"암호화"라는 단어를 들으면 일부 사람들은 WiFi 비밀번호, 즐겨찾는 웹사이트 주소 옆에 있는 녹색 자물쇠, 다른 사람의 이메일에 접근하는 것이 얼마나 어려운지 기억합니다. 다른 사람들은 약어(DROWN, FREAK, POODLE...), 세련된 로고 및 브라우저를 긴급하게 업데이트하라는 경고를 통해 최근 몇 년간 일련의 취약점을 회상합니다.

암호화는 모든 것을 다루지만 본질 또 다른. 요점은 단순한 것과 복잡한 것 사이에 미세한 경계가 있다는 것입니다. 계란을 깨는 것과 같이 하기는 쉽지만 다시 합치기는 어려운 일이 있습니다. 다른 일들은 하기 쉽지만 작고 중요하며 중요한 부분이 누락되면 되돌리기 어렵습니다. 예를 들어 "중요한 부분"이 열쇠일 때 잠긴 문을 여는 것입니다. 암호화는 이러한 상황과 실제로 어떻게 사용될 수 있는지 연구합니다.

최근 몇 년 동안 암호화 공격 모음은 과학 논문의 공식으로 가득 찬 화려한 로고의 동물원으로 바뀌었고 모든 것이 깨졌다는 일반적인 우울한 느낌을 불러일으켰습니다. 그러나 실제로 대부분의 공격은 몇 가지 일반적인 원칙을 기반으로 하며, 끝없는 페이지의 수식을 이해하기 쉬운 아이디어로 압축하는 경우가 많습니다.

이 기사 시리즈에서는 기본 원칙에 중점을 두고 다양한 유형의 암호화 공격을 살펴보겠습니다. 일반적인 용어로 정확하게 이 순서는 아니지만 다음 내용을 다룰 것입니다.

• 기본 전략: 무차별 대입, 주파수 분석, 보간, 다운그레이드 및 프로토콜 간.
• 브랜드 취약점: 괴물, 범죄, 푸들, 익사, 로그잼.
• 고급 전략: 오라클 공격(Vodenet 공격, Kelsey 공격); 중간자 방법, 생일 공격, 통계적 편향(차등 암호 분석, 통합 암호 분석 등).
• 부채널 공격 가까운 친척, 고장 분석 방법.
• 공개 키 암호화에 대한 공격: 큐브 루트, 브로드캐스트, 관련 메시지, Coppersmith 공격, Pohlig-Hellman 알고리즘, Number Sieve, Wiener 공격, Bleichenbacher 공격.

이 특정 기사는 Kelsey의 공격까지 위의 자료를 다루고 있습니다.

기본 전략

다음 공격은 기술적인 세부 사항 없이도 거의 완벽하게 설명할 수 있다는 점에서 간단합니다. 복잡한 예나 고급 사용 사례를 다루지 않고 가장 간단한 용어로 각 공격 유형을 설명하겠습니다.

이러한 공격 중 일부는 거의 쓸모가 없어져 수년 동안 사용되지 않았습니다. 다른 사람들은 21세기에도 여전히 의심하지 않는 암호 시스템 개발자에게 정기적으로 몰래 접근하는 노련한 사람들입니다. 현대 암호화 시대는 이 목록에 대한 모든 공격을 견뎌낸 최초의 암호화인 IBM DES의 출현과 함께 시작된 것으로 간주할 수 있습니다.

단순한 무차별 대입

암호화 체계는 두 부분으로 구성됩니다. 1) 키와 결합된 메시지(일반 텍스트)를 사용하여 암호화된 메시지(암호문)를 생성하는 암호화 기능. 2) 암호문과 키를 가져와서 일반 텍스트를 생성하는 암호 해독 기능. 암호화와 복호화 모두 키를 사용하면 쉽게 계산할 수 있어야 하지만 키가 없으면 계산하기는 어려워야 합니다.

암호문을 보고 추가 정보 없이 이를 해독하려고 한다고 가정해 보겠습니다(이를 암호문 전용 공격이라고 합니다). 마술처럼 올바른 키를 찾아 결과가 합리적인 메시지라면 그것이 실제로 올바른지 쉽게 확인할 수 있습니다.

여기에는 두 가지 암묵적인 가정이 있습니다. 첫째, 우리는 암호 해독을 수행하는 방법, 즉 암호 시스템이 작동하는 방식을 알고 있습니다. 이는 암호화를 논의할 때의 표준 가정입니다. 공격자로부터 암호의 구현 세부 사항을 숨기는 것은 추가적인 보안 조치처럼 보일 수 있지만, 일단 공격자가 이러한 세부 사항을 알아내고 나면 이 추가 보안은 조용히 그리고 되돌릴 수 없게 상실됩니다. 그 방법이다 케르히호프의 원리: 시스템이 적의 손에 넘어가는 것이 불편을 초래해서는 안 됩니다.

둘째, 올바른 키가 합리적인 암호 해독으로 이어지는 유일한 키라고 가정합니다. 이것은 또한 합리적인 가정입니다. 암호문이 키보다 훨씬 길고 읽을 수 있으면 만족됩니다. 이것은 일반적으로 현실 세계에서 일어나는 일입니다. 거대하고 비현실적인 열쇠 또는 다른 헛소리는 제쳐두는 것이 가장 좋습니다 (그 설명이 마음에 들지 않으면 설명을 건너뛰었습니다. 정리 3.8을 참조하세요. 여기에).

위의 내용을 고려하면 전략이 생깁니다. 가능한 모든 키를 확인하세요. 이를 무차별 대입(brute force)이라고 하며, 이러한 공격은 결국 모든 실제 암호에 대해 작동하도록 보장됩니다. 예를 들어 해킹에는 무차별 공격만으로 충분합니다. 카이사르 암호, 키가 알파벳의 한 문자인 고대 암호로, 가능한 키는 20개가 조금 넘습니다.

불행하게도 암호 분석가에게는 키 크기를 늘리는 것이 무차별 대입에 대한 좋은 방어책입니다. 키 크기가 증가하면 사용 가능한 키 수도 기하급수적으로 늘어납니다. 최신 키 크기를 사용하면 단순한 무차별 대입은 완전히 비실용적입니다. 무슨 뜻인지 이해하기 위해 2019년 중반 현재 가장 빠른 것으로 알려진 슈퍼컴퓨터를 살펴보겠습니다. 정상 회담 IBM의 최고 성능은 초당 약 1017 작업입니다. 오늘날 일반적인 키 길이는 128비트이며 이는 2128개의 조합이 가능함을 의미합니다. 모든 키를 검색하려면 Summit 슈퍼컴퓨터가 우주 나이의 약 7800배에 해당하는 시간이 필요합니다.

무차별 대입은 역사적 호기심으로 간주되어야합니까? 전혀 그렇지 않습니다. 암호 분석 요리책의 필수 요소입니다. 암호가 너무 약해서 어느 정도 무력을 사용하지 않고 영리한 공격을 통해서만 해독될 수 있는 경우는 거의 없습니다. 많은 성공적인 해킹은 알고리즘 방법을 사용하여 먼저 대상 암호를 약화시킨 다음 무차별 대입 공격을 수행합니다.

빈도분석

대부분의 텍스트는 횡설수설이 아닙니다. 예를 들어, 영어 텍스트에는 문자 'e'와 관사 'the'가 많이 있습니다. 바이너리 파일에는 정보 사이에 패딩으로 XNUMX바이트가 많이 있습니다. 빈도 분석은 이 사실을 이용하는 모든 공격입니다.

이 공격에 취약한 암호의 일반적인 예는 단순 대체 암호입니다. 이 암호에서 키는 모든 문자가 대체된 테이블입니다. 예를 들어 'g'는 'h'로, 'o'는 j로 바뀌므로 'go'는 'hj'가 됩니다. 이 암호는 가능한 조회 테이블이 너무 많기 때문에 무차별 공격이 어렵습니다. 수학에 관심이 있다면 유효 키 길이는 약 88비트입니다.
. 그러나 빈도 분석은 일반적으로 작업을 신속하게 완료합니다.

단순 대체 암호로 처리된 다음 암호문을 고려하십시오.

XDYLY ALY UGLY XDWNKE WN DYAJYN ANF YALXD DGLAXWG XDAN ALY FLYAUX GR WN OGQL ZDWBGEGZDO

이후 Y 많은 단어의 끝 부분을 포함하여 자주 발생하면 이것이 문자라고 잠정적으로 가정할 수 있습니다. e:

XDeLe ALe UGLe XDWNKE WN DeAJeN ANF eALXD DGLAXWG XDAN ALe FLeAUX GR WN OGQL ZDWBGEGZDO

두 XD 여러 단어의 시작 부분에서 반복됩니다. 특히 XDeLe라는 조합은 다음과 같은 단어를 명확하게 암시합니다. these 또는 there, 계속하겠습니다.

The Le ALe UGLe는 ALe FleAUt GR WN OGQL ZDWBGEGZDO보다 WN HAJEN ANF eALth DGLATWG를 thWNKE했습니다.

추가로 가정해보자. L 일치 r, A - a 등등. 아마도 몇 번의 시도가 필요할 것입니다. 그러나 완전한 무차별 대입 공격과 비교할 때 이 공격은 원본 텍스트를 즉시 복원합니다.

하늘과 땅에는 당신의 철학에서 꿈꾸는 것보다 더 많은 것들이 있습니다

어떤 사람들에게는 그러한 "암호"를 해결하는 것이 흥미로운 취미입니다.

주파수 분석의 아이디어는 언뜻 보이는 것보다 더 근본적입니다. 그리고 이는 훨씬 더 복잡한 암호에도 적용됩니다. 역사를 통틀어 다양한 암호 설계가 "다중 알파벳 대체"를 사용하여 이러한 공격에 대응하려고 시도했습니다. 여기서 암호화 과정에서 문자 대체 테이블은 키에 따라 복잡하지만 예측 가능한 방식으로 수정됩니다. 이 모든 암호는 한 번에 해독하기 어려운 것으로 간주되었습니다. 그러나 적당한 빈도 분석은 결국 모든 것을 무너뜨렸습니다.

역사상 가장 야심찬 다중 알파벳 암호이자 아마도 가장 유명한 암호는 제XNUMX차 세계 대전의 에니그마 암호였습니다. 전작에 비해 상대적으로 복잡했지만, 많은 노력 끝에 영국 암호해독자들이 주파수 분석을 사용해 크랙했습니다. 물론, 그들은 위에 표시된 것과 같은 우아한 공격을 개발할 수 없었습니다. 알려진 일반 텍스트와 암호 텍스트 쌍을 비교해야 했으며(소위 "일반 텍스트 공격") Enigma 사용자가 특정 메시지를 암호화하고 결과를 분석하도록 유도하기도 했습니다("선택된 일반 텍스트 공격"). 그러나 이것이 패배한 적군과 침몰한 잠수함의 운명을 더 쉽게 만들지는 못했습니다.

이 승리 이후 빈도 분석은 암호해독의 역사에서 사라졌습니다. 현대 디지털 시대의 암호는 문자가 아닌 비트로 작동하도록 설계되었습니다. 더 중요한 것은 이 암호가 나중에 알려지게 된 암호에 대한 어두운 이해를 바탕으로 설계되었다는 것입니다. 슈나이어의 법칙: 누구나 스스로 깨뜨릴 수 없는 암호화 알고리즘을 만들 수 있습니다. 암호화 시스템으로는 충분하지 않습니다 보였다 어렵습니다. 그 가치를 입증하려면 암호를 해독하기 위해 최선을 다하는 많은 암호 분석가의 무자비한 보안 검토를 거쳐야 합니다.

예비 계산

인구가 200명인 가상의 도시인 Precom Heights를 예로 들어 보겠습니다. 도시의 각 가정에는 평균 $000 상당의 귀중품이 있지만 $30 이하의 가치가 있습니다. Precom의 보안 시장은 전설적인 Coyote™ 클래스 도어 잠금 장치를 생산하는 ACME Industries가 독점하고 있습니다. 전문가 분석에 따르면 코요테급 자물쇠는 매우 복잡한 가상의 기계에 의해서만 깨질 수 있으며, 이를 만드는 데 약 000년과 50달러의 투자가 필요합니다. 도시는 안전한가요?

아마도 그렇지 않을 것입니다. 결국에는 상당히 야심찬 범죄자가 나타날 것입니다. 그는 이렇게 추론할 것입니다. “예, 초기 비용이 많이 들겠습니다. 50년간의 환자 대기 시간과 $000. 하지만 완료되면 다음 서비스를 이용할 수 있습니다. 이 도시의 모든 부를. 내가 카드를 올바르게 사용한다면 이 투자는 그 자체로 여러 배의 가치를 얻을 것입니다.”

암호화에서도 마찬가지입니다. 특정 암호에 대한 공격은 무자비한 비용 편익 분석의 대상이 됩니다. 비율이 좋으면 공격이 발생하지 않습니다. 그러나 한 번에 많은 잠재적 피해자를 대상으로 하는 공격은 거의 항상 성과를 거두며, 이 경우 가장 좋은 설계 방법은 공격이 첫날부터 시작되었다고 가정하는 것입니다. 우리는 본질적으로 머피의 법칙(Murphy's Law)의 암호화 버전을 가지고 있습니다. "실제로 시스템을 깨뜨릴 수 있는 것은 무엇이든 시스템을 깨뜨릴 것입니다."

사전 계산 공격에 취약한 암호화 시스템의 가장 간단한 예는 상수 키 없는 암호화입니다. 이런 경우가 있었습니다 카이사르의 암호, 이는 단순히 알파벳의 각 문자를 세 글자 앞으로 이동합니다(테이블이 반복되므로 알파벳의 마지막 문자가 세 번째로 암호화됩니다). 여기서 다시 Kerchhoff의 원칙이 적용됩니다. 즉, 시스템이 한번 해킹되면 영원히 해킹됩니다.

개념은 간단합니다. 초보 암호화 시스템 개발자라도 위협을 인식하고 그에 따라 준비할 가능성이 높습니다. 암호화의 진화를 살펴보면 이러한 공격은 최초의 개선된 Caesar 암호 버전부터 다중 알파벳 암호가 쇠퇴할 때까지 대부분의 암호에 부적절했습니다. 이러한 공격은 현대 암호화 시대의 도래와 함께 다시 나타났습니다.

이 수익은 두 가지 요인에 기인합니다. 첫째, 해킹 후 악용 가능성이 분명하지 않은 충분히 복잡한 암호 시스템이 마침내 등장했습니다. 둘째, 암호화가 널리 보급되어 수백만 명의 일반 사람들이 암호화의 어느 부분을 재사용할지 매일 결정했습니다. 전문가들이 위험을 깨닫고 경보를 울리기까지는 시간이 좀 걸렸습니다.

사전 계산 공격을 기억하세요. 기사 마지막 부분에서 이것이 중요한 역할을 한 두 가지 실제 암호화 사례를 살펴볼 것입니다.

보간

여기 불운한 왓슨 박사에게 보간 공격을 수행하는 유명한 탐정 셜록 홈즈가 있습니다:

나는 즉시 당신이 아프가니스탄에서 왔음을 짐작했습니다. 내 생각의 흐름은 다음과 같습니다. “이 사람은 유형별로 의사이지만 군사적 태도를 가지고 있습니다. 그래서 군 의사. 그는 열대 지방에서 막 도착했습니다. 그의 얼굴은 어둡지만 손목이 훨씬 더 하얗기 때문에 이것은 그의 피부의 자연스러운 그늘이 아닙니다. 얼굴이 초췌합니다. 분명히 그는 많은 고통을 겪었고 질병으로 고통 받았습니다. 그는 왼손에 부상을 입었습니다. 그는 왼손을 움직이지 않고 약간 부자연스럽게 잡고 있습니다. 영국 군의관이 고난을 견디고 부상을 입을 수 있는 열대 지방의 어디일까요? 물론 아프가니스탄에서도요." 전체 생각의 흐름은 XNUMX초도 걸리지 않았습니다. 그래서 아프가니스탄에서 왔다고 했더니 깜짝 놀랐어요.

홈즈는 각 증거에서 개별적으로 거의 정보를 추출할 수 없었습니다. 그는 그것들을 모두 함께 고려해야만 결론에 도달할 수 있었습니다. 보간 공격은 동일한 키로 인해 알려진 일반 텍스트와 암호문 쌍을 검사하여 유사하게 작동합니다. 각 쌍에서 도출할 키에 대한 일반적인 결론을 내릴 수 있는 개별 관찰이 추출됩니다. 이 모든 결론은 갑자기 임계 질량에 도달하여 유일하게 가능한 결론에 도달할 때까지 모호하고 쓸모없어 보입니다. 아무리 믿을 수 없더라도 그것은 사실이어야 합니다. 그 후에는 키가 공개되거나, 암호 해독 프로세스가 정교해져 복제가 가능해집니다.

보간이 어떻게 작동하는지 간단한 예를 통해 설명해 보겠습니다. 우리의 적 Bob의 개인 일기를 읽고 싶다고 가정해 보겠습니다. 그는 잡지 "A Mock of Cryptography"의 광고에서 배운 간단한 암호 시스템을 사용하여 일기의 모든 숫자를 암호화합니다. 시스템은 다음과 같이 작동합니다. Bob은 자신이 좋아하는 두 개의 숫자를 선택합니다. и . 이제부터 어떤 번호든 암호화하려면 , 계산한다 . 예를 들어 Bob이 선택한 경우 и , 그 다음 숫자 다음과 같이 암호화됩니다. .

28월 XNUMX일에 Bob이 일기장에 뭔가를 긁고 있는 것을 발견했다고 가정해 보겠습니다. 그가 작업을 마치면 조용히 집어 들고 마지막 항목을 살펴보겠습니다.

Дата : 235/520

일기장에게,

오늘은 좋은 날이었다. 을 통해 64 오늘은 아파트에 사는 알리사와 데이트가 있어요 843. 내 생각엔 그녀가 정말 그럴 수도 있을 것 같아 26!

우리는 Bob의 데이트에 매우 진지하게 관심을 갖고 있기 때문에(이 시나리오에서는 우리 둘 다 15세입니다), Alice의 주소뿐만 아니라 날짜를 아는 것이 중요합니다. 다행스럽게도 Bob의 암호화 시스템은 보간 공격에 취약하다는 것을 알 수 있습니다. 우리는 모를 수도 있다 и , 하지만 오늘 날짜를 알고 있으므로 두 개의 일반 텍스트-암호문 쌍이 있습니다. 즉, 우리는 그것을 알고 있습니다 암호화됨 과 -에 . 이것이 우리가 기록할 내용입니다:

우리는 15살이기 때문에 이미 두 개의 미지수가 있는 두 방정식의 시스템에 대해 알고 있습니다. 이 상황에서는 이를 찾는 데 충분합니다. и 아무 문제 없이. 각 일반 텍스트-암호문 쌍은 Bob의 키에 제약 조건을 적용하고 두 제약 조건을 함께 사용하면 키를 완전히 복구할 수 있습니다. 우리의 예에서 대답은 다음과 같습니다 и (에서 너무 26 일기에서 'the one', 즉 "같은 것"이라는 단어에 해당합니다. 레인).

물론 보간 공격은 이러한 간단한 예에만 국한되지 않습니다. 잘 이해된 수학적 객체와 매개변수 목록으로 축소되는 모든 암호화 시스템은 보간 공격의 위험이 있습니다. 객체를 이해하기 쉬울수록 위험은 더 높아집니다.

신규 이민자들은 종종 암호화가 "가능한 한 추악하게 디자인하는 기술"이라고 불평합니다. 보간 공격은 아마도 대부분의 책임이 있을 것입니다. Bob은 우아한 수학적 설계를 사용하거나 Alice와의 데이트를 비공개로 유지할 수 있습니다. 하지만 아쉽게도 일반적으로 두 가지 방법을 모두 사용할 수는 없습니다. 공개 키 암호화라는 주제를 다루게 되면 이는 매우 명확해질 것입니다.

크로스 프로토콜/다운그레이드

Now You See Me(2013)에서는 환상주의자 그룹이 부패한 보험계의 거물인 Arthur Tressler의 전 재산을 사취하려고 시도합니다. Arthur의 은행 계좌에 접근하려면 마술사는 그의 사용자 이름과 비밀번호를 제공하거나 그를 은행에 직접 나타나서 계획에 참여하도록 강요해야 합니다.

두 가지 옵션 모두 매우 어렵습니다. 그들은 무대에서 공연하는 데 익숙하고 정보 작전에는 참여하지 않습니다. 그래서 그들은 세 번째 가능한 옵션을 선택합니다. 공범이 은행에 전화를 걸어 Arthur인 척합니다. 은행에서는 신원을 확인하기 위해 삼촌의 이름, 첫 번째 애완동물의 이름 등 몇 가지 질문을 합니다. 우리 영웅들은 미리 그들은 영리한 사회 공학을 사용하여 Arthur로부터 이 정보를 쉽게 추출합니다.. 이 시점부터 뛰어난 비밀번호 보안은 더 이상 중요하지 않습니다.

(우리가 직접 확인하고 검증한 도시 전설에 따르면, 암호 해독가 Eli Beaham은 보안 질문 설정을 고집하는 은행원을 만난 적이 있습니다. 창구원이 외할머니의 이름을 묻자 Beaham은 다음과 같이 말하기 시작했습니다. “Capital X, 작은 y, XNUMX...").

동일한 자산을 보호하기 위해 두 개의 암호화 프로토콜이 병렬로 사용되고 하나가 다른 것보다 훨씬 약한 경우 암호화에서도 마찬가지입니다. 결과 시스템은 더 강한 프로토콜을 건드리지 않고 상금을 얻기 위해 더 약한 프로토콜이 공격되는 교차 프로토콜 공격에 취약해집니다.

일부 복잡한 경우에는 약한 프로토콜을 사용하여 단순히 서버에 접속하는 것만으로는 충분하지 않으며 합법적인 클라이언트의 비자발적인 참여가 필요합니다. 이는 소위 다운그레이드 공격을 사용하여 구성할 수 있습니다. 이 공격을 이해하기 위해 환상주의자들이 영화에서보다 더 어려운 작업을 수행한다고 가정해 보겠습니다. 은행 직원(계산원)과 Arthur가 예상치 못한 상황에 직면하여 다음과 같은 대화가 발생했다고 가정해 보겠습니다.

강도: 안녕하세요? 아서 트레슬러입니다. 비밀번호를 재설정하고 싶습니다.

출납원: 엄청난. 귀하의 개인 비밀 코드북 28페이지, 단어 3을 살펴보십시오. 이후의 모든 메시지는 이 특정 단어를 키로 사용하여 암호화됩니다. PQJGH. LOTJNAM PGGY MXVRL ZZLQ SRIU HHNMLPPPV…

강도: 이봐, 잠깐, 잠깐만. 이것이 정말로 필요한가? 그냥 보통 사람들처럼 얘기하면 안 되나요?

출납원: 나는 이것을 권장하지 않습니다.

강도: 난 그냥... 봐봐, 나 오늘 형편없는 하루를 보냈어, 알았지? 저는 VIP 고객이고 이 멍청한 코드북을 뒤져볼 기분이 아닙니다.

출납원: 괜찮은. 고집하신다면, 트레슬러 씨. 당신은 무엇을 원하세요?

강도: 제발, 저는 Arthur Tressler 국립 피해자 기금에 제 모든 돈을 기부하고 싶습니다.

(정지시키다).

출납원: 이제 분명합니까? 대규모 거래의 경우 PIN을 제공하세요.

강도: 내 뭐?

출납원: 귀하의 개인적인 요청에 따라 이 규모의 거래에는 대규모 거래의 경우 PIN이 필요합니다. 이 코드는 귀하가 계좌를 개설할 때 제공되었습니다.

강도:... 잃어버렸어요. 이것이 정말로 필요한가? 그냥 거래를 승인할 수는 없나요?

출납원: 아니요. 죄송해요, 트레슬러 씨. 이번에도 요청하신 보안 조치입니다. 원하시면 귀하의 사서함으로 새 PIN 코드를 보내드릴 수 있습니다.

우리 영웅들은 작전을 연기합니다. 그들은 PIN을 듣기 위해 Tressler의 여러 대규모 거래를 도청합니다. 하지만 흥미로운 말이 나오기 전에 대화가 암호화된 횡설수설로 바뀔 때마다. 마침내 어느 좋은 날, 그 계획이 실행에 옮겨졌습니다. 그들은 Tressler가 전화로 큰 거래를 해야 하는 순간을 참을성 있게 기다리고 있습니다. Tressler가 전화를 걸고 나서...

트레슬러: 안녕하세요. 원격 거래를 완료하고 싶습니다.

출납원: 엄청난. 당신의 개인 비밀 코드북, 페이지를 살펴보세요...

(도둑이 버튼을 누르면 계산원의 목소리가 알아들을 수 없는 소음으로 변합니다.)

출납원: - #@$#@$#*@$$@#* 이 단어를 키로 하여 암호화됩니다. AAAYRR PLRQRZ MMNJK LOJBAN…

트레슬러: 죄송합니다. 잘 이해하지 못했습니다. 다시? 어떤 페이지에서요? 무슨 단어?

출납원: @#$@#*$)#*#@()#@$(#@*$(#@*.

트레슬러: 뭐라구?

출납원: 단어 번호 XNUMX @$#@$#%#$.

트레슬러: 진지하게! 벌써 충분해요! 당신과 당신의 보안 프로토콜은 일종의 서커스입니다. 나는 당신이 나에게 평소대로 이야기 할 수 있다는 것을 알고 있습니다.

출납원: 나는 추천하지 않는다…

트레슬러: 그리고 나는 당신에게 시간을 낭비하라고 조언하지 않습니다. 나는 당신의 전화선 문제를 해결할 때까지 이 문제에 대해 더 이상 듣고 싶지 않습니다. 이 거래를 마무리할 수 있을까요?

출납원:… 예. 괜찮은. 당신은 무엇을 원하세요?

트레슬러: $20를 Lord Business Investments 계좌번호로 이체하고 싶습니다...

출납원: 일 분만 요. 큰일이다. 대규모 거래의 경우 PIN을 제공하세요.

트레슬러: 무엇? 아, 바로 그거야. 1234.

다음은 하향 공격입니다. 더 약한 프로토콜 "그냥 직접 말하기"는 다음과 같이 구상되었습니다. 옵션 긴급 상황시. 하지만 우리는 여기에 있습니다.

위에서 설명한 것과 같은 실제 "다른 요청이 있을 때까지 안전한" 시스템을 누가 올바른 마음으로 설계할지 궁금할 것입니다. 그러나 가상의 은행이 암호화를 좋아하지 않는 고객을 유지하기 위해 위험을 감수하는 것처럼 일반적으로 시스템은 보안에 무관심하거나 심지어 완전히 적대적인 요구 사항에 끌리는 경우가 많습니다.

이것이 바로 2년 SSLv1995 프로토콜에서 일어난 일입니다. 미국 정부는 오랫동안 암호화를 외국 및 국내의 적으로부터 멀리하는 것이 가장 좋은 무기로 간주하기 시작했습니다. 코드 조각은 미국으로부터의 수출이 개별적으로 승인되었으며, 종종 알고리즘이 의도적으로 약화되었다는 조건이 있었습니다. 가장 널리 사용되는 브라우저인 Netscape Navigator의 개발자인 Netscape에는 본질적으로 취약한 2비트 RSA 키(및 RC512의 경우 40비트)를 사용하는 SSLv4에 대한 권한이 부여되었습니다.

XNUMX년대 말에는 규칙이 완화되었고 최신 암호화에 대한 액세스가 널리 보급되었습니다. 그러나 클라이언트와 서버는 레거시 시스템에 대한 지원을 유지하는 것과 동일한 관성으로 인해 수년간 약한 "내보내기" 암호화를 지원해 왔습니다. 클라이언트는 다른 어떤 것도 지원하지 않는 서버를 만날 수 있다고 믿었습니다. 서버도 마찬가지였습니다. 물론, SSL 프로토콜은 더 나은 프로토콜이 있을 때 클라이언트와 서버가 약한 프로토콜을 사용해서는 안 된다고 규정합니다. 그러나 Tressler와 그의 은행에도 동일한 전제가 적용되었습니다.

이 이론은 2015년 SSL 프로토콜의 보안을 뒤흔든 세간의 이목을 끄는 두 가지 공격으로 이어졌습니다. 두 공격 모두 Microsoft 연구원과 인리아. 먼저, FREAK 공격에 대한 세부 사항이 XNUMX월에 공개되었고, XNUMX개월 후에는 Logjam이라는 또 다른 유사한 공격이 공개 키 암호화에 대한 공격으로 넘어갈 때 더 자세히 논의할 것입니다.

취약점 FREAK ("Smack TLS"라고도 함)은 연구원들이 TLS 클라이언트/서버 구현을 분석하고 흥미로운 버그를 발견했을 때 밝혀졌습니다. 이러한 구현에서 클라이언트가 약한 내보내기 암호화를 사용하도록 요청하지 않았는데도 서버가 여전히 해당 키로 응답하는 경우 클라이언트는 "아 그렇군요"라고 말하고 약한 암호화 제품군으로 전환합니다.

당시 수출 암호화는 구식이고 금지된 것으로 널리 간주되었으므로 이 공격은 완전한 충격으로 다가왔고 백악관, IRS 및 NSA 사이트를 포함한 많은 중요한 도메인에 영향을 미쳤습니다. 더 나쁜 것은 많은 취약한 서버가 각 세션마다 새 키를 생성하는 대신 동일한 키를 재사용하여 성능을 최적화하고 있다는 사실입니다. 이로 인해 프로토콜을 다운그레이드한 후 사전 계산 공격을 수행할 수 있게 되었습니다. 하나의 키를 크래킹하는 데는 상대적으로 비용이 많이 들었지만(공개 당시 100달러 및 12시간 소요) 연결을 공격하는 실제 비용은 크게 줄었습니다. 서버 키를 한 번 선택하고 그 순간부터 모든 후속 연결에 대한 암호화를 해독하는 것으로 충분합니다.

계속 진행하기 전에 언급해야 할 고급 공격이 하나 있습니다.

오라클 공격

목시 말린스파이크 크로스 플랫폼 암호화 메시징 앱 Signal의 아버지로 가장 잘 알려져 있습니다. 하지만 우리는 개인적으로 그의 덜 알려진 혁신 중 하나를 좋아합니다. 암호학적 파멸의 원리 (암호화 파멸 원칙). 약간 바꿔 말하면 다음과 같이 말할 수 있습니다. “프로토콜이 수행된다면 어떤 잠재적으로 악의적인 소스에서 보낸 메시지에 대해 암호화 작업을 수행하고 결과에 따라 다르게 동작하면 운명이 결정됩니다." 또는 더 날카로운 형태로: "처리를 위해 적으로부터 정보를 가져오지 마십시오. 필요한 경우 최소한 결과를 표시하지 마십시오."

버퍼 오버플로, 명령 주입 등은 제쳐두겠습니다. 그것들은 이 논의의 범위를 벗어납니다. "파멸의 원칙"을 위반하면 프로토콜이 예상대로 정확하게 작동한다는 사실로 인해 심각한 암호화 해킹이 발생합니다.

예를 들어, 취약한 대체 암호를 사용하는 가상의 설계를 취하고 가능한 공격을 시연해 보겠습니다. 주파수 분석을 사용하여 대체 암호에 대한 공격을 이미 살펴봤지만 이는 단순히 "동일한 암호를 해독하는 또 다른 방법"이 아닙니다. 반대로, 오라클 공격은 훨씬 더 현대적인 발명품으로 빈도 분석이 실패하는 많은 상황에 적용 가능하며 다음 섹션에서 이에 대한 데모를 살펴보겠습니다. 여기서는 예제를 더 명확하게 하기 위해 간단한 암호를 선택했습니다.

따라서 Alice와 Bob은 그들에게만 알려진 키를 사용하는 간단한 대체 암호를 사용하여 통신합니다. 그들은 메시지 길이에 대해 매우 엄격합니다. 길이는 정확히 20자입니다. 그래서 그들은 누군가가 더 짧은 메시지를 보내고 싶다면 메시지 끝에 더미 텍스트를 추가하여 정확히 20자로 만들어야 한다는 데 동의했습니다. 약간의 논의 끝에 그들은 다음과 같은 더미 텍스트만 허용하기로 결정했습니다. a, bb, ccc, dddd 등. 따라서 필요한 길이의 더미 텍스트가 알려져 있습니다.

Alice나 Bob은 메시지를 받으면 먼저 메시지의 길이(20자)가 올바른지, 접미사가 올바른 더미 텍스트인지 확인합니다. 그렇지 않은 경우 적절한 오류 메시지로 응답합니다. 텍스트 길이와 더미 텍스트가 정상이면 수신자는 메시지 자체를 읽고 암호화된 응답을 보냅니다.

공격 중에 공격자는 Bob으로 가장하여 Alice에게 가짜 메시지를 보냅니다. 메시지는 완전히 넌센스입니다. 공격자는 키를 갖고 있지 않으므로 의미 있는 메시지를 위조할 수 없습니다. 그러나 프로토콜이 파멸의 원칙을 위반하기 때문에 공격자는 아래와 같이 Alice가 주요 정보를 공개하도록 함정에 빠뜨릴 수 있습니다.

강도: PREWF ZHJKL MMMN. LA

앨리스 : 잘못된 더미 텍스트입니다.

강도: PREWF ZHJKL MMMN. LB

앨리스 : 잘못된 더미 텍스트입니다.

강도: PREWF ZHJKL MMMN. LC

앨리스 : ILCT? TLCT RUWO PUT KCAW CPS OWPOW!

도둑은 앨리스가 방금 무슨 말을 했는지 전혀 모르지만 그 상징이 무엇인지 알아차립니다. C 일치해야합니다 a, Alice가 더미 텍스트를 수락했기 때문입니다.

강도: REWF ZHJKL MMMN. LAA

앨리스 : 잘못된 더미 텍스트입니다.

강도: REWF ZHJKL MMMN. LBB

앨리스 : 잘못된 더미 텍스트입니다.

여러번의 시도 끝에..

강도: REWF ZHJKL MMMN. LGG

앨리스 : 잘못된 더미 텍스트입니다.

강도: REWF ZHJKL MMMN. LHH

앨리스 : TLQO JWCRO FQAW SUY LCR C OWQXYJW. IW PWWR TU TCFA CHUYT TLQO JWFCTQUPOLQZ.

다시 말하지만, 공격자는 Alice가 방금 말한 내용을 전혀 모르지만 Alice가 더미 텍스트를 수락했으므로 H가 b와 일치해야 한다는 점에 유의합니다.

공격자가 각 문자의 의미를 알 때까지 계속됩니다.

언뜻 보면 이 방법은 선택된 일반 텍스트 공격과 유사합니다. 결국 공격자는 암호문을 선택하고, 서버는 이를 순종적으로 처리하게 된다. 이러한 공격을 현실 세계에서 실행 가능하게 만드는 주요 차이점은 공격자가 실제 기록에 액세스할 필요가 없다는 것입니다. "잘못된 더미 텍스트"만큼 무해한 서버 응답이라도 충분합니다.

이 특정 공격은 유익하지만 "더미 텍스트" 체계의 세부 사항, 사용된 특정 암호화 시스템 또는 공격자가 보낸 메시지의 정확한 순서에 너무 집착하지 마십시오. 기본 아이디어는 Alice가 일반 텍스트의 속성에 따라 다르게 반응하는 방식이며, 해당 암호문이 실제로 신뢰할 수 있는 당사자로부터 온 것인지 확인하지 않고 그렇게 합니다. 따라서 Alice는 공격자가 자신의 답변에서 비밀 정보를 짜내도록 허용합니다.

이 시나리오에서는 변경할 수 있는 내용이 많이 있습니다. 앨리스가 반응하는 기호, 행동의 차이, 심지어 사용된 암호 시스템까지요. 그러나 원칙은 동일하게 유지되며 전체적으로 공격은 어떤 형태로든 실행 가능합니다. 이 공격의 기본 구현은 몇 가지 보안 버그를 발견하는 데 도움이 되었으며, 이에 대해서는 곧 살펴보겠습니다. 하지만 먼저 배워야 할 몇 가지 이론적 교훈이 있습니다. 실제 현대 암호에 작동할 수 있는 공격에서 이 가상의 "앨리스 스크립트"를 어떻게 사용합니까? 이것이 이론상으로도 가능할까요?

1998년 스위스 암호학자 Daniel Bleichenbacher는 이 질문에 긍정적으로 대답했습니다. 그는 특정 메시지 체계를 사용하여 널리 사용되는 공개 키 암호화 시스템 RSA에 대한 오라클 공격을 시연했습니다. 일부 RSA 구현에서 서버는 일반 텍스트가 구성표와 일치하는지 여부에 따라 다른 오류 메시지로 응답합니다. 이것은 공격을 수행하기에 충분했습니다.

2002년 후인 XNUMX년, 프랑스 암호학자 Serge Vaudenay는 위의 Alice 시나리오에서 설명한 것과 거의 동일한 오라클 공격을 시연했습니다. 단, 그는 가상의 암호 대신 사람들이 실제로 사용하는 존경할 만한 현대 암호 클래스 전체를 깨뜨렸습니다. 특히 Vaudenay의 공격은 소위 "CBC 암호화 모드"와 기본적으로 Alice 시나리오의 암호와 동일한 특정 인기 패딩 방식을 사용하는 고정된 입력 크기 암호("블록 암호")를 표적으로 삼습니다.

또한 2002년에는 미국의 암호학자 John Kelsey가 공동 저자였습니다. 투 피쉬 — 메시지를 압축한 다음 암호화하는 시스템에 대한 다양한 오라클 공격을 제안했습니다. 그 중 가장 주목할만한 공격은 암호문의 길이로부터 평문의 원래 길이를 유추하는 것이 가능한 경우가 많다는 점을 이용한 공격이었다. 이론적으로 이는 원본 일반 텍스트의 일부를 복구하는 오라클 공격을 허용합니다.

아래에서는 Vaudenay 및 Kelsey 공격에 대해 더 자세히 설명합니다(공개 키 암호화에 대한 공격으로 넘어갈 때 Bleichenbacher 공격에 대해 더 자세히 설명하겠습니다). 최선의 노력에도 불구하고 텍스트는 다소 기술적인 내용이 되었습니다. 위 내용으로 충분하다면 다음 두 섹션을 건너뛰세요.

보데네의 공격

Vaudenay 공격을 이해하려면 먼저 블록 암호 및 암호화 모드에 대해 좀 더 이야기해야 합니다. 앞서 언급한 것처럼 "블록 암호"는 특정 고정 길이("블록 길이")의 키와 입력을 가져와 동일한 길이의 암호화된 블록을 생성하는 암호입니다. 블록 암호는 널리 사용되며 상대적으로 안전한 것으로 간주됩니다. 최초의 현대 암호로 간주되는 이제 폐기된 DES는 블록 암호였습니다. 위에서 언급했듯이 오늘날 널리 사용되는 AES의 경우도 마찬가지입니다.

불행하게도 블록 암호에는 한 가지 눈에 띄는 약점이 있습니다. 일반적인 블록 크기는 128비트, 즉 16자입니다. 분명히 현대 암호화에는 더 큰 입력 데이터를 사용해야 하며, 여기서 암호화 모드가 사용됩니다. 암호화 모드는 본질적으로 해킹입니다. 이는 임의 길이의 입력에 대해 특정 크기의 입력만 허용하는 블록 암호를 어떻게든 적용하는 방법입니다.

Vodene의 공격은 널리 사용되는 CBC(Cipher Block Chaining) 작동 모드에 중점을 두고 있습니다. 공격은 기본 블록 암호를 난공불락의 마법 블랙박스로 취급하고 보안을 완전히 우회합니다.

다음은 CBC 모드의 작동 방식을 보여주는 다이어그램입니다.

원 안의 더하기 기호는 XOR(배타적 OR) 연산을 나타냅니다. 예를 들어, 암호문의 두 번째 블록이 수신됩니다.

1. 첫 번째 암호문 블록과 두 번째 일반 텍스트 블록에 XOR 연산을 수행합니다.
2. 키를 사용하여 블록 암호로 결과 블록을 암호화합니다.

CBC는 이진 XOR 연산을 많이 사용하므로 잠시 그 ​​속성 중 일부를 기억해 보겠습니다.

• 멱등성:
• 교환성:
• 연관성:
• 자기 가역성:
• 바이트 크기: 바이트 n = (바이트 n ) (바이트 n )

일반적으로 이러한 속성은 XOR 연산과 알 수 없는 방정식이 포함된 방정식이 있으면 풀 수 있음을 의미합니다. 예를 들어, 우리가 그것을 안다면 미지의 것과 유명하고 и , 그러면 위에서 언급한 속성을 사용하여 방정식을 풀 수 있습니다. . 방정식의 양쪽에 XOR을 적용하면 , 우리는 얻는다 . 이 모든 것은 잠시 후에 매우 관련성이 높아질 것입니다.

Alice 시나리오와 Vaudenay의 공격에는 두 가지 사소한 차이점과 한 가지 주요 차이점이 있습니다. 두 가지 사소한 것:

• 스크립트에서 Alice는 일반 텍스트가 문자로 끝나기를 기대했습니다. a, bb, ccc 등등. Wodene 공격에서 피해자는 대신 일반 텍스트가 N 바이트(즉, 01진수 02, 02 03, 03 03 XNUMX 등)로 N 번 끝나기를 기대합니다. 이는 순전히 외관상의 차이입니다.
• Alice 시나리오에서는 "잘못된 더미 텍스트"라는 응답으로 Alice가 메시지를 수락했는지 여부를 쉽게 알 수 있었습니다. Vodene의 공격에서는 더 많은 분석이 필요하며 피해자 측의 정확한 구현이 중요합니다. 그러나 간결함을 위해 이 분석이 여전히 가능하다는 점을 가정해 보겠습니다.

주요 차이점:

• 동일한 암호화 시스템을 사용하지 않기 때문에 공격자가 제어하는 ​​암호문 바이트와 비밀(키 및 일반 텍스트) 간의 관계는 분명히 다를 것입니다. 따라서 공격자는 암호문을 생성하고 서버 응답을 해석할 때 다른 전략을 사용해야 합니다.

이 주요 차이점은 Vaudenay 공격을 이해하기 위한 퍼즐의 마지막 조각이므로 먼저 CBC에 대한 오라클 공격이 왜, 어떻게 탑재될 수 있는지 잠시 생각해 보겠습니다.

247개 블록의 CBC 암호문이 주어졌고 이를 해독하려고 한다고 가정합니다. 이전에 Alice에게 가짜 메시지를 보낼 수 있었던 것처럼 서버에 가짜 메시지를 보낼 수 있습니다. 서버는 우리를 위해 메시지를 해독하지만 해독 내용을 표시하지는 않습니다. 대신 Alice의 경우와 마찬가지로 서버는 일반 텍스트에 유효한 패딩이 있는지 여부라는 단 한 비트의 정보만 보고합니다.

Alice의 시나리오에서 다음과 같은 관계가 있었다고 생각해 보세요.

$$display$$text{SIMPLE_SUBSTITUTION}(text{ciphertext},text{key}) = 텍스트{plaintext}$$display$$

이것을 "앨리스의 방정식"이라고 부르자. 우리는 암호문을 통제했습니다. 서버(Alice)가 수신된 일반 텍스트에 대한 모호한 정보를 유출했습니다. 이를 통해 우리는 마지막 요소인 키에 대한 정보를 추론할 수 있었습니다. 비유하자면, CBC 스크립트에 대한 그러한 연결을 찾을 수 있다면 거기에서도 일부 비밀 정보를 추출할 수 있을 것입니다.

다행히도 우리가 사용할 수 있는 관계가 실제로 있습니다. 블록 암호를 해독하기 위한 최종 호출의 출력을 고려하고 이 출력을 다음과 같이 표시합니다. . 우리는 또한 일반 텍스트 블록을 나타냅니다. 및 암호문 블록 . CBC 다이어그램을 다시 살펴보고 무슨 일이 일어나는지 확인하세요.

이것을 "CBC 방정식"이라고 부르겠습니다.

Alice의 시나리오에서는 암호문을 모니터링하고 해당 일반 텍스트 유출을 관찰함으로써 방정식의 세 번째 항인 키를 복구하는 공격을 감행할 수 있었습니다. CBC 시나리오에서는 암호문을 모니터링하고 해당 일반 텍스트에서 정보 유출도 관찰합니다. 비유가 성립한다면, 우리는 다음에 관한 정보를 얻을 수 있습니다. .

우리가 정말로 복원했다고 가정 해 봅시다 , 그럼 어쩌지? 그러면 우리는 일반 텍스트의 마지막 블록 전체를 한 번에 인쇄할 수 있습니다() 간단히 입력하면 (우리가 가지고 있는) 그리고
받았다 CBC 방정식에 대입해 보세요.

이제 전반적인 공격 계획이 낙관적이므로 세부 사항을 검토할 차례입니다. 서버에서 일반 텍스트 정보가 정확히 어떻게 유출되는지 주의 깊게 살펴보시기 바랍니다. Alice의 스크립트에서는 $inline$text{SIMPLE_SUBSTITUTION}(text{ciphertext},text{key})$inline$이 다음 줄로 끝나는 경우에만 Alice가 올바른 메시지로 응답하기 때문에 유출이 발생했습니다. a (또는 bb등이 있지만 이러한 조건이 우연히 촉발될 가능성은 매우 적습니다. CBC와 마찬가지로 서버는 다음과 같은 경우에만 패딩을 허용합니다. XNUMX진수로 끝남 01. 그럼 동일한 방법을 시도해 보겠습니다. 즉, 자체 가짜 값을 사용하여 가짜 암호문을 보내는 것입니다. 서버가 채우기를 수락할 때까지.

서버가 가짜 메시지 중 하나에 대한 패딩을 수락한다는 것은 다음을 의미합니다.

이제 바이트-바이트 XOR 속성을 사용합니다.

우리는 첫 번째와 세 번째 용어를 알고 있습니다. 그리고 우리는 이것이 남은 항, 즉 마지막 바이트를 복구할 수 있다는 것을 이미 보았습니다. :

이는 또한 CBC 방정식과 바이트별 속성을 통해 최종 일반 텍스트 블록의 마지막 바이트를 제공합니다.

우리는 그것을 그대로 두고 이론적으로 강력한 암호에 대한 공격을 수행했다는 사실에 만족할 수 있습니다. 그러나 실제로 우리는 훨씬 더 많은 일을 할 수 있습니다. 실제로 모든 텍스트를 복구할 수 있습니다. 이를 위해서는 Alice의 원래 스크립트에는 없었고 oracle 공격에는 필요하지 않은 트릭이 필요하지만 여전히 배울 가치가 있습니다.

이를 이해하려면 먼저 마지막 바이트의 올바른 값을 출력한 결과는 다음과 같습니다. 우리에게는 새로운 능력이 생겼습니다. 이제 암호문을 위조할 때 해당 평문의 마지막 바이트를 조작할 수 있습니다. 다시 말하지만 이는 CBC 방정식 및 바이트별 속성과 관련이 있습니다.

이제 두 번째 용어를 알았으므로 첫 번째 용어에 대한 제어를 사용하여 세 번째 용어를 제어할 수 있습니다. 우리는 간단히 다음과 같이 계산합니다.

이전에는 아직 마지막 바이트가 없었기 때문에 이 작업을 수행할 수 없었습니다. .

이것이 우리에게 어떻게 도움이 될까요? 이제 해당 일반 텍스트에서 마지막 바이트가 다음과 같도록 모든 암호문을 생성한다고 가정합니다. 02. 이제 서버는 일반 텍스트가 다음으로 끝나는 경우에만 패딩을 허용합니다. 02 02. 마지막 바이트를 수정했으므로 이는 일반 텍스트의 끝에서 두 번째 바이트도 02인 경우에만 발생합니다. 서버가 그 중 하나에 대한 패딩을 수락할 때까지 끝에서 두 번째 바이트를 변경하면서 가짜 암호문 블록을 계속 보냅니다. 이 시점에서 우리는 다음을 얻습니다:

그리고 우리는 두 번째 바이트를 복원합니다 마지막 복원된 것처럼요. 우리는 같은 정신으로 계속합니다. 일반 텍스트의 마지막 XNUMX바이트를 다음과 같이 수정합니다. 03 03, 우리는 끝에서 세 번째 바이트에 대해 이 공격을 반복하고 궁극적으로 완전히 복원합니다. .

나머지 텍스트는 어떻습니까? 값이 있으니 참고해주세요 실제로는 $inline$text{BLOCK_DECRYPT}(text{key},C_{247})$inline$입니다. 대신 다른 블록을 넣을 수 있습니다 , 공격은 여전히 ​​성공할 것입니다. 실제로 모든 데이터에 대해 $inline$text{BLOCK_DECRYPT}$inline$을 수행하도록 서버에 요청할 수 있습니다. 이 시점에서 게임은 끝났습니다. 모든 암호문을 해독할 수 있습니다(이를 보려면 CBC 해독 다이어그램을 다시 살펴보세요. IV는 공개되어 있습니다).

이 특정 방법은 나중에 접하게 될 오라클 공격에서 중요한 역할을 합니다.

켈시의 공격

우리와 마음이 잘 맞는 John Kelsey는 특정 암호에 대한 특정 공격의 세부 사항뿐만 아니라 가능한 많은 공격의 기본 원칙을 제시했습니다. 그의 올해의 2002 기사 암호화된 압축 데이터에 대한 가능한 공격에 대한 연구입니다. 데이터가 암호화되기 전에 압축된 정보로는 공격을 수행하기에 충분하지 않다고 생각하셨나요? 그것으로 충분하다는 것이 밝혀졌습니다.

이 놀라운 결과는 두 가지 원리에 기인합니다. 첫째, 평문의 길이와 암호문의 길이 사이에는 강한 상관관계가 있습니다. 많은 암호의 경우 정확히 동일합니다. 둘째, 압축이 수행되면 압축된 메시지의 길이와 일반 텍스트의 "노이즈" 정도, 즉 반복되지 않는 문자의 비율 사이에도 강한 상관관계가 있습니다(기술 용어는 "높은 엔트로피"입니다). ).

실제 원리를 보려면 두 가지 일반 텍스트를 고려하십시오.

일반 텍스트 1: AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA

일반 텍스트 2: ATVXCAGTRSVPTVVULSJQHGEYCMQPCRQBGCYIXCFJGJ

두 일반 텍스트가 모두 압축된 다음 암호화되었다고 가정해 보겠습니다. 두 개의 결과 암호문을 얻고 어떤 암호문이 어떤 일반 텍스트와 일치하는지 추측해야 합니다.

암호문 1: PVOVEYBPJDPVANEAWVGCIUWAABCIYIKOOURMYDTA

암호문 2: DWKJZXYU

대답은 분명합니다. 평문 중에서 평문 1만이 두 번째 암호문의 빈약한 길이로 압축될 수 있었습니다. 우리는 압축 알고리즘, 암호화 키, 심지어 암호 자체에 대해 전혀 알지 못한 채 이를 알아냈습니다. 가능한 암호화 공격의 계층 구조와 비교하면 이는 일종의 미친 짓입니다.

Kelsey는 또한 특별한 상황에서 이 원칙이 오라클 공격을 수행하는 데 사용될 수도 있다고 지적합니다. 특히, 공격자가 서버가 양식 데이터(일반 텍스트 뒤에 오는 일반 텍스트)를 암호화하도록 강제할 수 있는 경우 공격자가 비밀 일반 텍스트를 복구할 수 있는 방법을 설명합니다. 그 사람이 통제하는 동안 암호화된 결과의 길이를 어떻게든 확인할 수 있습니다.

다시 말하지만, 다른 오라클 공격과 마찬가지로 다음과 같은 관계가 있습니다.

다시 한 번, 우리는 하나의 항(), 다른 구성원(암호문)에 대한 약간의 정보 누출을 확인하고 마지막 정보(일반 텍스트)를 복구하려고 시도합니다. 비유에도 불구하고 이는 우리가 본 다른 오라클 공격에 비해 다소 특이한 상황입니다.

이러한 공격이 어떻게 작동하는지 설명하기 위해 방금 생각해낸 가상의 압축 방식인 TOYZIP을 사용해 보겠습니다. 이전에 텍스트에 나타난 텍스트 줄을 찾아 해당 줄의 이전 인스턴스를 찾을 수 있는 위치와 해당 줄에 나타나는 횟수를 나타내는 XNUMX개의 자리 표시자 바이트로 바꿉니다. 예를 들어, 라인 helloworldhello 으로 압축할 수 있다 helloworld[00][00][05] 원래 13바이트에 비해 길이가 15바이트입니다.

공격자가 양식의 일반 텍스트를 복구하려고 시도한다고 가정해 보겠습니다. password=..., 비밀번호 자체를 알 수 없습니다. Kelsey의 공격 모델에 따르면 공격자는 서버에 양식 메시지를 압축한 다음 암호화하도록 요청할 수 있습니다(일반 텍스트 다음에 ), 어디서  - 무료 문자. 서버가 작업을 마치면 결과의 길이를 보고합니다. 공격은 다음과 같이 진행됩니다.

강도: 패딩 없이 일반 텍스트를 압축하고 암호화하세요.

섬기는 사람: 결과 길이 14.

강도: 첨부된 일반 텍스트를 압축하고 암호화하십시오. password=a.

섬기는 사람: 결과 길이 18.

크래커 메모: [원본 14] + [교체된 XNUMX바이트 password=] + a

강도: 추가된 일반 텍스트를 압축하고 암호화하십시오. password=b.

섬기는 사람: 결과 길이 18.

강도: 추가된 일반 텍스트를 압축하고 암호화하십시오. password=с.

섬기는 사람: 결과 길이 17.

크래커 메모: [원본 14] + [교체된 XNUMX바이트 password=c]. 이는 원본 일반 텍스트에 문자열이 포함되어 있다고 가정합니다. password=c. 즉, 비밀번호는 문자로 시작됩니다. c

강도: 추가된 일반 텍스트를 압축하고 암호화하십시오. password=сa.

섬기는 사람: 결과 길이 18.

크래커 메모: [원본 14] + [교체된 XNUMX바이트 password=с] + a

강도: 추가된 일반 텍스트를 압축하고 암호화하십시오. password=сb.

섬기는 사람: 결과 길이 18.

(…얼마 후…)

강도: 추가된 일반 텍스트를 압축하고 암호화하십시오. password=со.

섬기는 사람: 결과 길이 17.

크래커 메모: [원본 14] + [교체된 XNUMX바이트 password=co]. 동일한 논리를 사용하여 공격자는 비밀번호가 문자로 시작한다고 결론을 내립니다. co

전체 비밀번호가 복원될 때까지 계속됩니다.

독자는 이것이 순전히 학술적인 연습이고 그러한 공격 시나리오는 현실 세계에서는 결코 발생하지 않을 것이라고 생각하는 것을 용서할 것입니다. 아쉽게도 곧 알게 되겠지만 암호화를 포기하지 않는 것이 좋습니다.

브랜드 취약점: CRIME, POODLE, DROWN

마지막으로 이론을 자세히 연구한 후 이러한 기법이 실제 암호화 공격에 어떻게 적용되는지 확인할 수 있습니다.

범죄

공격이 피해자의 브라우저와 네트워크를 겨냥한다면 어떤 것은 더 쉬울 것이고 어떤 것은 더 어려울 것입니다. 예를 들어, 피해자의 교통 상황을 쉽게 확인할 수 있습니다. Wi-Fi가 제공되는 같은 카페에 피해자와 함께 앉아 있기만 하면 됩니다. 이러한 이유로 잠재적 피해자(예: 모든 사람)는 일반적으로 암호화된 연결을 사용하는 것이 좋습니다. 피해자를 대신하여 일부 제XNUMX자 사이트(예: Google)에 HTTP 요청을 보내는 것이 더 어렵지만 여전히 가능합니다. 공격자는 요청을 하는 스크립트를 사용하여 피해자를 악의적인 웹 페이지로 유인해야 합니다. 웹 브라우저는 자동으로 해당 세션 쿠키를 제공합니다.

정말 놀라운 것 같습니다. 밥이 갔더라면 evil.com, 이 사이트의 스크립트가 Google에 Bob의 비밀번호를 다음 주소로 이메일로 보내도록 요청할 수 있나요? [email protected]? 음, 이론적으로는 그렇습니다. 그러나 실제로는 그렇지 않습니다. 이 시나리오를 교차 사이트 요청 위조 공격(Cross-Site Request Forgery Attack,사이트 간 요청 위조, CSRF)이며 90년대 중반쯤에 인기를 끌었습니다. 오늘 만약에 evil.com 이 트릭을 시도하면 Google(또는 자존심이 강한 웹사이트)은 일반적으로 "좋습니다. 하지만 이 거래에 대한 CSRF 토큰은... 음... три триллиона и семь. 이 번호를 반복해 주세요." 최신 브라우저에는 A 사이트의 스크립트가 B 웹 사이트에서 보낸 정보에 액세스할 수 없는 "동일 출처 정책"이라는 것이 있습니다. evil.com 요청을 보낼 수 있습니다 google.com, 그러나 응답을 읽거나 실제로 트랜잭션을 완료할 수는 없습니다.

Bob이 암호화된 연결을 사용하지 않는 한 이러한 모든 보호는 의미가 없다는 점을 강조해야 합니다. 공격자는 간단히 Bob의 트래픽을 읽고 Google의 세션 쿠키를 복구할 수 있습니다. 이 쿠키를 사용하면 그는 자신의 브라우저를 떠나지 않고 새 Google 탭을 열 수 있으며 성가신 동일 출처 정책을 겪지 않고 Bob을 가장할 수 있습니다. 그러나 불행하게도 강도의 경우 이러한 일이 점점 줄어들고 있습니다. 인터넷 전체는 오랫동안 암호화되지 않은 연결에 대한 전쟁을 선포해 왔으며 Bob이 좋아하든 원하지 않든 간에 그의 발신 트래픽은 아마도 암호화되어 있을 것입니다. 또한 프로토콜 구현 초기부터 트래픽도 발생했습니다. 수축하다 암호화 전; 이는 대기 시간을 줄이기 위한 일반적인 관행이었습니다.

이것이 바로 시작되는 곳입니다 범죄 (Compression Ratio Infoleak Made Easy, 압축비를 통한 간단한 누출). 이 취약점은 보안 연구원 Juliano Rizzo와 Thai Duong에 의해 2012년 XNUMX월에 공개되었습니다. 우리는 이미 전체 이론적 기초를 조사하여 그들이 무엇을 어떻게 했는지 이해할 수 있게 되었습니다. 공격자는 Bob의 브라우저가 Google에 요청을 보낸 다음 압축되고 암호화된 형식으로 로컬 네트워크에서 응답을 듣도록 강제할 수 있습니다. 그러므로 우리는:

여기서 공격자는 요청을 제어하고 패킷 크기를 포함하여 트래픽 스니퍼에 액세스할 수 있습니다. Kelsey의 가상 시나리오가 현실로 나타났습니다.

이론을 이해한 CRIME 작성자는 Gmail, Twitter, Dropbox 및 Github를 포함한 광범위한 사이트의 세션 쿠키를 훔칠 수 있는 익스플로잇을 만들었습니다. 이 취약점은 대부분의 최신 웹 브라우저에 영향을 미쳐 SSL에 압축 기능을 자동으로 숨겨 SSL이 전혀 사용되지 않도록 하는 패치가 출시되었습니다. 취약점으로부터 보호된 유일한 것은 SSL 압축을 전혀 사용하지 않은 유서 깊은 Internet Explorer였습니다.

푸들

2014년 XNUMX월, Google 보안팀은 보안 커뮤니티에 큰 파장을 일으켰습니다. 그들은 XNUMX여년 전에 패치가 적용된 SSL 프로토콜의 취약점을 악용할 수 있었습니다.

서버가 빛나는 새로운 TLSv1.2를 실행하는 동안 많은 사람들이 Internet Explorer 3과의 이전 버전과의 호환성을 위해 기존 SSLv6에 대한 지원을 떠난 것으로 나타났습니다. 다운그레이드 공격에 대해 이미 이야기했으므로 무슨 일이 일어날지 상상할 수 있습니다. 잘 조직된 핸드셰이크 프로토콜과 서버의 방해 행위는 지난 3년간의 보안 연구를 본질적으로 취소하면서 이전의 SSLv15으로 돌아갈 준비가 되었습니다.

역사적 맥락을 위해, 다음은 Matthew Green이 작성한 SSL의 역사를 버전 2까지 간략하게 요약한 것입니다.:

TLS(Transport Layer Security)는 인터넷에서 가장 중요한 보안 프로토콜입니다. [..] 인터넷에서 이루어지는 거의 모든 거래는 TLS에 따라 다릅니다. [..] 그러나 TLS가 항상 TLS였던 것은 아닙니다. 프로토콜은 다음에서 시작되었습니다. 넷스케이프 커뮤니케이션즈 "보안 소켓 계층" 또는 SSL이라고 합니다. SSL의 첫 번째 버전이 너무 끔찍해서 개발자들이 코드의 모든 인쇄물을 수집하여 뉴멕시코의 비밀 매립지에 묻었다는 소문이 있습니다. 결과적으로 SSL의 첫 번째 공개 버전은 실제로 버전 SSL 2. 꽤 무섭고 [..] 현대 암호학자들이 ""라고 여기는 90년대 중반의 산물이었습니다.암호학의 암흑기" 오늘날 우리가 알고 있는 가장 극악무도한 암호화 공격 중 다수는 아직 발견되지 않았습니다. 결과적으로, SSLv2 프로토콜 개발자들은 본질적으로 어둠 속에서 더듬더듬 헤쳐 나가야 했고, 그들은 직면하게 되었습니다. 무서운 괴물이 많아요 - SSLv2에 대한 공격은 차세대 프로토콜에 귀중한 교훈을 남겼기 때문에 그들의 억울함과 우리의 이익에 있습니다.

이러한 사건 이후 1996년에 좌절한 Netscape는 SSL 프로토콜을 처음부터 다시 설계했습니다. 그 결과 SSL 버전 3이 탄생했습니다. 이전 버전의 몇 가지 알려진 보안 문제를 해결했습니다..

다행히도 도둑들에게는 “몇몇”이 “모두”를 의미하지는 않습니다. 전반적으로 SSLv3은 Vodene 공격을 시작하는 데 필요한 모든 구성 요소를 제공했습니다. 프로토콜은 CBC 모드 블록 암호와 안전하지 않은 패딩 체계를 사용했습니다(이는 TLS에서 수정되었으므로 다운그레이드 공격이 필요함). Vaudenay 공격에 대한 원래 설명에서 패딩 체계를 기억한다면 SSLv3 체계는 매우 유사합니다.

그러나 불행하게도 도둑들에게는 "유사하다"는 것이 "동일하다"는 의미는 아닙니다. SSLv3 패딩 구성표는 "N 임의 바이트 뒤에 숫자 N이 옵니다"입니다. 이러한 조건에서 가상의 암호문 블록을 선택하고 Vaudene의 원래 체계의 모든 단계를 수행해 보십시오. 공격이 해당 일반 텍스트 블록에서 마지막 바이트를 성공적으로 추출하지만 더 이상 진행되지는 않는다는 것을 알 수 있습니다. 암호문의 16번째 바이트를 모두 해독하는 것은 대단한 기술이지만 승리는 아닙니다.

실패에 직면한 Google 팀은 최후의 수단을 선택했습니다. 즉, CRIME에서 사용되는 보다 강력한 위협 모델로 전환했습니다. 공격자가 피해자의 브라우저 탭에서 실행되는 스크립트이고 세션 쿠키를 추출할 수 있다고 가정하면 공격은 여전히 ​​인상적입니다. 더 광범위한 위협 모델은 덜 현실적이지만 이전 섹션에서 이 특정 모델이 실현 가능하다는 것을 확인했습니다.

이러한 더욱 강력한 공격자의 능력을 고려하면 이제 공격을 계속할 수 있습니다. 공격자는 암호화된 세션 쿠키가 헤더에 나타나는 위치를 알고 그 앞의 HTTP 요청 길이를 제어합니다. 따라서 쿠키의 마지막 바이트가 블록 끝과 정렬되도록 HTTP 요청을 조작할 수 있습니다. 이제 이 바이트는 암호 해독에 적합합니다. 요청에 한 문자만 추가하면 쿠키의 끝에서 두 번째 바이트가 같은 위치에 유지되므로 같은 방법을 사용하여 선택하는 데 적합합니다. 이러한 공격은 쿠키 파일이 완전히 복원될 때까지 계속됩니다. POODLE: 다운그레이드된 레거시 암호화에서 Oracle 패딩이라고 합니다.

안 들리게 하다

앞서 언급했듯이 SSLv3에는 결함이 있었지만 누출된 SSLv2는 다른 시대의 산물이었기 때문에 이전 버전과 근본적으로 달랐습니다. 중간에 메시지를 중단할 수 있습니다. соглашусь на это только через мой труп ~로 변하다 соглашусь на это; 클라이언트와 서버는 온라인에서 만나 신뢰를 구축하고 공격자 앞에서 비밀을 교환할 수 있으며 공격자는 쉽게 둘 다 가장할 수 있습니다. FREAK를 고려할 때 언급한 수출 암호화에도 문제가 있습니다. 이들은 암호화된 소돔과 고모라였습니다.

2016년 2월, 다양한 기술 분야의 연구원들로 구성된 팀이 함께 모여 SSLv2가 보안 시스템에 여전히 사용되고 있다는 놀라운 사실을 발견했습니다. 예, FREAK 및 POODLE 이후 해당 구멍이 폐쇄되었으므로 공격자는 더 이상 최신 TLS 세션을 SSLv2로 다운그레이드할 수 없습니다. 하지만 여전히 서버에 연결하고 SSLvXNUMX 세션 자체를 시작할 수 있습니다.

당신은 물을 수 있습니다. 왜 우리는 그들이 그곳에서 무엇을 하는지 신경쓰나요? 취약한 세션이 있지만 다른 세션이나 서버 보안에 영향을 주어서는 안 됩니다. 그렇죠? 글쎄요. 네, 이론적으로는 그래야 합니다. 하지만 그렇지 않습니다. SSL 인증서를 생성하면 특정 부담이 발생하여 많은 서버가 동일한 인증서를 사용하게 되고 결과적으로 TLS 및 SSLv2 연결에 동일한 RSA 키가 사용되기 때문입니다. 설상가상으로 OpenSSL 버그로 인해 이 인기 있는 SSL 구현의 "SSLv2 비활성화" 옵션이 실제로 작동하지 않았습니다.

이로 인해 TLS에 대한 교차 프로토콜 공격이 가능해졌습니다. 안 들리게 하다 (오래되고 약한 암호화로 RSA를 해독하고, 오래되고 약한 암호화로 RSA를 해독합니다.) 이는 짧은 공격과 동일하지 않다는 점을 기억하세요. 공격자는 "중간자" 역할을 할 필요가 없으며 안전하지 않은 세션에 참여하기 위해 클라이언트를 개입시킬 필요도 없습니다. 공격자는 단순히 서버 자체에서 안전하지 않은 SSLv2 세션을 시작하고 취약한 프로토콜을 공격하고 서버의 RSA 개인 키를 복구합니다. 이 키는 TLS 연결에도 유효하며, 이 시점부터는 아무리 TLS 보안을 사용해도 키가 손상되는 것을 방지할 수 없습니다.

하지만 이를 크랙하려면 특정 트래픽뿐만 아니라 비밀 RSA 서버 키도 복구할 수 있는 SSLv2에 대한 실제 공격이 필요합니다. 이는 복잡한 설정이지만 연구원들은 SSLv2 이후 완전히 해결된 취약점을 선택할 수 있었습니다. 그들은 결국 적절한 옵션인 Bleichenbacher 공격을 찾았습니다. 이에 대해서는 앞서 언급했고 다음 기사에서 자세히 설명하겠습니다. SSL 및 TLS는 이 공격으로부터 보호되지만 SSL의 일부 임의 기능과 내보내기 등급 암호화의 단축 키가 결합되어 가능해졌습니다. DROWN의 특정 구현.

게시 당시 인터넷 상위 사이트의 25%가 DROWN 취약점의 영향을 받았으며, 악의적인 고독한 해커라도 사용할 수 있는 적당한 리소스만으로도 공격을 수행할 수 있었습니다. 서버의 RSA 키를 검색하려면 440시간의 계산과 2달러가 필요했으며 SSLvXNUMX는 더 이상 사용되지 않는 상태에서 방사성 상태로 바뀌었습니다.

잠깐, Heartbleed는 어때요?

이는 위에서 설명한 의미의 암호화 공격이 아닙니다. 이것은 버퍼 오버플로입니다.

좀 쉬자

우리는 무차별 대입, 보간, 다운그레이드, 프로토콜 간 및 사전 계산과 같은 몇 가지 기본 기술로 시작했습니다. 그런 다음 현대 암호화 공격의 주요 구성 요소일 수 있는 고급 기술인 오라클 공격을 살펴보았습니다. 우리는 이를 파악하는 데 꽤 많은 시간을 보냈고 기본 원리뿐만 아니라 두 가지 특정 구현의 기술적 세부 사항도 이해했습니다. CBC 암호화 모드에 대한 Vaudenay 공격과 사전 압축 암호화 프로토콜에 대한 Kelsey 공격입니다.

다운그레이드 및 사전 계산 공격을 검토하면서 대상 사이트를 약한 키로 다운그레이드한 다음 동일한 키를 재사용함으로써 두 가지 방법을 모두 사용하는 FREAK 공격에 대해 간략하게 설명했습니다. 다음 기사에서는 공개 키 알고리즘을 표적으로 삼는 (매우 유사한) Logjam 공격을 저장하겠습니다.

그런 다음 이러한 원칙을 적용한 세 가지 예를 더 살펴보았습니다. 첫째, CRIME 및 POODLE: 대상 일반 텍스트 옆에 임의의 일반 텍스트를 삽입한 다음 서버의 응답을 검사하고 다음, Oracle 공격 방법을 사용하여 이 희박한 정보를 활용하여 일반 텍스트를 부분적으로 복구합니다. CRIME은 SSL 압축에 대한 Kelsey의 공격 경로를 택한 반면 POODLE은 대신 동일한 효과로 CBC에 대한 Vaudenay의 공격 변형을 사용했습니다.

그런 다음 레거시 SSLv2 프로토콜을 사용하여 서버에 연결을 설정한 다음 Bleichenbacher 공격을 사용하여 서버의 비밀 키를 복구하는 교차 프로토콜 DROWN 공격에 주목했습니다. 지금은 이 공격에 대한 기술적 세부 사항을 건너뛰었습니다. Logjam과 마찬가지로 공개 키 암호화 시스템과 그 취약점을 잘 이해할 때까지 기다려야 합니다.

다음 기사에서는 중간자 공격, 차등 암호 분석 및 생일 공격과 같은 지능형 공격에 대해 설명합니다. 부채널 공격에 대해 빠르게 살펴보고 재미있는 부분인 공개 키 암호화 시스템으로 넘어가겠습니다.

출처 : habr.com