「暗号化」という言葉を聞くと、WiFi パスワード、お気に入りの Web サイトのアドレスの横にある緑色の南京錠、他人の電子メールに侵入するのがいかに難しいかを思い出す人もいます。 また、印象的な略語 (DROWN、FREAK、POODLE...)、スタイリッシュなロゴ、ブラウザを緊急に更新するよう警告することで、近年の一連の脆弱性を思い出す人もいます。

暗号化はすべてをカバーしますが、 本質 別のところで。 重要なのは、単純なものと複雑なものの間には紙一重があるということです。 卵を割るなど、簡単にできることでも元に戻すのが難しいこともあります。 他のことは簡単ですが、小さくて重要な重要な部分が欠けていると元に戻すのが困難です。たとえば、「重要な部分」が鍵であるときに施錠されたドアを開けるなどです。 暗号化では、これらの状況と実際にどのように使用できるかを研究します。

近年、暗号攻撃のコレクションは、科学論文の公式で埋め尽くされた派手なロゴの動物園と化し、すべてが壊れているという全体的な暗い感覚を生み出しています。 しかし実際には、攻撃の多くはいくつかの一般原則に基づいており、果てしなく続く数式がわかりやすいアイデアに要約されることがよくあります。

この一連の記事では、基本原則に重点を置きながら、さまざまな種類の暗号攻撃について見ていきます。 一般的に、この順序どおりではありませんが、以下について説明します。

• 基本戦略: ブルート フォース、周波数分析、補間、ダウングレード、クロスプロトコル。
• ブランド化された脆弱性: フリーク、犯罪、プードル、溺死、ログジャム。
• 高度な戦略: オラクル攻撃 (Vodenet 攻撃、Kelsey 攻撃)。 中間者攻撃、誕生日攻撃、統計的偏り（差分暗号解読、積分暗号解読など）。
• サイドチャネル攻撃 およびその密接な関係にある障害分析手法。
• 公開鍵暗号化に対する攻撃: 立方根、ブロードキャスト、関連メッセージ、Coppersmith 攻撃、Pohlig-Hellman アルゴリズム、数値ふるい、Wiener 攻撃、Bleichenbacher 攻撃。

この記事では、ケルシーの攻撃に至るまでの上記の内容を取り上げます。

基本戦略

以下の攻撃は、技術的な詳細をあまり必要とせずにほぼ完全に説明できるという意味で単純です。 複雑な例や高度な使用例には触れずに、それぞれの種類の攻撃を最も簡単な言葉で説明しましょう。

これらの攻撃の中には、ほとんど時代遅れになっており、長年使用されていないものもあります。 21 世紀になっても、まだ疑うことを知らない暗号システム開発者に定期的にこっそり忍び寄る古参の人々もいます。 現代の暗号化の時代は、このリストにあるすべての攻撃に耐えた最初の暗号である IBM DES の出現によって始まったと考えることができます。

シンプルなブルートフォース

暗号化スキームは 1 つの部分で構成されます。2) 暗号化機能。キーと結合されたメッセージ (平文) を受け取り、暗号化されたメッセージ (暗号文) を作成します。 XNUMX) 暗号文とキーを取得して平文を生成する復号化関数。 暗号化と復号化はどちらも、キーを使用して計算するのが簡単でなければなりませんが、キーなしで計算するのは困難です。

暗号文を見て、追加情報なしでそれを復号化しようとすると仮定します (これを暗号文のみの攻撃と呼びます)。 何らかの方法で魔法のように正しいキーを見つけた場合、結果が妥当なメッセージであれば、それが実際に正しいことを簡単に検証できます。

ここには XNUMX つの暗黙の仮定があることに注意してください。 まず、復号化を実行する方法、つまり暗号システムがどのように機能するかを知っています。 これは、暗号化について議論するときの標準的な前提です。 暗号の実装の詳細を攻撃者から隠すことは、追加のセキュリティ対策であるように思えるかもしれませんが、攻撃者がこれらの詳細を把握すると、この追加のセキュリティは静かに、そして不可逆的に失われます。 そのようにして ケルヒホッフの原理: システムが敵の手に渡って不都合が生じることはあってはならない。

第 XNUMX に、正しいキーが適切な復号化につながる唯一のキーであると仮定します。 これも合理的な仮定です。 暗号文がキーよりもはるかに長く、読み取り可能であれば、条件は満たされます。 これは通常、現実の世界で起こっていることです。ただし、 実用的ではない巨大なキー または 脇に置いておくのが最善のその他の悪ふざけ (説明を省略したのが気に入らない場合は、定理 3.8 を参照してください。 ここで).

上記を考慮すると、考えられるすべてのキーをチェックするという戦略が生まれます。 これはブルート フォースと呼ばれ、このような攻撃は最終的にはすべての実用的な暗号に対して機能することが保証されています。 たとえば、ハッキングするにはブルートフォースで十分です。 シーザー暗号、鍵がアルファベット 20 文字である古代の暗号で、XNUMX を少し超える可能性のある鍵を意味します。

暗号解読者にとって残念なことに、キーのサイズを増やすことはブルート フォースに対する優れた防御手段となります。 キーのサイズが大きくなるにつれて、使用可能なキーの数は指数関数的に増加します。 最新の鍵サイズでは、単純な総当り攻撃はまったく実用的ではありません。 この意味を理解するために、2019 年半ばの時点で既知の最速のスーパーコンピューターを取り上げてみましょう。 サミット IBM から提供されており、ピーク パフォーマンスは 1017 秒あたり約 128 オペレーションです。 現在、一般的なキーの長さは 2128 ビットで、これは 7800 通りの組み合わせが考えられることを意味します。 すべてのキーを検索するには、Summit スーパーコンピューターが宇宙年齢の約 XNUMX 倍の時間を必要とします。

ブルートフォースは歴史的な珍奇なものと考えるべきでしょうか? まったく違います。これは暗号解読クックブックに必要な要素です。 程度の差こそあれ武力を使わずに、巧妙な攻撃によってのみ解読できるほど弱い暗号はまれです。 成功したハッキン​​グの多くは、アルゴリズム手法を使用して、まずターゲットの暗号を弱め、次にブルート フォース攻撃を実行します。

周波数分析

ほとんどの文章は意味不明ではありません。 たとえば、英語のテキストには「e」という文字と「the」という冠詞がたくさんあります。 バイナリ ファイルでは、情報間のパディングとして多くのゼロ バイトが存在します。 周波数分析は、この事実を利用した攻撃です。

この攻撃に対して脆弱な暗号の標準的な例は、単純置換暗号です。 この暗号では、キーはすべての文字が置き換えられたテーブルです。 たとえば、「g」は「h」に、「o」は j に置き換えられるため、単語「go」は「hj」になります。 非常に多くの可能性のあるルックアップ テーブルがあるため、この暗号は総当たり攻撃が困難です。 計算に興味がある場合は、有効なキーの長さは約 88 ビットです。
。 しかし、周波数分析は通常、仕事をすぐに完了します。

単純な置換暗号で処理された次の暗号文を考えてみましょう。

XDYLY ALY UGLY XDWNKE WN DYAJYN ANF YALXD DGLAXWG XDAN ALY FLYAUX GR WN OGQL ZDWBGEGZDO

から Y 多くの単語の末尾を含め、頻繁に出現する場合、暫定的にこれが文字であると仮定できます。 e:

XDeLe ALe UGle XDWNKE WN DeAJeN ANF eALXD DGLAXWG XDAN ALe FLeAUX GR WN OGQL ZDWBGEGZDO

カップル XD いくつかの単語の冒頭で繰り返されます。 特に、XDeLe という組み合わせは、この単語を明確に示唆しています。 these または thereでは、続けてみましょう。

TheLe Ale UGle は、Ale FleAUt GR WN OGQL ZDWBGEGZDO よりも、WN HEAJEN ANF EALTH DGLATWG を支持しています

さらに次のように仮定してみましょう L 一致 r, A  - a 等々。 おそらく数回の試行が必要ですが、完全な総当たり攻撃と比較して、この攻撃はすぐに元のテキストを復元します。

ホレイショ、あなたの哲学で夢想されている以上のことが天地にはあります

一部の人にとって、そのような「暗号」を解くことは刺激的な趣味です。

周波数分析の考え方は、一見したよりも基本的なものです。 そして、それはさらに複雑な暗号にも当てはまります。 歴史を通じて、さまざまな暗号設計が「多アルファベット置換」を使用してそのような攻撃に対抗しようとしてきました。 ここでは、暗号化プロセス中に、キーに応じて複雑ではあるが予測可能な方法で文字置換テーブルが変更されます。 これらの暗号はすべて、一度に解読するのは難しいと考えられていました。 しかし、控えめな周波数分析が最終的にそれらすべてを打ち破りました。

歴史上最も野心的な多アルファベット暗号、そしておそらく最も有名なのは、第二次世界大戦のエニグマ暗号です。 これは以前のものに比べて比較的複雑でしたが、多大な努力の末、英国の暗号解読者が周波数分析を使用して解読しました。 もちろん、上に示したような洗練された攻撃を展開することはできませんでした。 彼らは平文と暗号文の既知のペアを比較する必要があり (いわゆる「平文攻撃」)、さらには Enigma ユーザーに特定のメッセージを暗号化して結果を分析するよう促しました (「選択平文攻撃」)。 しかし、これは敗北した敵軍と沈没した潜水艦の運命を楽にするものではありませんでした。

この勝利の後、周波数分析は暗号解析の歴史から消えました。 現代のデジタル時代の暗号は、文字ではなくビットを扱うように設計されています。 さらに重要なのは、これらの暗号は、後に「 シュナイアーの法則: 自分自身では解読できない暗号化アルゴリズムは誰でも作成できます。 暗号化システムとしては不十分です 見えた 難しい：その価値を証明するには、暗号を解読するために全力を尽くす多くの暗号解析者による容赦ないセキュリティレビューを受けなければなりません。

予備計算

人口 200 人の仮想都市プレコム ハイツを考えてみましょう。 市内の各家庭には平均 000 ドル相当の貴重品が保管されていますが、最高 30 ドル相当の価値はありません。プレコムのセキュリティ市場は、伝説的な Coyote™ クラスのドア ロックを製造する ACME Industries によって独占されています。 専門家の分析によると、コヨーテ級ロックは非常に複雑な仮想マシンによってのみ破ることができ、その作成には約 000 年の歳月と 50 万ドルの投資が必要です。 街は安全ですか？

おそらくノーです。 やがて、かなり野心的な犯罪者が現れます。 彼は次のように推論します。「はい、多額の初期費用がかかります。 50 年間の辛抱強い待ち時間と 000 ドル。しかし、それが終わったら、次の情報にアクセスできるようになります。 この街のすべての富。 カードを正しく使えば、この投資は何倍にもなって元が取れるでしょう。」

暗号化でも同じことが当てはまります。 特定の暗号に対する攻撃は、容赦のない費用対効果分析の対象となります。 比率が有利な場合、攻撃は発生しません。 しかし、多くの潜在的な被害者に対して一度に攻撃を仕掛けた場合、ほぼ必ず報われます。その場合、設計上のベスト プラクティスは、最初の日から攻撃が開始されたと想定することです。 私たちは本質的にマーフィーの法則の暗号版を持っています。「システムを実際に破ることができるものはすべて、システムを破る」というものです。

事前計算攻撃に対して脆弱な暗号システムの最も単純な例は、定数キーレス暗号です。 これは次の場合に当てはまりました カエサルの暗号これは、アルファベットの各文字を XNUMX 文字ずつ前にシフトするだけです (テーブルがループしているため、アルファベットの最後の文字が XNUMX 番目に暗号化されます)。 ここでもケルヒホッフの原則が機能します。システムは一度ハッキングされると、永久にハッキングされ続けるのです。

コンセプトはシンプルです。 初心者の暗号システム開発者であっても、脅威を認識し、それに応じて準備する可能性があります。 暗号の進化を見ると、シーザー暗号の最初の改良版から多アルファベット暗号の衰退に至るまで、このような攻撃はほとんどの暗号にとって不適切でした。 このような攻撃は、暗号化の現代が到来して初めて再発しました。

この利益は XNUMX つの要因によるものです。 まず、十分に複雑な暗号システムがついに登場しましたが、ハッキング後の悪用の可能性は明らかではありませんでした。 第二に、暗号化が非常に普及したため、何百万もの一般の人々が暗号化のどこでどの部分を再利用するかを毎日決定しました。 専門家がリスクに気づき、警告を発するまでにはしばらく時間がかかりました。

事前計算攻撃を思い出してください。この記事の最後では、事前計算攻撃が重要な役割を果たした XNUMX つの実際の暗号例を見ていきます。

補間

ここでは、有名な探偵シャーロック ホームズが不運なワトソン博士に補間攻撃を行っています。

私はすぐに、あなたがアフガニスタンから来たのだと推測しました... 私の思考の流れは次のとおりでした。 それで軍医。 彼は熱帯から来たばかりです。彼の顔は暗いですが、手首の方がずっと白いので、これは彼の肌の自然な色合いではありません。 顔はやつれていて、明らかに彼は多くの苦しみと病気に苦しんでいた。 彼は左手に傷を負っていた。彼は動かずに少し不自然に左手を握っている。 英国の軍医が苦難に耐え、負傷する可能性がある熱帯地方のどこでしょうか？ もちろんアフガニスタンでもね。」 この一連の思考には一秒もかかりませんでした。 そこで私は、あなたはアフガニスタンから来たと言いました、そしてあなたは驚きました。

ホームズが各証拠から個別に抽出できる情報はほとんどありませんでした。 彼はそれらをすべて一緒に考慮することによってのみ結論に達することができました。 補間攻撃も、同じキーから得られる既知の平文と暗号文のペアを調べることで同様に機能します。 各ペアから個々の観察結果が抽出され、キーに関する一般的な結論を導き出すことができます。 これらの推論はすべて曖昧で役に立たないように見えますが、突然臨界量に達し、唯一可能な結論、つまり、それがどれほど信じられないものであっても、それは真実に違いないという結論に達するまでは役に立ちません。 この後、キーが公開されるか、復号化プロセスが非常に洗練されて複製できるようになります。

補間がどのように機能するかを簡単な例で説明しましょう。 敵であるボブの個人的な日記を読みたいとします。 彼は、雑誌「A Mock of Cryptography」の広告で知った簡単な暗号システムを使用して、日記のすべての数字を暗号化します。 システムは次のように機能します。ボブは好きな数字を XNUMX つ選びます。 и 。 これからは、あらゆる数字を暗号化するために 、計算します 。 たとえば、ボブが選択した場合 и 、次に番号 次のように暗号化されます .

28 月 XNUMX 日に、ボブが日記に何かを引っ掻いていることに気づいたとしましょう。 彼が話し終えたら、静かにそれを手に取り、最後のエントリを見てみましょう。

Дата： 235/520

親愛なる日記さん、

今日は良い日でした。 を通して 64 今日はアパートに住むアリサとデートです 843。 彼女はそうかもしれないと本当に思います 26!

私たちはボブのデートについて真剣に考えているので (このシナリオでは私たちは二人とも 15 歳です)、アリスの住所だけでなく日付も知っておくことが重要です。 幸いなことに、Bob の暗号システムは補間攻撃に対して脆弱であることがわかりました。 私たちには分からないかもしれない и ですが、今日の日付はわかっているので、平文と暗号文のペアが XNUMX つあります。 つまり、私たちはそれを知っています で暗号化されている と - で 。 これを書き留めておきます。

私たちは 15 歳なので、XNUMX つの未知数をもつ XNUMX つの方程式系についてはすでに知っています。この状況では、これで十分です。 и 問題なく。 平文と暗号文の各ペアはボブの鍵に制約を課し、XNUMX つの制約を合わせると鍵を完全に回復するのに十分です。 この例では、答えは次のとおりです。 и （で だから 26 日記の中の「the one」、つまり「同じもの」という言葉に対応します。 レーン）。

もちろん、補間攻撃はこのような単純な例に限定されません。 よく理解されている数学的オブジェクトとパラメーターのリストに変換されるすべての暗号システムは、補間攻撃の危険にさらされています。オブジェクトが理解できるほど、リスクは高くなります。

初心者はよく、暗号化は「可能な限り醜いものを設計する技術」だと不満を言います。 おそらく補間攻撃が主な原因と考えられます。 ボブは、エレガントな数学的デザインを使用することも、アリスとのデートを非公開にすることもできますが、悲しいことに、通常は両方の方法を使用することはできません。 これは、最終的に公開キー暗号化の話題に到達すると、十分に明らかになるでしょう。

クロスプロトコル/ダウングレード

Now You See Me (2013) では、奇術師のグループが腐敗した保険王アーサー トレスラーから全財産をだまし取ろうとします。 アーサーの銀行口座にアクセスするには、イリュージョニストは彼のユーザー名とパスワードを提供するか、彼に直接銀行に出向いて計画に参加するよう強制する必要があります。

どちらのオプションも非常に困難です。 彼らはステージでパフォーマンスすることに慣れており、諜報活動には参加していません。 そこで彼らは XNUMX 番目の選択肢を選択します。共犯者がアーサーのふりをして銀行に電話します。 銀行は、叔父の名前や最初のペットの名前など、身元を確認するためにいくつかの質問をします。 私たちのヒーローたちを事前に 彼らは巧妙なソーシャルエンジニアリングを使用して、アーサーからこの情報を簡単に抽出します。 この時点から、優れたパスワード セキュリティは重要ではなくなります。

（私たちが個人的に確認し検証した都市伝説によると、暗号学者イーライ・ビーハムはかつて、秘密の質問を設定するよう主張する銀行窓口係に遭遇した。窓口係が母方の祖母の名前を尋ねると、ビーハムは口述筆記し始めた。「大文字 X、小さなy、XNUMX...」）。

同じ資産を保護するために XNUMX つの暗号化プロトコルが並行して使用され、一方が他方よりはるかに弱い場合、これは暗号化でも同じです。 結果として生じるシステムは、クロスプロトコル攻撃に対して脆弱になります。つまり、より強力なプロトコルに触れることなく、より弱いプロトコルが攻撃されて、賞品を獲得することになります。

一部の複雑なケースでは、弱いプロトコルを使用してサーバーに接続するだけでは十分ではなく、正規のクライアントの非自発的な参加が必要になります。 これは、いわゆるダウングレード攻撃を使用して組織化できます。 この攻撃を理解するために、イリュージョニストが映画よりも難しい任務に就いていると仮定しましょう。 銀行員 (レジ係) とアーサーが予期せぬ事態に遭遇し、次のような会話になったと仮定します。

泥棒： こんにちは？ アーサー・トレスラーです。 パスワードをリセットしたいのですが。

レジ： 素晴らしい。 個人用秘密コードブックの 28 ページ、単語 3 をご覧ください。以降のすべてのメッセージは、この特定の単語をキーとして使用して暗号化されます。 PQJGH。 LOTJNAM PGGY MXVRL ZZLQ SRIU HHNMLPPPV…

泥棒： おいおい、待て待て。 これは本当に必要ですか? 普通の人と同じように話せないのですか？

レジ： これはお勧めしません。

泥棒： ただ…ほら、私は最悪の一日を過ごしたんです、いいですか？ 私は VIP クライアントなので、これらの愚かなコードブックを調べる気分ではありません。

レジ： 大丈夫。 どうしてもというなら、トレスラーさん。 なんでしょう？

泥棒： どうか、私のお金をすべてアーサー・トレスラー国立被害者基金に寄付したいと思います。

（一時停止）。

レジ： もう明らかですか。 大規模な取引の場合は PIN を入力してください。

泥棒： 私の何？

レジ： お客様のご要望に応じて、この規模の取引には PIN が必要になります。 このコードは、アカウントを開設したときに提供されます。

泥棒：... 私はそれを失いました。 これは本当に必要ですか? 取引を承認することはできませんか?

レジ： いいえ。 ごめんなさい、トレスラーさん。 繰り返しになりますが、これはあなたが求めていたセキュリティ対策です。 ご希望の場合は、新しい PIN コードをメールボックスに送信いたします。

私たちのヒーローは作戦を延期します。 彼らはトレスラーの大規模な取引のいくつかを盗聴し、PIN を聞き出すことを望んでいた。 しかし、毎回、興味深いことが語られる前に、会話は暗号化された意味不明なものになってしまいます。 ある晴れた日、ついに計画が実行に移されます。 彼らは、トレスラーが電話で大規模な取引をしなければならない瞬間を辛抱強く待ち、彼が電話に出ると...

トレスラー: こんにちは。 リモート取引を完了したいのですが、お願いします。

レジ： 素晴らしい。 あなたの個人的な秘密のコードブック、ページを見てください...

（強盗がボタンを押すと、レジ係の声が理解できないノイズに変わります）。

レジ： - #@$#@$#*@$$@#* はこの単語をキーとして暗号化されます。 AAAYRR PLRQRZ MMNJK ロジバン…

トレスラー: 申し訳ありませんが、よくわかりませんでした。 また？ どのページにありますか? 何の言葉？

レジ： これは @#$@#*$)#*#@()#@$(#@*$(#@*.

トレスラー: 何？

レジ： 単語番号 XNUMX @$#@$#%#$。

トレスラー: 真剣に！ もういい！ あなたとあなたのセキュリティプロトコルは一種のサーカスです。 普通に話していいのはわかっています。

レジ： お勧めしません…

トレスラー: そして、時間を無駄にすることはお勧めしません。 電話回線の問題が解決されるまで、これ以上聞きたくない。 この取引を成立させることができるのか、できないのか?

レジ：… はい。 大丈夫。 なんでしょう？

トレスラー: Lord Business Investments に 20 ドルを送金したいのですが、口座番号は...

レジ： しばらくお待ちください。 それは大変なことです。 大規模な取引の場合は PIN を入力してください。

トレスラー: 何？ ああ、まさに。 1234。

ここからは下方向への攻撃です。 「直接話すだけ」という弱いプロトコルは次のように想定されていました。 オプション 緊急の場合に。 それでも私たちはここにいます。

正気の持ち主が、上記のような本当の「別段の指示があるまで安全な」システムを設計するのは誰だろうと疑問に思うかもしれません。 しかし、架空の銀行が暗号化を好まない顧客を引き留めるためにリスクを負うのと同じように、システムは一般に、セキュリティに無関心、またはまったく敵対的な要件に引き寄せられることがよくあります。

これはまさに 2 年の SSLv1995 プロトコルで起こったことです。 米国政府は長い間、暗号を外敵や国内の敵から遠ざけるのが最善の武器であると見なし始めています。 コードの一部は、アルゴリズムが意図的に弱められるという条件付きで、米国からの輸出を個別に承認されました。 最も人気のあるブラウザである Netscape Navigator の開発者である Netscape には、本質的に脆弱な 2 ビット RSA キー (RC512 の場合は 40 ビット) を使用する SSLv4 のみの許可が与えられていました。

XNUMX 年代の終わりまでに規則は緩和され、最新の暗号化へのアクセスが広く利用できるようになりました。 ただし、クライアントとサーバーは、レガシー システムのサポートを維持するのと同じ慣性により、長年にわたり、弱体化した「エクスポート」暗号化をサポートしてきました。 クライアントは、他に何もサポートしていないサーバーに遭遇する可能性があると信じていました。 サーバーも同じことを行いました。 もちろん、SSL プロトコルでは、より優れたプロトコルが利用可能な場合には、クライアントとサーバーが弱いプロトコルを決して使用してはならないと規定しています。 しかし、同じ前提がトレスラーと彼の銀行にも当てはまりました。

この理論は、2015 年に SSL プロトコルのセキュリティを揺るがす XNUMX つの注目を集めた攻撃に影響を及ぼしました。どちらもマイクロソフトの研究者によって発見され、 INRIA。 まず、FREAK 攻撃の詳細が XNUMX 月に明らかになり、その XNUMX か月後に Logjam と呼ばれる別の同様の攻撃が明らかになりました。これについては、公開キー暗号化に対する攻撃に進むときにさらに詳しく説明します。

脆弱性 FREAK (「Smack TLS」としても知られています) は、研究者が TLS クライアント/サーバーの実装を分析し、興味深いバグを発見したときに明らかになりました。 これらの実装では、クライアントが弱いエクスポート暗号化の使用を要求していないにもかかわらず、サーバーがそのようなキーで応答する場合、クライアントは「まあまあ」と言って、弱い暗号スイートに切り替えます。

当時、輸出暗号化は時代遅れで禁止されていると広く考えられていたため、この攻撃は完全な衝撃となり、ホワイトハウス、IRS、NSA サイトを含む多くの重要なドメインに影響を与えました。 さらに悪いことに、多くの脆弱なサーバーがセッションごとに新しいキーを生成するのではなく、同じキーを再利用することでパフォーマンスを最適化していることが判明しました。 これにより、プロトコルをダウングレードした後、事前計算攻撃を実行できるようになりました。100 つのキーのクラッキングには比較的高価なままでしたが (公開時点で 12 ドルと XNUMX 時間)、接続を攻撃する実際のコストは大幅に削減されました。 サーバー キーを一度選択し、それ以降のすべての接続の暗号化を解読するだけで十分です。

次に進む前に、言及する必要がある高度な攻撃が XNUMX つあります...

オラクル攻撃

モクシー・マーリンスパイク クロスプラットフォームの暗号メッセージング アプリ Signal の父として最もよく知られています。 しかし、私たちは個人的に彼のあまり知られていない革新的なものの XNUMX つが気に入っています - 暗号破滅の原理 (暗号破滅原理)。 少し言い換えると、次のように言えます。 どれでも 潜在的に悪意のあるソースからのメッセージに対して暗号化操作を実行し、その結果に応じて異なる動作をする場合、それは運命にあります。」 あるいは、もっと鋭い形で言えば、「処理のために敵から情報を受け取ってはいけません。そうしなければならない場合には、少なくとも結果を示さないでください。」

バッファ オーバーフローやコマンド インジェクションなどは脇に置いておきましょう。 それらはこの議論の範囲を超えています。 「破滅の原則」に違反すると、プロトコルが期待どおりに動作するため、重大な暗号化ハッキングが発生します。

例として、脆弱な置換暗号を使用した架空の設計を取り上げ、攻撃の可能性を示してみましょう。 頻度分析を使用した置換暗号に対する攻撃はすでに確認されていますが、これは単なる「同じ暗号を解読する別の方法」ではありません。 それどころか、オラクル攻撃ははるかに現代的な発明であり、周波数分析が失敗する多くの状況に適用できます。これについては次のセクションでデモンストレーションします。 ここでは、例をわかりやすくするためだけに単純な暗号が選択されています。

したがって、アリスとボブは、彼らだけが知っている鍵を使用した単純な置換暗号を使用して通信します。 メッセージの長さについては非常に厳密で、長さはちょうど 20 文字です。 そこで彼らは、誰かがより短いメッセージを送信したい場合は、メッセージの最後にダミー テキストを追加してちょうど 20 文字にする必要があることに同意しました。 いくつかの議論の結果、彼らは次のダミー テキストのみを受け入れることに決定しました。 a, bb, ccc, dddd したがって、必要な任意の長さのダミーテキストがわかります。

アリスまたはボブがメッセージを受信すると、まずメッセージの長さが正しいか (20 文字)、サフィックスが正しいダミー テキストであるかを確認します。 そうでない場合は、適切なエラー メッセージが返されます。 テキストの長さとダミー テキストに問題がない場合、受信者はメッセージ自体を読み、暗号化された応答を送信します。

攻撃中、攻撃者はボブになりすまし、偽のメッセージをアリスに送信します。 メッセージはまったくナンセンスです。攻撃者はキーを持っていないため、意味のあるメッセージを偽造することはできません。 しかし、このプロトコルは破滅の原則に違反しているため、以下に示すように、攻撃者は依然としてアリスを罠にはめて重要な情報を漏らすことができます。

泥棒： PREWF ZHJKL MMMN. LA

アリス： 無効なダミーテキストです。

泥棒： PREWF ZHJKL MMMN. LB

アリス： 無効なダミーテキストです。

泥棒： PREWF ZHJKL MMMN. LC

アリス： ILCT? TLCT RUWO PUT KCAW CPS OWPOW!

強盗はアリスが今何を言ったか分かりませんが、記号が C 対応しなければなりません aアリスがダミーテキストを受け入れたためです。

泥棒： REWF ZHJKL MMMN. LAA

アリス： 無効なダミーテキストです。

泥棒： REWF ZHJKL MMMN. LBB

アリス： 無効なダミーテキストです。

何度か試みた後...

泥棒： REWF ZHJKL MMMN. LGG

アリス： 無効なダミーテキストです。

泥棒： REWF ZHJKL MMMN. LHH

アリス： TLQO JWCRO FQAW SUY LCR C OWQXYJW. IW PWWR TU TCFA CHUYT TLQO JWFCTQUPOLQZ.

繰り返しますが、攻撃者はアリスが今何を言ったか分かりませんが、アリスがダミーテキストを受け入れたため、H は b と一致する必要があることに注意します。

攻撃者が各文字の意味を理解するまで、これを繰り返します。

一見すると、この手法は選択された平文攻撃に似ています。 最終的に、攻撃者は暗号文を選択し、サーバーはそれを素直に処理します。 これらの攻撃を現実世界で実行可能にする主な違いは、攻撃者が実際のトランスクリプトにアクセスする必要がないことです。サーバーの応答は、「無効なダミー テキスト」のような無害なものでも十分です。

この特定の攻撃は有益ではありますが、「ダミー テキスト」スキームの詳細、使用されている特定の暗号化システム、または攻撃者によって送信されたメッセージの正確なシーケンスにあまりこだわる必要はありません。 基本的な考え方は、アリスが平文の特性に基づいてどのように異なる反応をするか、そして対応する暗号文が実際に信頼できる当事者からのものであるかどうかを検証せずに反応するというものです。 したがって、アリスは攻撃者が彼女の回答から秘密情報を搾り出すことを許可します。

このシナリオでは変更できることがたくさんあります。 アリスが反応するシンボル、彼女の行動の違い、あるいは使用されている暗号システムさえも。 しかし、原則は変わらず、全体としての攻撃は何らかの形で実行可能です。 この攻撃の基本的な実装は、いくつかのセキュリティ バグの発見に役立ちました。これについては後ほど説明します。 しかし、その前に、いくつかの理論的な教訓を学ぶ必要があります。 この架空の「アリス スクリプト」を、実際の現代暗号に作用する攻撃に使用するにはどうすればよいでしょうか? 理論上でもこれは可能でしょうか？

1998 年、スイスの暗号学者ダニエル・ブライヘンバッハーはこの質問に肯定的に答えました。 彼は、特定のメッセージ スキームを使用して、広く使用されている公開キー暗号システム RSA に対するオラクル攻撃を実証しました。 一部の RSA 実装では、サーバーは、平文がスキームと一致するかどうかに応じて、異なるエラー メッセージで応答します。 これは攻撃を実行するには十分でした。

2002 年後の XNUMX 年、フランスの暗号学者セルジュ・ボードネーは、上記のアリスのシナリオで説明された攻撃とほぼ同じオラクル攻撃を実証しました。ただし、架空の暗号の代わりに、人々が実際に使用している立派なクラスの現代暗号をすべて解読した点が異なります。 特に、Vaudenay の攻撃は、いわゆる「CBC 暗号化モード」で使用される固定入力サイズの暗号 (「ブロック暗号」) と、基本的にアリスのシナリオのものと同等の一般的なパディング スキームを使用することをターゲットにしています。

同じく 2002 年に、アメリカの暗号学者ジョン ケルシー - 共著者 二匹 — メッセージを圧縮して暗号化するシステムに対するさまざまなオラクル攻撃を提案しました。 その中で最も注目されたのは、暗号文の長さから元の平文の長さを推測できる場合が多いという事実を利用した攻撃でした。 理論的には、これにより、元の平文の一部を回復するオラクル攻撃が可能になります。

以下では、Vaudenay 攻撃と Kelsey 攻撃についてさらに詳しく説明します (Bleichenbacher 攻撃については、公開鍵暗号に対する攻撃に進むときにさらに詳しく説明します)。 最善の努力にもかかわらず、文章は多少専門的になります。 したがって、上記の説明で十分な場合は、次の XNUMX つのセクションを飛ばしてください。

ヴォーデンの攻撃

Vaudenay 攻撃を理解するには、まずブロック暗号と暗号化モードについてもう少し詳しく説明する必要があります。 前述したように、「ブロック暗号」は、キーと特定の固定長 (「ブロック長」) の入力を受け取り、同じ長さの暗号化されたブロックを生成する暗号です。 ブロック暗号は広く使用されており、比較的安全であると考えられています。 現在廃止されている DES は、最初の近代的な暗号と考えられており、ブロック暗号でした。 上で述べたように、現在広く使用されている AES についても同様です。

残念ながら、ブロック暗号には明らかな弱点が 128 つあります。 一般的なブロック サイズは 16 ビット、つまり XNUMX 文字です。 明らかに、最新の暗号化ではより大きな入力データを処理する必要があり、ここで暗号化モードが登場します。 暗号化モードは本質的にはハックです。これは、特定のサイズの入力のみを受け入れるブロック暗号を、任意の長さの入力に何らかの方法で適用する方法です。

Vodene の攻撃は、一般的な CBC (Cipher Block Chaining) 動作モードに焦点を当てています。 この攻撃は、基礎となるブロック暗号を魔法の難攻不落のブラック ボックスとして扱い、そのセキュリティを完全に回避します。

以下は、CBC モードがどのように機能するかを示す図です。

丸で囲まれたプラスは、XOR (排他的 OR) 演算を意味します。 たとえば、暗号文の XNUMX 番目のブロックが受信されます。

1. XNUMX 番目の平文ブロックと最初の暗号文ブロックに対して XOR 演算を実行します。
2. 結果のブロックをキーを使用したブロック暗号で暗号化します。

CBC はバイナリ XOR 演算を多用するため、そのプロパティのいくつかを思い出してみましょう。

• べき等性:
• 可換性:
• 関連性:
• 自己可逆性:
• バイトサイズ: バイトn = (バイト n の ) (バイト n の )

通常、これらの特性は、XOR 演算を含む方程式と未知の方程式がある場合、それを解くことができることを意味します。 たとえば、それがわかっていれば、 未知のものと そして有名な и の場合、上記の特性に基づいて次の方程式を解くことができます。 。 次のように方程式の両側に XOR を適用することで、 、 我々が得る 。 これはすぐに非常に重要になります。

私たちのアリスのシナリオとボードネーの攻撃の間には、XNUMX つの小さな違いと XNUMX つの大きな違いがあります。 マイナーなものが XNUMX つあります:

• スクリプトでは、アリスは平文が文字で終わることを期待していました a, bb, ccc 等々。 Wodene 攻撃では、被害者は平文が N バイト (つまり、01 進数の 02 または 02 03、または 03 03 XNUMX など) で N 回終わることを期待します。 これは純粋に表面上の違いです。
• アリスのシナリオでは、アリスがメッセージを受け入れたかどうかは、「ダミー テキストが正しくありません」という応答によって簡単にわかりました。 Vodene の攻撃では、さらなる分析が必要であり、被害者側での正確な実装が重要です。 しかし、簡潔にするために、この分析が依然として可能であることを前提として考えてみましょう。

主な違い:

• 同じ暗号システムを使用していないため、攻撃者が制御する暗号文のバイトと秘密 (鍵と平文) の関係は明らかに異なります。 したがって、攻撃者は暗号文を作成し、サーバーの応答を解釈するときに、別の戦略を使用する必要があります。

この大きな違いは、Vaudenay 攻撃を理解するためのパズルの最後のピースです。そのため、そもそも CBC に対するオラクル攻撃がなぜ、どのように仕掛けられるのかを少し考えてみましょう。

247 ブロックの CBC 暗号文が与えられ、それを復号したいとします。 以前にアリスに偽のメッセージを送信できたのと同じように、サーバーに偽のメッセージを送信できます。 サーバーはメッセージを復号化しますが、復号化結果は表示しません。代わりに、アリスの場合と同様に、サーバーは平文に有効なパディングがあるかどうかという XNUMX ビットの情報のみを報告します。

アリスのシナリオでは次のような関係があったと考えてみましょう。

$$display$$text{SIMPLE_SUBSTITUTION}(テキスト{暗号文},テキスト{キー}) = テキスト{平文}$$display$$

これを「アリスの方程式」と呼びましょう。 私たちは暗号文を管理していました。 サーバー (Alice) は、受信した平文に関するあいまいな情報を漏洩しました。 これにより、最後の要素であるキーに関する情報を推測することができました。 類推すると、CBC スクリプトのそのような接続を見つけることができれば、そこから秘密情報を抽出できる可能性があります。

幸いなことに、私たちが利用できる人間関係は実際に存在します。 ブロック暗号を復号化するための最後の呼び出しの出力を考慮し、この出力を次のように示します。 。 平文のブロックも示します および暗号文ブロック 。 CBC ダイアグラムをもう一度見て、何が起こっているかに注目してください。

これを「CBC方程式」と呼びましょう。

アリスのシナリオでは、暗号文を監視し、対応する平文の漏洩を監視することで、方程式の XNUMX 番目の項、つまり鍵を回復する攻撃を仕掛けることができました。 CBC シナリオでは、暗号文も監視し、対応する平文の情報漏洩を観察します。 類推が成り立つ場合、次の情報を得ることができます。 .

本当に復元したと仮定しましょう 、それでは？ それでは、平文の最後のブロック全体を一度に出力できます (）を入力するだけで （私たちが持っているもの）そして
受け取った CBC方程式に代入します。

全体的な攻撃計画について楽観的になったので、次は詳細を検討します。 平文情報がサーバー上でどのように漏洩するかに注意してください。 アリスのスクリプトでは、$inline$text{SIMPLE_SUBSTITUTION}(text{ciphertext},text{key})$inline$ が次の行で終わっている場合にのみアリスが正しいメッセージで応答するため、リークが発生しました。 a （または bb、などですが、これらの状態が偶然に引き起こされる可能性は非常に小さいです)。 CBC と同様に、サーバーは次の場合にのみパディングを受け入れます。 XNUMX進数で終わる 01。 それでは、同じトリックを試してみましょう。独自の偽の値を含む偽の暗号文を送信します。 サーバーが充填を受け入れるまで。

サーバーが偽のメッセージの XNUMX つに対するパディングを受け入れる場合、それは次のことを意味します。

ここで、バイト-バイト XOR プロパティを使用します。

私たちは第一項と第三項を知っています。 そして、これにより残りの用語、つまり最後のバイトを回復できることをすでに見てきました。 :

これにより、CBC 方程式とバイトごとのプロパティを介して、最終的な平文ブロックの最後のバイトも得られます。

そのままにしておいて、理論的に強力な暗号に対して攻撃を実行したことに満足することもできます。 しかし実際には、さらに多くのことができます。実際にすべてのテキストを復元できます。 これには、アリスの元のスクリプトにはなかったトリックが必要であり、オラクル攻撃には必要ありませんが、それでも学ぶ価値はあります。

それを理解するには、まず、最後のバイトの正しい値を出力した結果が次のようになることに注目してください。 私たちは新しい能力を持っています。 これで、暗号文を偽造するときに、対応する平文の最後のバイトを操作できるようになります。 繰り返しますが、これは CBC 方程式とバイト単位のプロパティに関連しています。

第 XNUMX 項がわかったので、第 XNUMX 項を制御して第 XNUMX 項を制御できます。 単純に次のように計算します。

まだ最後のバイトがなかったため、以前はこれを行うことができませんでした .

これはどのように役立つでしょうか? ここで、対応する平文の最後のバイトが次と等しくなるようにすべての暗号文を作成するとします。 02。 サーバーは、プレーンテキストが次で終わる場合にのみパディングを受け入れるようになりました。 02 02。 最後のバイトを修正したため、これは平文の最後から 02 番目のバイトも XNUMX の場合にのみ発生します。サーバーがそのうちの XNUMX つのパディングを受け入れるまで、最後から XNUMX 番目のバイトを変更して偽の暗号文ブロックを送信し続けます。 この時点で、次の結果が得られます。

そして最後から XNUMX 番目のバイトを復元します 前回が復元されたのと同じように。 同じ精神で続けます。平文の最後の XNUMX バイトを次のように修正します。 03 03、この攻撃を末尾から XNUMX バイト目などに対して繰り返し、最終的には完全に復元します。 .

残りのテキストについてはどうでしょうか？ 値に注意してください 実際には $inline$text{BLOCK_DECRYPT}(text{key},C_{247})$inline$ です。 代わりに他のブロックを置くこともできます 、それでも攻撃は成功します。 実際、サーバーに任意のデータに対して $inline$text{BLOCK_DECRYPT}$inline$ を実行するように依頼できます。 この時点でゲームは終了です。あらゆる暗号文を復号化できます (これを確認するには、CBC 復号化図をもう一度見てください。IV は公開されていることに注意してください)。

この特定のメソッドは、後で遭遇するオラクル攻撃において重要な役割を果たします。

ケルシーの攻撃

私たちの気の合うジョン・ケルシーは、特定の暗号に対する特定の攻撃の詳細だけでなく、考えられる多くの攻撃の基礎となる原則を説明しました。 彼の 2002の年間最優秀論文 は、暗号化された圧縮データに対する攻撃の可能性についての研究です。 データが暗号化される前に圧縮されていたという情報は、攻撃を実行するのに十分ではないと考えましたか? それで十分であることがわかりました。

この驚くべき結果は XNUMX つの原則によるものです。 まず、平文の長さと暗号文の長さの間には強い相関関係があります。 多くの暗号では完全に等価です。 第 XNUMX に、圧縮が実行される場合、圧縮されたメッセージの長さと平文の「ノイズ性」の程度、つまり反復しない文字 (専門用語では「高エントロピー」) の割合との間にも強い相関関係があります。 ）。

実際の原理を確認するには、次の XNUMX つの平文を考えてみましょう。

平文 1: AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA

平文 2: ATVXCAGTRSVPTVVULSJQHGEYCMQPCRQBGCYIXCFJGJ

両方の平文が圧縮されてから暗号化されていると仮定します。 結果として XNUMX つの暗号文が得られ、どの暗号文がどの平文に一致するかを推測する必要があります。

暗号文 1: PVOVEYBPJDPVANEAWVGCIUWAABCIYIKOOURMYDTA

暗号文 2: DWKJZXYU

答えは明らかです。 平文のうち、わずかな長さの第 1 暗号文に圧縮できたのは平文 XNUMX だけでした。 私たちは、圧縮アルゴリズム、暗号化キー、さらには暗号自体について何も知らずにこれを考え出しました。 考えられる暗号攻撃の階層と比較すると、これはちょっとクレイジーです。

Kelsey 氏はさらに、特定の異常な状況下では、この原理がオラクル攻撃の実行にも使用される可能性があると指摘しています。 特に、サーバーにフォーム データ (平文の後に暗号化が続く) を強制的に暗号化できる場合、攻撃者が秘密の平文をどのように回復できるかについて説明します。 彼がコントロールしている間 暗号化された結果の長さを何らかの方法で確認できます。

繰り返しますが、他のオラクル攻撃と同様に、次の関係があります。

繰り返しますが、XNUMX つの項を制御します ()、別のメンバーに関する情報 (暗号文) の小規模な漏洩が確認され、最後の情報 (平文) を復元しようとします。 たとえではありますが、これは、これまでに見てきた他のオラクル攻撃と比較すると、やや特殊な状況です。

このような攻撃がどのように機能するかを説明するために、先ほど思いついた架空の圧縮スキーム TOYZIP を使用してみましょう。 テキスト内で以前に出現したテキスト行を検索し、その行の以前のインスタンスの場所とそこに何回出現したかを示す XNUMX つのプレースホルダー バイトに置き換えます。 たとえば、次の行 helloworldhello に圧縮できます helloworld[00][00][05] 元の 13 バイトと比較して 15 バイトの長さになります。

攻撃者がフォームの平文を回復しようとすると仮定します。 password=...、パスワード自体が不明な場合。 Kelsey の攻撃モデルによれば、攻撃者はサーバーにフォーム メッセージを圧縮してから暗号化するよう要求する可能性があります (平文の後に平文が続きます)。 ）、ここで  - フリーテキスト。 サーバーは作業を終了すると、結果の長さを報告します。 攻撃は次のようになります。

泥棒： パディングなしで平文を圧縮して暗号化してください。

サーバ： 結果の長さは 14 です。

泥棒： 付加される平文を圧縮して暗号化してください password=a.

サーバ： 結果の長さは 18 です。

クラッカーのメモ: [元の 14] + [置き換えられた XNUMX バイト] password=] + a

泥棒： 追加した平文を圧縮して暗号化してください password=b.

サーバ： 結果の長さは 18 です。

泥棒： 追加した平文を圧縮して暗号化してください password=с.

サーバ： 結果の長さは 17 です。

クラッカーのメモ: [元の 14] + [置き換えられた XNUMX バイト] password=c]。 これは、元の平文に次の文字列が含まれていることを前提としています。 password=c。 つまり、パスワードは文字で始まります c

泥棒： 追加した平文を圧縮して暗号化してください password=сa.

サーバ： 結果の長さは 18 です。

クラッカーのメモ: [元の 14] + [置き換えられた XNUMX バイト] password=с] + a

泥棒： 追加した平文を圧縮して暗号化してください password=сb.

サーバ： 結果の長さは 18 です。

（… 今度いつか…）

泥棒： 追加した平文を圧縮して暗号化してください password=со.

サーバ： 結果の長さは 17 です。

クラッカーのメモ: [元の 14] + [置き換えられた XNUMX バイト] password=co]。 攻撃者は同じロジックを使用して、パスワードが文字で始まると結論付けます。 co

パスワード全体が復元されるまで続きます。

読者が、これは純粋に学術的な演習であり、そのような攻撃シナリオは現実世界では決して起こらないと考えるのも無理はありません。 残念ながら、すぐにわかりますが、暗号化を諦めないほうがよいでしょう。

ブランドの脆弱​​性: CRIME、POODLE、DROWN

最後に、理論を詳細に検討した後、これらの技術が実際の暗号攻撃にどのように適用されるかを確認できます。

犯罪

攻撃が被害者のブラウザとネットワークに向けられている場合、より簡単なものもあれば、より困難なものもあります。 たとえば、被害者のトラフィックを確認するのは簡単です。Wi-Fi を備えた同じカフェで被害者と一緒に座るだけで済みます。 このため、潜在的な被害者 (つまり全員) は通常、暗号化された接続を使用することをお勧めします。 被害者に代わってサードパーティのサイト (Google など) に HTTP リクエストを送信することはより困難になりますが、それでも可能です。 攻撃者は、リクエストを行うスクリプトを使用して、被害者を悪意のある Web ページに誘導する必要があります。 Web ブラウザは、適切なセッション Cookie を自動的に提供します。

これはすごいですね。 ボブが行ったら evil.com、このサイトのスクリプトは、Google にボブのパスワードを電子メールで送信するように要求するだけでしょうか。 [email protected]? まあ、理論的にはそうですが、実際には違います。 このシナリオはクロスサイト リクエスト フォージェリ攻撃と呼ばれます (クロスサイトリクエストフォージェリ、CSRF）、90年代半ば頃に流行しました。 今日なら evil.com このトリックを試みると、Google (または他の自尊心のある Web サイト) は通常、次のように応答します。 три триллиона и семь。 この番号を繰り返してください。」 最近のブラウザには「同一オリジン ポリシー」と呼ばれるものがあり、サイト A のスクリプトは Web サイト B から送信された情報にアクセスできません。 evil.com にリクエストを送信できます google.com、ただし、応答を読み取ることも、実際にトランザクションを完了することもできません。

ボブが暗号化された接続を使用していない限り、これらの保護はすべて無意味であることを強調しなければなりません。 攻撃者は、Bob のトラフィックを読み取るだけで、Google のセッション Cookie を回復できます。 この Cookie を使用すると、彼は自分のブラウザを離れることなく新しい Google タブを開くだけで、厄介な同一生成元ポリシーに遭遇することなく Bob になりすますことができます。 しかし、泥棒にとって残念なことに、これはますます一般的ではなくなりつつあります。 インターネット全体は長い間、暗号化されていない接続に対して宣戦布告しており、ボブの送信トラフィックは、彼が好むと好まざるにかかわらず、おそらく暗号化されています。 さらに、プロトコルの実装当初から、トラフィックも 縮んだ 暗号化の前。 これは待ち時間を短縮するための一般的な方法でした。

ここで活躍します 犯罪 (Compression Ratio Infoleak Made Easy、圧縮比によるシンプルなリーク)。 この脆弱性は、セキュリティ研究者の Juliano Rizzo 氏と Thai Duong 氏によって 2012 年 XNUMX 月に明らかにされました。 私たちはすでに理論的基礎全体を検討しており、それによって彼らが何をどのように行ったかを理解することができます。 攻撃者は、Bob のブラウザにリクエストを Google に送信させ、ローカル ネットワーク上で圧縮暗号化された形式でレスポンスをリッスンする可能性があります。 したがって、次のようになります。

ここで、攻撃者はリクエストを制御し、パケット サイズを含むトラフィック スニファーにアクセスできます。 ケルシーの架空のシナリオが現実になりました。

この理論を理解した CRIME の作成者は、Gmail、Twitter、Dropbox、Github などの幅広いサイトのセッション Cookie を盗むことができるエクスプロイトを作成しました。 この脆弱性はほとんどの最新の Web ブラウザに影響を及ぼし、その結果、圧縮機能がまったく使用されないよう SSL にサイレントに埋め込むパッチがリリースされました。 この脆弱性から保護されていたのは由緒ある Internet Explorer だけであり、SSL 圧縮はまったく使用されていませんでした。

プードル

2014 年 XNUMX 月、Google セキュリティ チームはセキュリティ コミュニティに波紋を巻き起こしました。 彼らは、XNUMX 年以上前にパッチが適用されていた SSL プロトコルの脆弱性を悪用することができました。

サーバーは最新の TLSv1.2 を実行していますが、多くのサーバーは Internet Explorer 3 との下位互換性のために従来の SSLv6 のサポートを残していることが判明しました。ダウングレード攻撃についてはすでに説明したので、何が起こっているかは想像できるでしょう。 巧妙に計画されたハンドシェイク プロトコルの妨害行為により、サーバーは古き良き SSLv3 に戻る準備が整い、過去 15 年間のセキュリティ研究が実質的に台無しになってしまいます。

歴史的背景としては、 Matthew Green による、バージョン 2 までの SSL の歴史の簡単な概要です。:

Transport Layer Security (TLS) は、インターネット上で最も重要なセキュリティ プロトコルです。 [..] インターネット上で行われるほぼすべてのトランザクションは TLS に依存しています。 [..] しかし、TLS は常に TLS だったわけではありません。 このプロトコルが誕生したのは、 ネットスケープ通信 「Secure Sockets Layer」または SSL と呼ばれます。 噂によれば、SSL の最初のバージョンはあまりにもひどいものであったため、開発者はコードの印刷物をすべて集めてニューメキシコ州の秘密の埋め立て地に埋めたということです。 結果として、最初に公開された SSL バージョンは実際には バージョンSSL 2。 これはかなり恐ろしいもので、[..] それは 90 年代半ばの産物であり、現代の暗号学者はこれを「暗号の暗黒時代」 今日私たちが知っている最も凶悪な暗号攻撃の多くはまだ発見されていません。 その結果、SSLv2 プロトコルの開発者は基本的に暗闇の中で手探りで進めることになり、次のような問題に直面しました。 恐ろしいモンスターがたくさん - SSLv2 への攻撃は、次世代のプロトコルに貴重な教訓を残したので、彼らは残念に思いますが、私たちは利益を得ました。

これらの出来事を受けて、1996 年に不満を抱いた Netscape は SSL プロトコルをゼロから再設計しました。 結果は SSL バージョン 3 でした。 前バージョンのいくつかの既知のセキュリティ問題を修正しました.

強盗にとって幸運なことに、「少数」は「全員」を意味するわけではありません。 全体として、SSLv3 は Vodene 攻撃を開始するために必要なすべての構成要素を提供しました。 このプロトコルでは、CBC モードのブロック暗号と安全でないパディング スキームが使用されていました (これは TLS で修正されたため、ダウングレード攻撃が必要でした)。 Vaudenay 攻撃に関する最初の説明のパディング スキームを覚えていると、SSLv3 スキームは非常によく似ています。

しかし、泥棒にとって残念なことに、「類似」は「同一」を意味するものではありません。 SSLv3 パディング スキームは、「N 個のランダムなバイトの後に数字 N が続く」です。 これらの条件下で、仮想の暗号文ブロックを選択し、Vaudene の元のスキームのすべてのステップを実行してみてください。攻撃により、対応する平文ブロックから最後のバイトが正常に抽出されたことがわかりますが、それ以上は続行されません。 暗号文の 16 バイトごとに解読するのは素晴らしいトリックですが、それは勝利ではありません。

失敗に直面した Google チームは最後の手段に訴えました。より強力な脅威モデル、つまり CRIME で使用されているものに切り替えました。 攻撃者が被害者のブラウザ タブで実行されているスクリプトであり、セッション Cookie を抽出できると仮定すると、攻撃は依然として印象的です。 より広範な脅威モデルはあまり現実的ではありませんが、この特定のモデルは実現可能であることを前のセクションで見ました。

これらのより強力な攻撃者の能力を考慮すると、攻撃は継続できるようになります。 攻撃者は暗号化されたセッション Cookie がヘッダー内のどこに現れるかを知っており、それに先行する HTTP リクエストの長さを制御していることに注意してください。 したがって、Cookie の最後のバイトがブロックの終わりに揃えられるように HTTP リクエストを操作できます。 これで、このバイトは復号化に適したものになります。 リクエストに XNUMX 文字を追加するだけで、Cookie の最後から XNUMX 番目のバイトが同じ場所に残り、同じ方法を使用した選択に適しています。 攻撃は、Cookie ファイルが完全に復元されるまでこの方法で継続されます。 これは「POODLE: Padding Oracle on Downgraded Legacy Encryption」と呼ばれています。

溺れる

前述したように、SSLv3 には欠陥がありましたが、漏洩の多い SSLv2 は異なる時代の製品であったため、以前の SSLvXNUMX とは根本的に異なりました。 そこでメッセージを途中で中断することができます。 соглашусь на это только через мой труп になって соглашусь на это; クライアントとサーバーはオンラインで会い、信頼を確立し、攻撃者の目の前で秘密を交換することができ、攻撃者は簡単に両方になりすますことができます。 FREAK を検討する際に言及した輸出暗号化にも問題があります。 それは暗号化されたソドムとゴモラでした。

2016 年 2 月、さまざまな技術分野の研究者チームが集まり、SSLv2 が今でもセキュリティ システムで使用されているという驚くべき発見をしました。 はい、FREAK と POODLE の後にそのホールが塞がれたため、攻撃者は最新の TLS セッションを SSLv2 にダウングレードできなくなりましたが、サーバーに接続して SSLvXNUMX セッション自体を開始することはできます。

なぜ彼らがそこで何をしているのかを気にする必要があるのか​​と疑問に思うかもしれません。 脆弱なセッションがありますが、他のセッションやサーバーのセキュリティに影響を与えるべきではありません。 まあ、完全ではありません。 はい、理論的にはそうなるはずです。 しかし、そうではありません。SSL 証明書の生成には一定の負担がかかり、その結果、多くのサーバーが同じ証明書を使用し、その結果、TLS 接続と SSLv2 接続に同じ RSA キーが使用されることになります。 さらに悪いことに、OpenSSL のバグにより、この一般的な SSL 実装の「SSLv2 を無効にする」オプションは実際には機能しませんでした。

これにより、TLS に対するクロスプロトコル攻撃が可能になりました。 溺れる (廃止され弱化された暗号化を使用した RSA の復号化、廃止され弱化された暗号化による RSA の復号化)。 これは短い攻撃と同じではないことに注意してください。 攻撃者は「中間者」として行動する必要がなく、クライアントを安全でないセッションに参加させる必要もありません。 攻撃者は、サーバー自体との安全でない SSLv2 セッションを開始し、脆弱なプロトコルを攻撃して、サーバーの RSA 秘密キーを回復するだけです。 このキーは TLS 接続にも有効であり、この時点からは、どんなに TLS セキュリティを強化してもセキュリティ侵害を防ぐことはできません。

しかし、これを解読するには、SSLv2 に対する有効な攻撃が必要です。これにより、特定のトラフィックだけでなく、RSA サーバーの秘密キーも回復できます。 これは複雑な設定ですが、研究者は SSLv2 以降に完全に解決された脆弱性を選択できます。 彼らは最終的に、適切な選択肢であるブライヘンバッハー攻撃を見つけました。これについては、前述しましたが、次の記事で詳しく説明します。 SSL と TLS はこの攻撃から保護されていますが、SSL のいくつかのランダムな機能と輸出グレードの暗号化の短いキーが組み合わされて、攻撃が可能になりました。 DROWN の具体的な実装.

公開時点では、インターネットのトップ サイトの 25% が DROWN 脆弱性の影響を受けており、この攻撃は、いたずら好きの単独ハッカーでも利用できるわずかなリソースで実行される可能性があります。 サーバーの RSA キーを取得するには 440 時間の計算と 2 ドルが必要となり、SSLvXNUMX は廃止され、廃止されました。

待って、ハートブリードはどうですか？

これは、上で説明した意味での暗号攻撃ではありません。 これはバッファオーバーフローです。

休憩しましょう

私たちは、ブルート フォース、補間、ダウングレード、クロスプロトコル、事前計算といったいくつかの基本的なテクニックから始めました。 次に、おそらく現代の暗号化攻撃の主要な要素である、高度な手法の XNUMX つであるオラクル攻撃に注目しました。 私たちはそれを理解するのにかなりの時間を費やし、基礎となる原理だけでなく、CBC 暗号化モードに対するヴォーデネ攻撃と、圧縮前暗号化プロトコルに対するケルシー攻撃という XNUMX つの特定の実装の技術的な詳細も理解しました。

ダウングレード攻撃と事前計算攻撃のレビューでは、ターゲット サイトを弱いキーにダウングレードし、同じキーを再利用することで両方の方法を使用する FREAK 攻撃について簡単に説明しました。 次の記事では、公開キー アルゴリズムを標的とした (非常によく似た) Logjam 攻撃を保存します。

次に、これらの原則を適用したさらに XNUMX つの例を検討しました。 まず、CRIME と POODLE: XNUMX つの攻撃は、ターゲットの平文の隣に任意の平文を挿入し、サーバーの応答を調べて、 次にオラクル攻撃手法を使用して、このまばらな情報を悪用して、平文を部分的に回復します。 CRIME は SSL 圧縮に対する Kelsey の攻撃のルートをたどりましたが、POODLE は代わりに、Vaudenay の CBC に対する攻撃の変種を使用して同じ効果をもたらしました。

次に、クロスプロトコル DROWN 攻撃に注目しました。この攻撃は、従来の SSLv2 プロトコルを使用してサーバーへの接続を確立し、Bleichenbacher 攻撃を使用してサーバーの秘密キーを回復します。 今のところ、この攻撃の技術的な詳細については省略しています。 Logjam と同様に、公開鍵暗号システムとその脆弱性について十分に理解するまで待つ必要があります。

次回の記事では、中間者攻撃、差分暗号解析、誕生日攻撃などの高度な攻撃について説明します。 サイドチャネル攻撃について簡単に説明してから、楽しい部分である公開鍵暗号システムに移りましょう。

出所： habr.com