaðu og dulkóðaðu textann sem er bætt við
password=сa.Server: Niðurstöðulengd 18.
The cracker athugasemdir: [upprunalega 14] + [þrjú bæti sem kom í staðinn password=с] + a
Innbrotsþjófur: Vinsamlegast þjappaðu og dulkóðaðu textann sem er bætt við
password=сb.Server: Niðurstöðulengd 18.
(… Einhvern tíma seinna…)
Innbrotsþjófur: Vinsamlegast þjappaðu og dulkóðaðu textann sem er bætt við
password=со.Server: Niðurstöðulengd 17.
The cracker athugasemdir: [upprunalega 14] + [þrjú bæti sem kom í staðinn password=co]. Með sömu rökfræði kemst árásarmaðurinn að þeirri niðurstöðu að lykilorðið byrji á stöfunum co
Og svo framvegis þar til allt lykilorðið er endurheimt.
Lesandanum væri fyrirgefið að halda að þetta sé eingöngu akademísk æfing og að slík árásaratburðarás myndi aldrei koma upp í hinum raunverulega heimi. Því miður, eins og við munum fljótlega sjá, er betra að gefast ekki upp á dulritun.
Vörumerkjaveikleikar: GREPP, PÚÐLUR, DREKNA
Að lokum, eftir að hafa rannsakað kenninguna ítarlega, getum við séð hvernig þessum aðferðum er beitt í raunverulegum dulritunarárásum.
BREYTING
Ef árásin beinist að vafra og neti fórnarlambsins verður sumt auðveldara og annað erfiðara. Til dæmis er auðvelt að sjá umferð fórnarlambsins: situr bara með honum á sama kaffihúsi með WiFi. Af þessum sökum er hugsanlegum fórnarlömbum (þ.e. öllum) almennt ráðlagt að nota dulkóðaða tengingu. Það verður erfiðara, en samt mögulegt, að senda HTTP beiðnir fyrir hönd fórnarlambsins á einhverja síðu þriðja aðila (til dæmis Google). Árásarmaðurinn verður að lokka fórnarlambið á illgjarna vefsíðu með handriti sem gerir beiðnina. Vefskoðarinn gefur sjálfkrafa upp viðeigandi setukaka.
Þetta virðist ótrúlegt. Ef Bob fór til evil.com, gæti handritið á þessari síðu bara beðið Google um að senda lykilorð Bobs í tölvupósti á [email protected]? Jæja, í orði já, en í raun ekki. Þessi atburðarás er kölluð fölsunarárás með beiðni milli vefsvæða (, CSRF), og það var vinsælt um miðjan tíunda áratuginn. Í dag ef evil.com reynir þetta bragð, Google (eða hvaða vefsíða sem ber virðingu fyrir sjálfum sér) mun venjulega svara með: „Frábært, en CSRF táknið þitt fyrir þessi viðskipti verður... um... три триллиона и семь. Vinsamlegast endurtaktu þetta númer." Nútíma vafrar hafa eitthvað sem kallast "sama uppruna stefna" þar sem forskriftir á vef A hafa ekki aðgang að upplýsingum sem sendar eru af vefsíðu B. Svo handritið á evil.com getur sent beiðnir til google.com, en getur ekki lesið svörin eða raunverulega klárað viðskiptin.
Við verðum að leggja áherslu á að nema Bob sé að nota dulkóðaða tengingu, þá eru allar þessar varnir tilgangslausar. Árásarmaður getur einfaldlega lesið umferð Bobs og endurheimt setukaka Google. Með þessari vafraköku mun hann einfaldlega opna nýjan Google flipa án þess að fara úr eigin vafra og herma eftir Bob án þess að lenda í leiðinlegum reglum um sama uppruna. En því miður fyrir innbrotsþjófa er þetta að verða sjaldgæfara og sjaldnar. Netið í heild sinni hefur lengi lýst yfir stríði á hendur ódulkóðuðum tengingum og umferð Bobs á útleið er líklega dulkóðuð, hvort sem honum líkar það betur eða verr. Að auki, frá upphafi framkvæmdar bókunarinnar, var umferð einnig dróst saman fyrir dulkóðun; þetta var algeng venja til að draga úr leynd.
Þetta er þar sem það kemur við sögu (Compression Ratio Infoleak Made Easy, einfaldur leki í gegnum þjöppunarhlutfallið). Varnarleysið var opinberað í september 2012 af öryggisrannsakendum Juliano Rizzo og Thai Duong. Við höfum þegar greint allan fræðilega grunninn, sem gerir okkur kleift að skilja hvað þeir gerðu og hvernig. Árásarmaður gæti þvingað vafra Bob til að senda beiðnir til Google og hlusta síðan á svörin á staðarnetinu á þjappuðu, dulkóðuðu formi. Þess vegna höfum við:
Hér stjórnar árásarmaðurinn beiðninni og hefur aðgang að umferðarsnippernum, þar á meðal pakkastærðinni. Skáldskaparatburðarás Kelsey lifnaði við.
Til að skilja kenninguna, bjuggu höfundar CRIME til hagnýtingu sem getur stolið setukökur fyrir fjölbreytt úrval vefsvæða, þar á meðal Gmail, Twitter, Dropbox og Github. Varnarleysið hafði áhrif á flesta nútíma vefvafra, sem leiddi til þess að plástrar voru gefnir út sem grófu þjöppunareiginleikann hljóðlaust í SSL þannig að hann yrði alls ekki notaður. Sá eini sem var verndaður fyrir varnarleysinu var hinn virðulegi Internet Explorer, sem notaði aldrei SSL-þjöppun.
PÚÐLUR
Í október 2014 gerði öryggisteymi Google bylgjur í öryggissamfélaginu. Þeir gátu nýtt sér varnarleysi í SSL samskiptareglunum sem hafði verið lagfært fyrir meira en tíu árum síðan.
Það kemur í ljós að á meðan netþjónarnir keyra glansandi nýja TLSv1.2 hafa margir skilið eftir stuðning við gamla SSLv3 fyrir afturábak samhæfni við Internet Explorer 6. Við höfum þegar talað um niðurfærsluárásir, svo þú getur ímyndað þér hvað er að gerast. Vel skipulögð skemmdarverk á samskiptareglunum um handaband og netþjónarnir eru tilbúnir til að fara aftur í gamla góða SSLv3, sem gerir í rauninni afturkallað síðustu 15 ára öryggisrannsóknir.
Fyrir sögulegt samhengi, :
Transport Layer Security (TLS) er mikilvægasta öryggissamskiptareglan á internetinu. [..] næstum sérhver viðskipti sem þú gerir á Netinu eru háð TLS. [..] En TLS var ekki alltaf TLS. Bókunin hóf líf sitt árið kallað "Secure Sockets Layer" eða SSL. Orðrómur segir að fyrsta útgáfan af SSL hafi verið svo hræðileg að þróunaraðilarnir söfnuðu öllum útprentunum af kóðanum og grófu þær á leynilegri urðunarstað í Nýju Mexíkó. Þar af leiðandi er fyrsta opinbera útgáfan af SSL í raun . Það er frekar skelfilegt og [..] það var afurð miðjan 90, sem nútíma dulritunarfræðingar líta á sem "" Margar af svívirðilegustu dulmálsárásum sem við vitum um í dag hafa ekki enn fundist. Fyrir vikið voru hönnuðir SSLv2 samskiptareglunnar í raun og veru látnir róa sig í myrkrinu og þeir stóðu frammi fyrir - til gremju þeirra og okkar til hagsbóta, þar sem árásirnar á SSLv2 skildu eftir ómetanlega lexíu fyrir næstu kynslóð samskiptareglur.
Í kjölfar þessara atburða, árið 1996, endurhannaði svekktur Netscape SSL samskiptareglur frá grunni. Niðurstaðan var SSL útgáfa 3, sem .
Sem betur fer fyrir innbrotsþjófa þýðir „nokkrir“ ekki „allir“. Á heildina litið útvegaði SSLv3 allar nauðsynlegar byggingareiningar til að hefja Vodene árás. Samskiptareglur notuðu CBC-ham blokkar dulmál og óöruggt fyllingarkerfi (þetta var leiðrétt í TLS; þess vegna þörfin á niðurfærsluárás). Ef þú manst eftir fyllingarkerfinu í upprunalegu lýsingunni okkar á Vaudenay árásinni, þá er SSLv3 kerfið mjög svipað.
En því miður fyrir innbrotsþjófa þýðir „svipað“ ekki „samsömu“. SSLv3 fyllingarkerfið er "N tilviljunarkennd bæti á eftir númerinu N". Reyndu, við þessar aðstæður, að velja ímyndaðan blokk af dulmálstexta og farðu í gegnum öll skrefin í upprunalegu kerfi Vaudene: þú munt komast að því að árásin dregur út síðasta bæti úr samsvarandi textablokk, en gengur ekki lengra. Að afkóða hvert 16. bæti af dulmálstexta er frábært bragð, en það er ekki sigur.
Frammi fyrir bilun gripu Google teymið til síðasta úrræðis: þeir skiptu yfir í öflugra ógnarlíkan - það sem notað er í CRIME. Að því gefnu að árásarmaðurinn sé handrit sem keyrir á vafraflipa fórnarlambsins og geti dregið út setukökur, er árásin samt áhrifamikil. Þó að breiðari ógnarlíkanið sé minna raunhæft, sáum við í fyrri hlutanum að þetta tiltekna líkan er framkvæmanlegt.
Í ljósi þessara öflugri árásarmöguleika getur árásin nú haldið áfram. Athugaðu að árásarmaðurinn veit hvar dulkóðaða setukakan birtist í hausnum og stjórnar lengd HTTP beiðninnar á undan henni. Þess vegna er það fær um að vinna með HTTP beiðnina þannig að síðasta bæti kökunnar sé í takt við lok blokkarinnar. Nú er þetta bæti hentugur fyrir afkóðun. Þú getur einfaldlega bætt einum staf við beiðnina og næstsíðasta bæti kökunnar verður áfram á sama stað og hentar til vals með sömu aðferð. Árásin heldur áfram með þessum hætti þar til kökuskráin er algjörlega endurheimt. Það heitir POODLE: Padding Oracle on Downgraded Legacy Encryption.
DREKNA
Eins og við nefndum hafði SSLv3 sína galla, en hann var í grundvallaratriðum frábrugðinn forvera sínum, þar sem leki SSLv2 var afurð frá öðrum tímum. Þar gætirðu truflað skilaboðin í miðjunni: соглашусь на это только через мой труп breyttist í соглашусь на это; viðskiptavinurinn og þjónninn gætu hist á netinu, komið á trausti og skipt á leyndarmálum fyrir framan árásarmanninn, sem gæti þá auðveldlega hermt eftir báðum. Það er líka vandamálið með útflutningsdulkóðun, sem við nefndum þegar við skoðum FREAK. Þetta voru dulkóðuð Sódóma og Gómorru.
Í mars 2016 kom hópur vísindamanna frá mismunandi tæknisviðum saman og gerði óvænta uppgötvun: SSLv2 er enn notað í öryggiskerfum. Já, árásarmenn gátu ekki lengur niðurfært nútíma TLS lotur í SSLv2 þar sem því gat var lokað eftir FREAK og POODLE, en þeir geta samt tengst netþjónum og hafið SSLv2 lotur sjálfir.
Þú gætir spurt, hvers vegna er okkur sama hvað þeir gera þar? Þeir eru með viðkvæma lotu, en það ætti ekki að hafa áhrif á aðrar lotur eða öryggi netþjónsins - ekki satt? Jæja, ekki alveg. Já, svona ætti það að vera í orði. En nei - því að búa til SSL vottorð veldur ákveðnu álagi, sem leiðir til þess að margir netþjónar nota sömu vottorð og þar af leiðandi sömu RSA lyklana fyrir TLS og SSLv2 tengingar. Til að gera illt verra, vegna OpenSSL villu, virkaði „Slökkva á SSLv2“ valmöguleikanum í þessari vinsælu SSL útfærslu í raun ekki.
Þetta gerði mögulega árás á TLS með víxlsamskiptareglum, kölluð (Afkóða RSA með úreltri og veiklaðri dulkóðun, afkóða RSA með úreltri og veiklaðri dulkóðun). Mundu að þetta er ekki það sama og stutt árás; árásarmaðurinn þarf ekki að koma fram sem „maður í miðjunni“ og þarf ekki að taka þátt í skjólstæðingnum til að taka þátt í óöruggri lotu. Árásarmenn hefja einfaldlega óörugga SSLv2 lotu með þjóninum sjálfir, ráðast á veika samskiptareglur og endurheimta RSA einkalykil þjónsins. Þessi lykill gildir einnig fyrir TLS tengingar og frá þessum tímapunkti mun ekkert magn af TLS öryggi koma í veg fyrir að það sé í hættu.
En til að sprunga það þarftu virka árás gegn SSLv2, sem gerir þér kleift að endurheimta ekki aðeins sérstaka umferð, heldur einnig leynilega RSA miðlaralykilinn. Þó að þetta sé flókin uppsetning gátu rannsakendur valið hvaða varnarleysi sem var algjörlega lokað eftir SSLv2. Þeir fundu að lokum viðeigandi valkost: Bleichenbacher árásina, sem við nefndum áðan og sem við munum útskýra í smáatriðum í næstu grein. SSL og TLS eru vernduð fyrir þessari árás, en sumir tilviljanakenndir eiginleikar SSL, ásamt stuttum lyklum í dulmálsútflutningsgráðu, gerðu það mögulegt .
Þegar útgáfan var birt voru 25% af helstu síðum internetsins fyrir áhrifum af DROWN varnarleysinu og árásin gæti verið gerð með hóflegum úrræðum tiltækum jafnvel uppátækjasamum eintómum tölvuþrjótum. Til að sækja RSA lykil þjónsins þurfti átta klukkustunda útreikning og $440, og SSLv2 fór úr úreltum í geislavirkt.
Bíddu, hvað með Heartbleed?
Þetta er ekki dulmálsárás í þeim skilningi sem lýst er hér að ofan; Þetta er biðminni yfirfall.
Við skulum gera hlé
Við byrjuðum á nokkrum grunnaðferðum: grimmdarkrafti, innskot, niðurfærslu, krosssamskiptareglum og forútreikningi. Síðan skoðuðum við eina háþróaða tækni, kannski aðalþátt nútíma dulritunarárása: véfréttaárásina. Við eyddum töluverðum tíma í að átta okkur á því - og skildum ekki aðeins undirliggjandi meginregluna, heldur einnig tæknilegar upplýsingar um tvær sérstakar útfærslur: Vaudenay árásina á CBC dulkóðunarhaminn og Kelsey árásina á forþjöppun dulkóðunarsamskiptareglur.
Þegar við fórum yfir niðurfærslu- og forútreikningaárásir gerðum við stutta grein fyrir FREAK-árásinni, sem notar báðar aðferðirnar með því að láta marksíður niðurfæra í veika lykla og endurnota síðan sömu lykla. Fyrir næstu grein munum við vista (mjög svipaða) Logjam árásina, sem miðar á algrím algríma.
Við skoðuðum síðan þrjú dæmi til viðbótar um beitingu þessara meginreglna. Í fyrsta lagi, CRIME og POODLE: tvær árásir sem treystu á getu árásarmannsins til að setja inn handahófskenndan látlausan texta við hliðina á marktextanum, athugaðu síðan svör þjónsins og þáNotaðu þessar fáu upplýsingar með því að nota véfréttaárásaraðferðir til að endurheimta textann að hluta. CRIME fór leið Kelsey árásar á SSL þjöppun, en POODLE notaði í staðinn afbrigði af árás Vaudenay á CBC með sömu áhrifum.
Við beinum síðan athygli okkar að DROWN árásinni yfir samskiptareglur, sem kemur á tengingu við netþjóninn með því að nota eldri SSLv2 samskiptareglur og endurheimtir síðan leynilykla netþjónsins með Bleichenbacher árásinni. Við höfum sleppt tæknilegum upplýsingum um þessa árás í bili; eins og Logjam, verður það að bíða þar til við höfum góðan skilning á dulritunarkerfum almenningslykils og veikleika þeirra.
Í næstu grein munum við tala um háþróaðar árásir eins og mæta-í-miðju, mismunandi dulmálsgreiningu og afmælisárásir. Við skulum taka skyndisókn í hliðarrásarárásir og komast svo að kjarna málsins: dulritunarkerfi með opinberum lyklum.
Heimild: www.habr.com