פגיעות בספרייה עם היישום העיקרי של אלגוריתם SHA-3

זוהתה פגיעות (CVE-3-2022) בהטמעת פונקציית ה-hash ההצפנה SHA-37454 (Keccak) המוצעת בחבילת XKCP (eXtended Keccak Code Package), אשר עלולה להוביל לגלישה במאגר במהלך עיבוד של חלקים מסוימים. נתונים מעוצבים. הבעיה נגרמת מבאג בקוד של יישום ספציפי של SHA-3, ולא מפגיעות באלגוריתם עצמו. חבילת XKCP מוצגת כיישום הרשמי של SHA-3, שפותחה עם קלט מצוות הפיתוח של Keccak, ומשמשת כבסיס לפונקציות SHA-3 בשפות תכנות שונות (למשל, קוד XKCP משמש ב- Python hashlib מודול, חבילת Ruby digest sha3 ופונקציות PHP hash_*).

לדברי החוקר שזיהה את הבעיה, הוא הצליח להשתמש בפגיעות כדי להפר את המאפיינים ההצפנים של פונקציית ה-hash ולמצוא את ה-Preimage הראשון והשני, כמו גם לזהות התנגשויות. בנוסף, הוכרז שייווצר אב טיפוס ניצול שיאפשר ביצוע קוד בעת חישוב ה-hash של קובץ שתוכנן במיוחד. הפגיעות עשויה לשמש גם כדי לתקוף אלגוריתמים לאימות חתימה דיגיטלית המשתמשים ב-SHA-3 (לדוגמה, Ed448). פרטים על שיטות התקיפה מתוכננים להתפרסם בהמשך, לאחר שהפגיעות בוטלה בכל מקום.

עדיין לא ברור עד כמה הפגיעות משפיעה בפועל על אפליקציות קיימות, שכן כדי שהבעיה תתבטא בקוד, יש להשתמש בחישובי hash מחזוריים בבלוקים ואחד מהבלוקים המעובדים חייב להיות בגודל של כ-4 GB (לפחות 2^32 - 200 בתים). בעת עיבוד נתוני הקלט בבת אחת (מבלי לחשב את ה-hash ברצף בחלקים), הבעיה לא מופיעה. כשיטת ההגנה הפשוטה ביותר, מוצע להגביל את הגודל המרבי של הנתונים המעורבים באיטרציה אחת של חישוב הגיבוב.

הפגיעות נגרמת משגיאה בעיבוד בלוק של נתוני קלט. עקב השוואה שגויה של ערכים עם סוג "int", נקבע הגודל השגוי של הנתונים הממתינים, מה שמוביל לכתיבה של הזנב מעבר למאגר שהוקצה. במיוחד, ההשוואה השתמשה בביטוי "partialBlock + instance->byteIOIndex", מה שהוביל להצפת מספרים שלמים עבור ערכים גדולים של החלקים המרכיבים. בנוסף, היה cast מסוג שגוי "(unsigned int)(dataByteLen - i)" בקוד, מה שגרם לגלישה במערכות עם סוג size_t של 64 סיביות.

קוד לדוגמה שגורם לגלישה: import hashlib h = hashlib.sha3_224() m1 = b"\x00" * 1; m2 = b"\x00″ * 4294967295; h.update(m1) h.update(m2) print(h.hexdigest())

מקור: OpenNet.ru