사용자의 개인 키 복구를 허용하는 PuTTY의 취약점

Windows 플랫폼에서 널리 사용되는 SSH 클라이언트인 PuTTY에는 NIST P-2024 타원 곡선 ECDSA 알고리즘(ecdsa-sha31497-nistp521)을 사용하여 사용자의 개인 키를 다시 생성할 수 있는 위험한 취약점(CVE-2-521)이 있습니다. 개인키를 선택하려면 문제의 키에서 생성된 약 60개의 디지털 서명을 분석하면 충분하다.

이 취약점은 PuTTY 0.68 버전부터 나타나며 FileZilla(3.24.1 - 3.66.5), WinSCP(5.9.5 - 6.3.2), TortoiseGit(2.4.0.2 -)과 같이 취약한 PuTTY 버전을 포함하는 제품에도 영향을 미칩니다. 2.15.0) 및 TortoiseSVN(1.10.0 - 1.14.6). 이 문제는 PuTTY 0.81, FileZilla 3.67.0, WinSCP 6.3.3 및 TortoiseGit 2.15.0.1 업데이트에서 해결되었습니다. 업데이트를 설치한 후 사용자는 새 키를 생성하고 authenticate_keys 파일에서 이전 공개 키를 제거하는 것이 좋습니다.

이 취약점은 521비트 무작위 시퀀스 기반의 초기화 벡터(nonce)를 사용하여 512비트 키를 생성한 개발자의 부주의로 인해 발생합니다. 아마도 512비트의 엔트로피이면 충분하고 나머지 9비트는 충분하다고 믿었을 것입니다. 근본적으로 중요한 것은 아닙니다. 결과적으로 ecdsa-sha2-nistp521 알고리즘을 사용하여 PuTTY에서 생성된 모든 개인 키에서 초기화 벡터의 처음 9비트는 항상 XNUMX 값을 사용했습니다.

ECDSA 및 DSA의 경우, 의사 난수 생성기의 품질과 난수 데이터에 의한 모듈러스 계산에 사용되는 매개변수의 전체 범위가 근본적으로 중요합니다. 왜냐하면 초기화 벡터에 대한 정보가 포함된 몇 비트의 결정만으로도 충분하기 때문입니다. 전체 개인 키를 순차적으로 복구하는 공격을 수행합니다. 키를 성공적으로 복구하려면 공개 키를 갖고 공격자가 알고 있는 데이터에 대해 문제가 있는 키를 사용하여 생성된 수십 개의 디지털 서명을 분석하면 충분합니다. 공격은 결국 HNP(Hidden Number Problem) 문제를 해결하는 것으로 귀결됩니다.

예를 들어 사용자가 공격자의 SSH 서버 또는 SSH를 전송 수단으로 사용하는 Git 서버에 연결할 때 필요한 디지털 서명을 얻을 수 있습니다. 공격에 필요한 서명은 임의의 데이터를 확인하는 데 키가 사용된 경우에도 확인할 수 있습니다. 예를 들어 Pageant SSH 에이전트를 사용하여 트래픽을 개발자의 호스트로 리디렉션할 때 git 커밋을 수행합니다. SSH의 서명은 일반 텍스트로 전송되지 않으므로 MITM 공격 중에 키를 복구하는 데 필요한 데이터를 얻는 것은 불가능합니다.

불완전한 초기화 벡터의 유사한 사용이 다른 유형의 타원 곡선에 대해 PuTTY에서 사용되었지만 ECDSA P-521 이외의 알고리즘의 경우 결과적인 정보 유출만으로는 작동하는 키 복구 공격을 구현하기에 충분하지 않습니다. 다른 크기의 ECDSA 키와 Ed25519 키는 공격에 취약하지 않습니다.

출처 : opennet.ru