Gava ku hûn peyva "Cryptography," hin mirov bi bîr xistin, piyaleya kesk a ku li ser navnîşa malpera xwe ya bijare ye, û çiqas zehmet e ku meriv bi e-nameya kesek din re bibe. Hinekên din di salên dawî de hejmarek xeternak bi bîr bînin bi kurtahî (xeniqîn, freak, poodle ...), logoyên xweşik û hişyarî da ku hûn geroka xwe nûve bikin.
Krîptografiya wê hemî vedigire, lê bingehîn li yekî din. Xal ev e ku di navbera sade û tevlihev de xetek baş heye. Çêkirina hin tiştan hêsan e, lê ji nû ve danîna wan dijwar e, mîna şikandina hêkekê. Tiştên din hêsan in lê dijwar e ku dema ku parçeyek piçûk, girîng, girîng, paşde vegere, ji bo nimûne, vekirina deriyek girtî ye dema ku "parçeya girîng" key e. Cryptography van rewşan lêkolîn dike û ka ew çawa di pratîkê de têne bikar anîn.
Di van salên dawî de, berhevoka êrîşên krîptografîk veguherî zozanek logoyên birûsk, ku bi formulên ji kaxezên zanistî tije bûne, û hestek gemarî ya gelemperî peyda kiriye ku her tişt şikestî ye. Lê di rastiyê de, pir ji êrîşan li ser çend prensîbên gelemperî têne çêkirin, û rûpelên bêdawî yên formulan bi gelemperî ji bo ramanên hêsan têne fêhm kirin têne kelandin.
Di vê rêze gotaran de, em ê li cûrbecûr êrîşên krîptografî, bi giranî li ser prensîbên bingehîn binêrin. Bi gelemperî û ne tam di vê rêzê de, lê em ê jêrîn veşêrin:
- Stratejiyên bingehîn: hêza hov, analîza frekansê, navberkirin, daxistin û protokolên xaçê.
- Qelsiyên branded: FREAK, SÛC, PODLE, DOWN, Logjam.
- Stratejiyên pêşkeftî: êrîşên oracle (êrîşa Vodenet, êrîşa Kelsey); rêbaza hevdîtinê-di-navendî, êrîşa rojbûnê, neyartiya îstatîstîkî (krîptanalîsta cihêreng, krîptoyanalîza entegre, hwd.).
- Êrîşên kanalên alî û xizmên wan ên nêzîk, teknîkên analîzkirina têkçûnê.
- Êrîşên li ser şîfrekirina mifteya giştî: koka kubar, weşan, peyama têkildar, êrîşa Coppersmith, algorîtmaya Pohlig-Hellman, sifta hejmarê, êrîşa Wiener, êrîşa Bleichenbacher.
Ev gotara taybetî heya êrîşa Kelsey materyalê jorîn vedigire.
Stratejiyên bingehîn
Êrîşên jêrîn di vê wateyê de hêsan in ku ew dikarin hema hema bi tevahî bêyî hûrguliyên teknîkî werin rave kirin. Werin em her cûre êrîşê bi şertên herî hêsan rave bikin, bêyî ku biçin nav mînakên tevlihev an dozên karanîna pêşkeftî.
Hin ji van êrîşan bi giranî kevin bûne û bi salan e nehatine bikaranîn. Yên din kevneperest in ku hîn jî bi rêkûpêk di sedsala 21-an de bi dizî li pêşdebirên pergala krîptoyê yên bê guman dikevin. Serdema krîptografiya nûjen dikare were hesibandin ku bi hatina IBM DES, şîfreya yekem a ku li hember her êrişek li ser vê navnîşê radiweste, dest pê kiriye.
Hêza hovane ya hêsan
Pêveka şîfrekirinê ji du beşan pêk tê: 1) Fonksiyonek şîfrekirinê ya ku peyamek (plainext) bi kilîtek pêk tê û dûv re peyamek şîfrekirî pêk tîne; 2) fonksîyoneke deşîfrekirinê ya ku şîfretext û mifteyê digire û nivîsa zelal çêdike. Pêdivî ye ku hem şîfrekirin û hem jî deşîfrekirin bi mifteyê re hêsan be - û bêyî wê jî zehmet e ku meriv wê bibîne.
Ka em bihesibînin ku em şîfretextê dibînin û hewl didin ku bêyî agahdariya zêde wê deşîfre bikin (vê yekê wekî êrîşek tenê-nivîsbar-ê tê gotin). Ger em bi rengek sêrbaz mifteya rast bibînin, em dikarin bi hêsanî verast bikin ku ew bi rastî rast e heke encam peyamek maqûl be.
Bala xwe bidinê ku li vir du texmînên nepenî hene. Pêşîn, em dizanin ka meriv çawa deşîfrekirinê pêk tîne, ango pergala krîptoyê çawa dixebite. Dema ku li ser krîptografî nîqaş dikin ev texmînek standard e. Hînkirina hûrguliyên pêkanîna ji êrîşkaran dibe ku wekî pîvanek ewlehiyê ya din xuya bike, lê yek carî kesayetiyên êrîşkar van hûrguliyan derxînin, ev ewlehiya zêde bêdeng e û bêhnteng winda ye. Wisa ye : Sîstema ku bikeve destê dijmin, nabe sedema nerehetiyê.
Ya duyemîn, em texmîn dikin ku mifteya rast tenê mifteya ku dê bibe sedema deşîfrekirinek maqûl e. Ev jî texmîneke maqûl e; eger şîfretext ji kilîtê pir dirêjtir be û were xwendin têr e. Ev bi gelemperî di cîhana rastîn de diqewime, ji bilî an (heke hûn ji redkirina ravekirinan hez nakin, ji kerema xwe Teorema 3.8 bibînin ).
Li gorî jor, stratejiyek derdikeve holê: her mifteya gengaz kontrol bikin. Ji vê re hêza hov tê gotin, û êrîşek weha garantî ye ku li dijî hemî şîfreyên pratîkî bixebite - di dawiyê de. Mînakî, hêza hov ji bo hackkirinê bes e , şîfreyek kevnar a ku kilîda yek tîpa alfabeyê ye, bi tenê zêdetirî 20 bişkokên gengaz vedibêje.
Mixabin ji bo krîptanalîstan, zêdekirina mezinahiya mifteyê li hember hêza hov parastinek baş e. Her ku mezinahiya mifteyê zêde dibe, hejmara mifteyên mimkun qat bi qat zêde dibe. Digel pîvanên mifteyên nûjen, hêza hovane ya hêsan bi tevahî nepratîk e. Ji bo ku em mebesta me fêm bikin, ka em ji nîvê-2019-an ve superkomputera herî zû ya naskirî bistînin: ji IBM, bi performansa lûtkeyê bi qasî 1017 operasyonan di çirkeyê de. Îro, dirêjahiya key tîpîk 128 bit e, ku tê wateya 2128 kombînasyona gengaz. Ji bo lêgerîna di nav hemî kilîtan de, superkomputera Summit dê hewceyê wextê ku bi qasî 7800 carî temenê gerdûnê ye hewce bike.
Ma divê hêza hov wekî meraqek dîrokî were hesibandin? Qet nebe: ew di pirtûka xwarinê ya krîptoyanalîzê de hêmanek pêdivî ye. Kêm caran şîfre ew qas qels in ku ew tenê bi êrîşek biaqil, bêyî karanîna hêzê heya dereceyekê an yekî din dikarin werin şikandin. Gelek hakên serketî rêbazek algorîtmîkî bikar tînin da ku pêşî şîfreya armanc qels bikin, û dûv re êrîşek hêzek hov pêk bînin.
Analîza Frequency
Piranîya nivîsan ne gemarî ne. Bo nimûne, di nivîsarên Îngilîzî de gelek tîpên ‘e’ û gotarên ‘the’ hene; di pelên binary de gelek baytên null hene ku di navbera perçeyên agahdarî de dakêşin. Analîza Frequency her êrîşek e ku ji vê rastiyê sûd werdigire.
Mînakek canonîkî ya şîfreyek ji vê êrişê xeternak e. Di vê kifşê de, mifteya tabloyek bi hemî tîpan li şûna. Mînakî, 'G' ji hêla 'H', 'O' ve tê guheztin, ji ber vê yekê peyva 'go' dibe 'hj'. Ev cipher zehmet e ku meriv zalim bike ji ber ku ew çend tabloyên lêgerîna gengaz hene. Ger hûn di matematîkê de eleqedar in, dirêjahiya sereke ya bandor li ser 88 Bîtan e: ew e
. Lê analîza frekansê bi gelemperî kar zû pêk tîne.
Şîfretexta jêrîn ku bi şîfreyek veguheztinê ya hêsan hatî pêvajo kirin binihêrin:
XDYLY ALY UGLY XDWNKE WN DYAJYN ANF YALXD DGLAXWG XDAN ALY FLYAUX GR WN OGQL ZDWBGEGZDO
Ji ber ku Y pir caran diqewime, di dawiya gelek peyvan de jî, em dikarin bi tewra texmîn bikin ku ev herf e e:
XDeLe ALe UGLe XDWNKE WN DeAJeN ANF eALXD DGLAXWG XDAN ALe FleAUX GR WN OGQL ZDWBGEGZDO
Couple XD di destpêka çend peyvan de dubare kirin. Bi taybetî, tevliheviya XDeLe bi eşkere peyvê pêşniyar dike these an there, ji ber vê yekê em berdewam bikin:
theLe ALe UGLE thWNKE WN heAJeN ANF eALth DGLAtWG thAN ALe FleAUt GR WN OGQL ZDWBGEGZDO
Ka em vê yekê bêtir texmîn bikin L peyda dike r, A - a wate ya vê çîye. Dibe ku ew ê çend ceribandinan bigire, lê li gorî êrîşek hêzek bêkêmasî ya bêkêmasî, ev êrîş di demek kurt de nivîsa orîjînal vedigerîne:
li erd û ezmên horatio ji tiştên ku di felsefeya we de têne xeyal kirin zêdetir hene
Ji bo hinekan, çareserkirina "kriptogramên" weha hobiyek balkêş e.
Fikra analîza frekansê ji ya ku di nihêrîna pêşîn de xuya dike bingehîntir e. Û ew ji bo şîfreyên pir tevlihevtir derbas dibe. Di dirêjahiya dîrokê de, sêwiranên cûrbecûr yên şîfreyê hewl dane ku li hember êrîşek weha bi karanîna "veguheztina polîfabetîk" bisekinin. Li vir, di dema pêvajoya şîfrekirinê de, tabloya veguheztina tîpan bi awayên tevlihev lê pêşbînîkirî ku bi mifteyê ve girêdayî ye tê guheztin. Hemî van şîfre di yek carê de şikandina wan dijwar hate hesibandin; û dîsa jî analîza frekansa nerm di dawiyê de ew hemî têk birin.
Di dîrokê de şîfreya piralfabetîk a herî ambicioz, û dibe ku ya herî navdar, şîfreya Enigma ya Şerê Cîhanê yê Duyemîn bû. Ew li gorî pêşiyên xwe bi nisbeten tevlihev bû, lê piştî xebata pir dijwar, krîptanalîstên Brîtanî ew bi karanîna analîza frekansê şikandin. Bê guman, wan nikarîbûn êrîşek xweşik a mîna ya li jor hatî destnîşan kirin pêş bixin; diviyabû ku wan cotên nivîsa zelal û şîfretextê naskirî bidin ber hev (ku jê re tê gotin "êrîşa metna sade"), tewra bikarhênerên Enigma jî provoke bikin ku hin peyaman şîfre bikin û encamê analîz bikin ("êrîşa metna sade ya bijartî"). Lê vê yekê çarenûsa artêşên dijmin ên têkçûyî û keştiyên binê avê hêsantir nekir.
Piştî vê serketinê, analîza frekansê ji dîroka krîptanalîzê winda bû. Şîfreyên di serdema dîjîtal a nûjen de ji bo xebatê bi bit, ne bi tîpan hatine sêwirandin. Ya girîngtir, ev şîfre bi têgihiştina tarî ya ku paşê wekî tê zanîn hate sêwirandin : Her kes dikare algorîtmayek şîfrekirinê biafirîne ku ew bi xwe nikaribe bişkîne. Ji bo pergala şîfrekirinê têrê nake xuya bû zehmet e: ji bo îsbatkirina nirxa xwe, divê ew ji hêla gelek krîptanalîstên ku dê ji bo şikandina şîfreyê çi ji destê wan tê bikin, ji vekolînek ewlehiyê ya bê rehm derbas bibe.
Hesabên pêşîn
Ka em bajarekî hîpotetîk ên Precom Heights, nifûsa 200 bigirin. Her malek li bajêr bi navînî 000 dolar tiştên bi qîmet dihewîne, lê ne zêdetirî 30 dolar e. Bazara ewlehiyê li Precom ji hêla ACME Industries ve tê monopolakirin, ku kilîdên derî yên efsanewî yên Coyote™ çêdike. Li gorî analîzên pispor, kilîtek pola Coyote tenê dikare ji hêla makîneyek hîpotezîkî ya pir tevlihev ve were şikandin, ji bo afirandina wê bi qasî pênc sal û 000 $ veberhênanê hewce dike. Ma bajar ewle ye?
Bi îhtîmaleke mezin na. Di dawiyê de, sûcdarek berbiçav dê xuya bibe. Ew ê weha bifikire: "Erê, ez ê lêçûnên pêşîn ên mezin bidim. Pênc sal li benda nexweşan, û 50 dolar. Lê gava ku ez xilas bibim, ez ê bigihîjim hemû dewlemendiya vî bajarî. Ger ez qertên xwe rast bilîzim, ev veberhênanê dê gelek caran berdêla xwe bide.”
Di krîptografiyê de jî heman tişt e. Êrîşên li dijî şîfreyek taybetî di bin analîzek lêçûn-fêdeyê ya bêrehm de ne. Ger rêjeyek guncan be, êrîş pêk nayê. Lê êrîşên ku li hember gelek mexdûrên potansiyel bi yekcarî dixebitin hema hema her gav berdêl didin, di vê rewşê de pratîka sêwiranê ya çêtirîn ev e ku meriv texmîn bike ku wan ji roja yekem dest pê kiriye. Di bingeh de me guhertoyek krîptografî ya Qanûna Murphy heye: "Tiştê ku bi rastî dikare pergalê bişkîne dê pergalê bişkîne."
Mînaka herî hêsan a pergalek krîptoyê ku ji êrîşek pêş-hesibandinê re xeternak e, şîfreyek bê kilît e. Bi vî rengî bû , ku bi hêsanî her tîpa alfabeyê sê tîpan ber bi pêş ve diguhezîne (tablo tê xêzkirin, ji ber vê yekê herfa dawîn a alfabeyê sêyemîn tê şîfrekirin). Li vir dîsa prensîba Kerchhoffs tê lîstin: gava pergalek were hack kirin, ew her û her tê hack kirin.
Têgeha hêsan e. Tewra pêşdebirek pergala krîpto ya nûjen jî dê xetereyê nas bike û li gorî wê amade bike. Li pêşkeftina krîptografiyê dinêrin, êrîşên bi vî rengî ji bo piraniya şîfreyan negunca bûn, ji guhertoyên pêşîn ên pêşkeftî yên şîfreya Qeyser heya kêmbûna şîfreyên pir-alfabetîk. Êrîşên weha tenê bi hatina serdema nûjen a krîptografiyê vegeriyan.
Ev veger ji ber du faktoran e. Ya yekem, di dawiyê de pergalên krîpto yên têra xwe tevlihev xuya bûn, ku îhtîmala îstismarkirina piştî hackkirinê ne diyar bû. Ya duyemîn, krîptografî ew qas belav bû ku bi mîlyonan mirovên laîk her roj biryar didan ku li ku û kîjan beşên krîptografiyê ji nû ve bikar bînin. Demek derbas bû berî ku pispor xetereyan fêhm bikin û alarmê rakin.
Êrîşa pêş-hesibandinê ji bîr mekin: di dawiya gotarê de em ê li du mînakên krîptografîk ên rastîn ên ku wê rolek girîng lîstin binêrin.
Interpolation
Li vir dedektorê navdar Sherlock Holmes e, ku êrîşek navberê li ser bextreş Dr. Watson dike:
Min tavilê texmîn kir ku tu ji Afganîstanê hatî... Hizra min wiha bû: “Ev mêrik ji aliyê cureyê ve doktor e, lê sekna wî ya leşkerî heye. Ji ber vê yekê, doktorê leşkerî. Ew nû ji tropîk hatiye - rûyê wî tarî ye, lê ev ne rengê xwezayî yê çermê wî ye, ji ber ku destikên wî pir spîtir in. Rûyê xwe gemar e - diyar e, wî gelek êş kişandiye û ji nexweşiyê kişandiye. Ew di destê wî yê çepê de birîndar bû - ew wê bêtevger û hinekî nesirûştî digire. Li ku derê li tropîkan doktorekî leşkerî yê Îngîlîz dikaribû zehmetiyan bikişîne û birîndar bibe? Helbet li Afganîstanê." Tevahiya trêna ramanê saniyeyek jî negirt. Û ji ber vê yekê min got ku hûn ji Afganîstanê hatine, û hûn şaş man.
Holmes dikaribû ji her delîlek kesane agahdariya pir hindik derxe. Tenê bi dîtina wan hemûyan bi hev re dikaribû bigihije encama xwe. Êrîşek interpolation bi heman rengî dixebite bi lêkolîna cotên nivîsa zelal û şîfretextê yên ku ji heman keyê têne nas kirin. Ji her cotek, çavdêriyên ferdî têne derxistin ku dihêle ku encamek giştî li ser mifteyê were derxistin. Hemî ev encam nezelal in û bêkêr xuya dikin heya ku ji nişka ve bigihîjin girseyek krîtîk û negihîjin encama yekane ya gengaz: ew çiqas nebawer be jî, divê rast be. Piştî vê yekê, an kilît eşkere dibe, an jî pêvajoya deşîfrekirinê ew qas safî dibe ku dikare were dubare kirin.
Werin em bi mînakek hêsan diyar bikin ka çawa navberkirin dixebite. Em bibêjin ku em dixwazin rojnivîsa kesane ya dijminê xwe Bob bixwînin. Ew her hejmarê di rojnivîska xwe de bi karanîna pergalek krîpto ya hêsan ku ew ji reklamek di kovara "A Mock of Cryptography" de fêr bû, şîfre dike. Pergal bi vî rengî dixebite: Bob du hejmarên ku jê hez dike hildibijêre: и . Ji niha û pê ve, ji bo şîfrekirina her hejmarê , hesab dike . Mînakî, heke Bob bijart и , paşê hejmar dê wek şîfrekirin .
Em bêjin ku di 28ê Kanûnê de me bala xwe da ku Bob di rojnivîska xwe de tiştek hûr dike. Dema ku ew qediya, em ê bi bêdengî wê hildin û li têketina paşîn temaşe bikin:
Rojek:
235/520Rojnivîska delal,
Îro rojek xweş bû. Bi rêya
64îro min bi Alisa re, ku di apartmanekê de dijî, hevdîtinek heye843. Ez bi rastî difikirim ku ew dikare bibe26!
Ji ber ku em di roja xwe de pir giran in Bi bextewarî, em pê dihesin ku pergala krîptoyê Bob ji êrîşek interpolation re xeternak e. Dibe ku em nizanin и , lê em roja îro dizanin, ji ber vê yekê me du cotên tekst-şîfretext hene. Ango em vê yekê dizanin tê şîfrekirin û - di . Ya ku em ê binivîsin ev e:
Ji ber ku em 15 salî ne, em jixwe pergala du hevkêşan bi du nenas dizanin, ku di vê rewşê de bes e ku em bibînin. и bê pirsgirêk. Her cotek text-şîfretext astengiyek li ser mifteya Bob dihêle, û her du asteng bi hev re bes in ku bi tevahî mifteyê vegerînin. Di mînaka me de bersiv ev e и (ba , wisa 26 di rojnivîskê de bi peyva 'yek' re, ango "eynî" - bi qasî. kûçe).
Bê guman, êrîşên navberê bi mînakên weha hêsan re sînordar nabin. Her Cryptosyîstemek ku bi objektek matematîkî ya xweş-famkirî kêm dibe û navnîşek parameteran xeternak e
Kesên nûhatî pir caran gazinan dikin ku şîfrekirin "hunera sêwirandina tiştan e ku bi qasî ku gengaz be gemar be." Dibe ku êrîşên navberê bi giranî sûcdar bin. Bob dikare an sêwiranek matematîkî ya xweşik bikar bîne an jî dîroka xwe bi Alice re nepenî bihêle - lê mixabin, hûn bi gelemperî nekarin wê her du awayan jî bikin. Dema ku em di dawiyê de bigihîjin mijara şîfrekirina mifteya giştî, ev ê pir zelal bibe.
Protokola xaç / daxistin
Di Now You See Me (2013) de, komek îluzyonîst hewl didin ku magnatê sîgorteyê yê gendel Arthur Tressler ji tevahiya serweta wî bixapînin. Ji bo gihîştina hesabê banka Arthur, pêdivî ye ku illusionists divê bikarhêner û şîfreya wî peyda bikin an jî zorê bidin wî ku ew li bankê xuya bike û beşdarî plansaziyê bibe.
Her du vebijark jî pir dijwar in; Xort ji bo performansa li ser dikê, û beşdarî operasyonên îstîxbaratê nebin. Ji ber vê yekê ew vebijarka sêyemîn a gengaz hildibijêrin: hevkarê wan gazî bankê dike û xwe wekî Arthur nîşan dide. Bank çend pirsan ji bo verastkirina nasnameyê dipirse, wek navê mamê û navê heywanê yekem; lehengên me li pêş . Ji vê gavê pê ve, ewlehiya şîfreya hêja êdî ne girîng e.
(Li gorî efsaneyek bajarî ku me bi xwe verast kir û verast kir, krîptograf Elî Beaham carekê rastî firoşkarek bankê hat ku di danîna pirsek ewlehiyê de israr dikir. piçûk y, sê ... ").
Di krîptografiyê de heman tişt e, ger du protokolên krîptografî bi paralelî werin bikar anîn da ku heman malûmatê biparêzin, û yek ji ya din pir qelstir e. Pergala encam ji êrîşek cross-protokolê re xeternak dibe, li wir protokolek qels tê êrîş kirin da ku bigihîje xelatê bêyî ku dest bide ya bihêztir.
Di hin rewşên tevlihev de, ne bes e ku meriv bi tenê bi serverê re bi karanîna protokolek qels re têkilî daynin, lê hewcedariya beşdariya neçar a xerîdarek rewa heye. Ev dikare bi karanîna bi navê êrîşa dakêşanê were organîze kirin. Ji bo têgihîştina vê êrîşê, em bihesibînin ku karekî îluzyonîstên me ji filmê dijwartir heye. Ka em bihesibînin ku karmendek bankê (qeşeyê) û Arthur rastî hin rewşên nediyar hatin, ku di encamê de diyaloga jêrîn pêk hat:
Diz: Slav? Ev Arthur Tressler e. Ez dixwazim şîfreya xwe ji nû ve bikim.
Diravgir: Ecêb. Ji kerema xwe li pirtûka koda xweya veşartî ya kesane, rûpel 28, peyva 3 binêre. Hemî peyamên jêrîn dê bi karanîna vê peyva taybetî wekî mifteyê werin şîfre kirin. PQJGH. LOTJNAM PGGY MXVRL ZZLQ SRIU HHNMLPPPV…
Diz: Hey, hey, bisekine, bisekine. Ma ev bi rastî hewce ye? Ma em nikarin wek mirovên normal biaxivin?
Diravgir: Ez kirina vê yekê pêşniyar nakim.
Diz: Ez tenê... binêre, min rojek xirab derbas kir, baş e? Ez xerîdarek VIP me û ez ne di hal û hewayê de me ku ez van pirtûkên kodê yên ehmeq bikolim.
Diravgir: Baş. Ger hûn israr bikin, birêz Tressler. Tu çi dixwazî?
Diz: Ji kerema xwe, ez dixwazim hemî dravê xwe ji Fona Mexdûrên Neteweyî ya Arthur Tressler re bikim.
(Mizdan).
Diravgir: Niha diyar e. Ji kerema xwe ji bo danûstandinên mezin PIN-a xwe bidin.
Diz: Min çi?
Diravgir: Li ser daxwaza weya kesane, danûstendinên bi vê mezinahiyê ji bo danûstendinên mezin PINek hewce dike. Dema ku we hesabê xwe vekir ev kod ji we re hat dayîn.
Diz:... Min ew winda kir. Ma ev bi rastî hewce ye? Ma hûn nikarin tenê peymanê bipejirînin?
Diravgir: Na. Bibore, birêz Tressler. Dîsa, ev tedbîra ewlehiyê ye ku we jê xwestiye. Ger hûn bixwazin, em dikarin kodek PIN-a nû ji qutiya posta we re bişînin.
Lehengên me operasyonê taloq dikin. Ew li gelek danûstandinên mezin ên Tressler guhdarî dikin, bi hêviya ku PIN-ê bibihîzin; lê her carê ku axaftin berî ku tiştek balkêş were gotin, vediguhere giloveriya kodkirî. Di dawiyê de, rojek xweş, plan tê kirin. Ew bi bîhnfirehî li benda wê gavê ne ku Tressler neçar e ku bi têlefonê danûstendinek mezin bike, ew dikeve ser rêzê, û dûv re ...
Tressler: Slav. Ji kerema xwe ez dixwazim danûstendinek ji dûr ve temam bikim.
Diravgir: Ecêb. Ji kerema xwe li pirtûka koda xweya nepenî ya kesane, rûpela ...
(Diz bişkojkê pêdixe; dengê diravgir vediguhere dengek nenas).
Diravgir: - #@$#@$#*@$$@#* dê bi vê peyvê wekî mifteyê were şîfre kirin. AAAYRR PLRQRZ MMNJK LOJBAN…
Tressler: Bibore, min baş fêm nekir. Dîsa? Li ser kîjan rûpelê? Kîjan peyv?
Diravgir: Ev rûpel e @#$@#*$)#*#@()#@$(#@*$(#@*.
Tressler: Çi ye?
Diravgir: Peyva hejmara bîst @$#@$#%#$.
Tressler: Seriously! Êdî bes e! Hûn û protokola ewlehiyê ya we hinekî çîrkek in. Ez dizanim ku hûn tenê dikarin bi min re normal biaxivin.
Diravgir: Ez pêşniyar nakim…
Tressler: Û ez ji we re şîret nakim ku hûn wextê xwe winda bikin. Heta ku hûn pirsgirêkên xeta têlefona xwe çareser nekin ez naxwazim bêtir li ser vê bibihîzim. Em dikarin vê peymanê bi dawî bikin an na?
Diravgir:… Erê. Baş. Tu çi dixwazî?
Tressler: Ez dixwazim 20 $ veguhezînim Lord Business Investments, hejmara hesabê ...
Diravgir: Ji kerema xwe yek deqîqe. Ev karekî mezin e. Ji kerema xwe ji bo danûstandinên mezin PIN-a xwe bidin.
Tressler: Çi? Oh, tam. 1234.
Li vir êrîşek jêrîn heye. Protokola qels "tenê rasterast biaxive" wekî hate pêşbînîkirin dibe di rewşa awarte de. Û dîsa jî em li vir in.
Dibe ku hûn meraq bikin ka kî di hişê xwe de dê pergalek rastîn a "ewle heya ku nepirse" mîna ya ku li jor hatî destnîşan kirin sêwirîne. Lê çawa ku bankek xeyalî xetereyan digire da ku xerîdarên ku ji krîptografiyê hez nakin bihêle, pergalên bi gelemperî bi gelemperî berbi hewcedariyên ku xemsar in an jî tam dijminatiya ewlehiyê ne digirin.
Ya ku di sala 2-an de bi protokola SSLv1995 re qewimî ev e. Hikûmeta Dewletên Yekbûyî demek dirêj dest pê kiriye ku krîptografî wekî çekek ku çêtirîn ji dijminên biyanî û hundurîn dûr tê girtin dibîne. Parçeyên kodê bi kesane ji bo hinardekirina ji Dewletên Yekbûyî hatine pejirandin, bi gelemperî bi şertê ku algorîtma bi qestî qels bû. Netscape, pêşdebirê geroka herî populer, Netscape Navigator, destûr ji bo SSLv2 tenê bi mifteya RSA ya 512-bitî ya xwerû (û 40-bit ji bo RC4) re hat dayîn.
Di dawiya hezarsaliyê de, qaîdeyên rehet bûn û gihîştina şîfrekirina nûjen bi berfirehî peyda bû. Lêbelê, xerîdar û pêşkêşker bi salan piştgirî dane krîptografiya "îxracatê" ya qels ji ber heman bêhêziya ku ji her pergalên mîras piştgirî digire. Xerîdar bawer kirin ku dibe ku ew bi serverek ku tiştek din piştgirî nekiriye re rû bi rû bibin. Serveran jî heman tişt kirin. Bê guman, protokola SSL destnîşan dike ku xerîdar û pêşkêşker divê çu carî protokolek qels bikar neynin dema ku yek çêtir peyda dibe. Lê heman pêşgotin ji bo Tressler û banka wî jî derbas bû.
Vê teoriyê riya xwe di nav du êrişên payebilind de dît ku di sala 2015-an de ewlehiya protokola SSL hejand, hem ji hêla lêkolînerên Microsoft-ê ve hatî vedîtin û hem jî. . Pêşîn, hûrguliyên êrîşa FREAK di Sibatê de hatin eşkere kirin, piştî sê mehan êrîşek din a bi navê Logjam, ku em ê bi hûrgulî nîqaş bikin dema ku em derbasî êrişên li ser şîfreya mifteya giştî bibin.
Qelsbûn (ku wekî "Smack TLS" jî tê zanîn) derket holê dema ku lêkolîner pêkanînên xerîdar / servera TLS analîz kirin û xeletiyek meraq dîtin. Di van pêkanînan de, heke xerîdar jî nexwaze ku şîfreya îxracata qels bikar bîne, lê server dîsa jî bi bişkojkên weha bersivê dide, xerîdar dibêje "Oh baş" û vediguhezîne koma şîfreya qels.
Wê demê, krîptografiya hinardekirinê bi gelemperî kevnar û bêsînor hate hesibandin, ji ber vê yekê êrîş wekî şokek bêkêmasî hat û bandor li gelek domên girîng kir, di nav de Qesra Spî, IRS, û malperên NSA. Ya xirabtir jî, derdikeve holê ku gelek serverên xedar bi ji nû ve karanîna heman bişkokan li şûna ku ji bo her danişînê yên nû çêbikin, performansê xweştir dikirin. Vê yekê mimkun kir, piştî daxistina protokolê, ku êrîşek pêş-hesabkirinê pêk bîne: şikandina yek mifteyê nisbeten biha ma (100 $ û 12 demjimêr di dema weşanê de), lê lêçûna pratîkî ya êrîşa girêdanê bi girîngî kêm bû. Bes e ku meriv carekê mifteya serverê texmîn bike û ji wê gavê û pê ve şîfrekirinê ji bo hemî girêdanên paşîn bişkîne.
Û berî ku em pêşde biçin, êrîşek pêşkeftî heye ku divê were behs kirin…
Êrîşa Oracle
herî baş wekî bavê sepana mesajên krîptoyê ya xaç-platformê Signal tê zanîn; lê em bi xwe ji yek ji nûjeniyên wî yên kêm-naskirî hez dikin: (Prensîba Doomê ya Cryptographic). Ji bo ku hinekî vebêjin, em dikarin vê yekê bibêjin: "Eger protokol pêk were herçiyek Li ser peyamek ji çavkaniyek potansiyel xirab operasyonek krîptografî pêk tîne û li gorî encamê cûda tevdigere, ew mehkûm e." An jî bi rengek tûjtir: "Ji bo pêvajoyê ji dijmin agahdarî negirin, û heke hewce be, wê hingê bi kêmanî encamê nîşan nedin."
Ka em zêdebariyên tampon, derziyên fermanê û yên wekî wan bidin aliyekî; ew li derveyî çarçoveya vê nîqaşê ne. Binpêkirina "prensîba qiyametê" rê li ber hakên giran ên krîptografî digire ji ber ku protokol tam wekî ku tê hêvî kirin tevdigere.
Weke mînak, bila em sêwiranek xeyalî bi şîfreyek veguheztinê ya xedar bigirin, û dûv re êrîşek gengaz destnîşan bikin. Dema ku me berê êrîşek li ser şîfreyek veguheztinê bi karanîna analîza frekansê dîtiye, ew ne tenê "rêyek din e ku heman şîfreyê bişkîne." Berevajî vê, êrîşên oracle dahênanek pir nûjentir e ku li gelek rewşên ku analîza frekansê têk diçe tê sepandin, û em ê di beşa pêş de xwenîşandanek vê yekê bibînin. Li vir şîfreya sade tenê ji bo zelalkirina nimûneyê tê hilbijartin.
Ji ber vê yekê Alice û Bob bi karanîna şîfreyek veguheztinê ya hêsan bi karanîna mifteyek ku tenê ji wan re tê zanîn danûstandinê dikin. Ew di derbarê dirêjiya peyaman de pir hişk in: ew tam 20 tîp dirêj in. Ji ber vê yekê wan li hev kir ku heke kesek bixwaze peyamek kurttir bişîne, divê ew hin nivîsek dumî li dawiya peyamê zêde bike da ku ew tam 20 tîpan bike. Piştî hin nîqaşan, wan biryar da ku ew ê tenê nivîsên derewîn ên jêrîn qebûl bikin: a, bb, ccc, dddd hwd. Bi vî rengî, nivîsek dumî ya her dirêjahiya hewce tê zanîn.
Gava ku Alice an Bob peyamek distîne, ew pêşî kontrol dikin ku dirêjahiya peyamê rast e (20 tîp) û ku paşgira nivîsa dumî ya rast e. Ger ev ne wusa be, wê hingê ew bi peyamek xeletiyek guncan bersiv didin. Ger dirêjiya nivîsê û nivîsa dumî baş bin, wergir peyamê bixwe dixwîne û bersivek şîfrekirî dişîne.
Di dema êrîşê de, êrîşkar xwe dike Bob û peyamên sexte ji Alice re dişîne. Peyam bi tevahî bêwate ne - êrîşkar xwedan key nîne û ji ber vê yekê nikare peyamek watedar çêbike. Lê ji ber ku protokol prensîba doûmetê binpê dike, êrîşkar dîsa jî dikare Alice bike ku agahdariya sereke eşkere bike, wekî ku li jêr tê xuyang kirin.
Diz:
PREWF ZHJKL MMMN. LAAlice: Metna derewîn nederbasdar e.
Diz:
PREWF ZHJKL MMMN. LBAlice: Metna derewîn nederbasdar e.
Diz:
PREWF ZHJKL MMMN. LCAlice:
ILCT? TLCT RUWO PUT KCAW CPS OWPOW!
Diz nizane ku Alice tenê çi gotiye, lê destnîşan dike ku sembol C divê lihevhatin a, ji ber ku Alice nivîsa dummy qebûl kir.
Diz:
REWF ZHJKL MMMN. LAAAlice: Metna derewîn nederbasdar e.
Diz:
REWF ZHJKL MMMN. LBBAlice: Metna derewîn nederbasdar e.
Piştî çend hewldanan...
Diz:
REWF ZHJKL MMMN. LGGAlice: Metna derewîn nederbasdar e.
Diz:
REWF ZHJKL MMMN. LHHAlice:
TLQO JWCRO FQAW SUY LCR C OWQXYJW. IW PWWR TU TCFA CHUYT TLQO JWFCTQUPOLQZ.
Dîsa, êrîşkar nizane ku Alice tenê çi gotiye, lê destnîşan dike ku divê H bi b re hevber bike ji ber ku Alice nivîsa dumî qebûl kir.
Û bi vî awayî heta ku êrîşkar wateya her karakterê dizane.
Di nihêrîna pêşîn de, rêbaz dişibihe êrîşek nivîskî ya bijartî. Di dawiyê de, êrîşkar şîfretextan hildibijêre, û server bi guhdana wan pêvajo dike. Cûdahiya bingehîn a ku van êrîşan di cîhana rastîn de cîh digire ev e ku ev êrişî ne hewce ye ku bigihîje bersivê rastîn - di heman demê de yek wekî "nivîsa dummy nederbasdar", bes e.
Digel ku ev êrîşa taybetî hînker e, li ser taybetmendiyên nexşeya "nivîsa derewîn", pergala krîptoya taybetî ya ku hatî bikar anîn, an rêza rastîn a peyamên ku ji hêla êrîşkar ve hatî şandin, pir xwe negirin. Fikra bingehîn ev e ku Alice çawa li ser bingeha taybetmendiyên nivîsarê bi rengek cûda reaksiyon dike, û wiya dike bêyî ku verast bike ku şîfreya têkildar bi rastî ji partiyek pêbawer hatî. Bi vî rengî, Alice destûrê dide êrîşkar ku agahdariya veşartî ji bersivên xwe derxîne.
Di vê senaryoyê de gelek tişt hene ku dikarin werin guhertin. Sembolên ku Alice bertek nîşanî wan dide, an cûdahiya tevgera wê, an tewra pergala krîptoyê ya ku hatî bikar anîn. Lê prensîb dê her wekî xwe bimîne, û êrîş bi tevahî dê bi rengekî an rengek din zindî bimîne. Pêkanîna bingehîn a vê êrîşê alîkarî da kifşkirina çend xeletiyên ewlehiyê, ku em ê di demek kurt de li wan binêrin; lê pêşî hin dersên teorîk hene ku divê werin girtin. Meriv çawa vê "nivîsara Alice" ya xeyalî di êrîşek ku dikare li ser şîfreyek nûjen a rastîn bixebite bikar bîne? Ma ev yek jî di teoriyê de gengaz e?
Di sala 1998 de, krîptografê Swîsrî Daniel Bleichenbacher vê pirsê bi erênî bersiv da. Wî êrîşek oracle li ser pergala krîptoya giştî ya ku pir tê bikar anîn RSA, bi karanîna nexşeyek peyamek taybetî nîşan da. Di hin pêkanînên RSA de, server bi peyamên çewtiyê yên cihêreng bersivê dide ku li gorî ka nivîsa zelal bi nexşeyê re têkildar e an na; ev ji bo pêkanîna êrîşê bes bû.
Çar sal şûnda, di sala 2002-an de, krîptografê fransî Serge Vaudenay êrîşek oraklê hema hema bi ya ku di senaryoya Alice ya li jor de hatî destnîşan kirin nîşan da - ji bilî ku li şûna şîfreyek xeyalî, wî tevahî çînek rêzdar a şîfreyên nûjen ku mirov bi rastî têne bikar anîn şikand. Bi taybetî, êrîşa Vaudenay şîfreyên mezinahiya têketinê sabît dike ("şîfreyên blokê") dema ku ew di bi navê "moda şîfrekirina CBC" de têne bikar anîn û bi plansaziyek peldankek populer, di bingeh de bi ya di senaryoya Alice de wekhev e.
Her weha di 2002 de, krîptografê Amerîkî John Kelsey hev-nivîskar bû - li ser pergalên ku peyaman berhev dikin û dûv re şîfre dikin, êrîşên oracle yên cihêreng pêşniyar kirin. Di nav van de ya herî berbiçav êrîşek bû ku ji vê rastiyê sûd werdigirt ku bi gelemperî gengaz e ku dirêjahiya eslî ya nivîsê ji dirêjahiya şîfretext were fêhm kirin. Di teorîyê de, ev rê dide êrîşek oracle ku beşên teksta bingehîn vedigire.
Li jêr em ravekirinek berfirehtir li ser êrişên Vaudenay û Kelsey pêşkêş dikin (dema ku em derbasî êrişên li ser şîfreya mifteya giştî bibin, em ê raveyek berfirehtir bidin êrîşa Bleichenbacher). Tevî hewldanên me yên herî baş, nivîs hinekî teknîkî dibe; ji ber vê yekê heke ya jorîn ji we re bes e, ji du beşên din derbas bibin.
Êrîşa Vodene
Ji bo ku em êrîşa Vaudenay fêm bikin, pêşî hewce ye ku em hinekî bêtir li ser şîfreyên blokê û awayên şîfrekirinê biaxivin. "Şîfreya blokê", wekî ku hate gotin, şîfreyek e ku kilît û têketinek bi dirêjiyek diyarkirî digire ("dirêjahiya blokê") û blokek şîfrekirî ya heman dirêjiyê çêdike. Şîfreyên blokê bi berfirehî têne bikar anîn û bi ewlehî têne hesibandin. DES-a niha teqawîtbûyî, ku yekem şîfreya nûjen tê hesibandin, şîfreyek blok bû. Wekî ku li jor behs kir, heman tişt ji bo AES, ku îro bi berfirehî tê bikar anîn, rast e.
Mixabin, şîfreyên blokê yek qelsiyek berbiçav heye. Mezinahiya blokê ya tîpîk 128 bit, an jî 16 karakter e. Eşkere ye, krîptografiya nûjen hewce dike ku bi daneyên têketina mezintir re bixebite, û li vir modên şîfrekirinê dileyizin. Moda şîfrekirinê bi eslê xwe hackek e: ew rêyek e ku meriv bi rengekî şîfreyek blokê bicîh bike ku tenê têketina bi pîvanek diyarkirî ji bo têketina bi dirêjiyek kêfî qebûl dike.
Êrîşa Vodene balê dikişîne ser şêwaza xebitandinê ya populer CBC (Zincîra bloka şîfreyê). Êrîş şîfreya blokê ya bingehîn wekî qutiyek reş a efsûnî, nebinavkirî digire û ewlehiya wê bi tevahî derbas dike.
Li vir diagramek heye ku nîşan dide ka moda CBC çawa dixebite:
Zêdeya dorpêçkirî operasyona XOR (OR ya taybetî) nîşan dide. Mînakî, bloka duyemîn a şîfretext tê wergirtin:
- Bi pêkanîna operasyonek XOR-ê li ser bloka duyemîn a plaintext bi bloka şîfretextê ya yekem re.
- Şîfrekirina bloka encamkirî bi şîfreyek blokê bi karanîna miftekê.
Ji ber ku CBC operasyona XOR ya binaryê bi vî rengî giran bikar tîne, bila em hinekî bisekinin ku hin taybetmendiyên wê bi bîr bînin:
- Idempotency:
- Berhevkarî:
- Hevkarî:
- Xweparastin:
- Mezinahiya byte: byte n ji = (byte n ji ) (byte n ji )
Bi gelemperî, ev taybetmendî tê vê wateyê ku heke me hevokek ku tevlê operasyonên XOR û yek nenas tê de hebe, ew dikare were çareser kirin. Ji bo nimûne, eger em dizanin bi nenas re û navdar и , wê hingê em dikarin xwe bispêrin taybetmendiyên jorîn ên jorîn ji bo çareserkirina hevkêşeyê . Bi sepandina XOR li her du aliyên hevkêşeyê bi , em distînin . Ev hemî dê di demek nêzîk de pir têkildar bibin.
Di navbera senaryoya Alice û êrîşa Vaudenay de du cûdahiyên piçûk û yek cûdahiyek mezin hene. Du yên piçûk:
- Di senaryoyê de, Alice li bendê bû ku tekstên zelal bi karakteran biqede
a,bb,cccwate ya vê çîye. Di êrîşa Wodene de, mexdûr li şûna wê li bendê ye ku tekstên zelal N caran bi N byte (ango, hexadecimal 01 an 02 02, an 03 03 03, û hwd.) biqede. Ev bi tenê cûdahiyek kozmetîkî ye. - Di senaryoya Alice de, hêsan bû ku meriv bibêje ka Alice bi bersiva "Nivîsa derewîn a xelet" peyam qebûl kiriye. Di êrîşa Vodene de, bêtir analîzek pêdivî ye û pêkanîna rast a li aliyê mexdûr girîng e; lê ji bo kurtenivîsê, em wek diyariyekê bihesibînin ku ev analîz hîn jî gengaz e.
Cûdahiya sereke:
- Ji ber ku em heman pergala krîptoyê bikar neynin, pêwendiya di navbera baytên şîfretext ên ku ji hêla êrîşker ve têne kontrol kirin û razan (kilît û teksta vekirî) eşkere dê cûda be. Ji ber vê yekê, dema ku şîfretextan diafirîne û bersivên serverê şîrove dike, êrîşkar neçar e ku stratejiyek cûda bikar bîne.
Ev cûdahiya sereke perçeya paşîn a puzzle ye ku meriv êrîşa Vaudenay fêm bike, ji ber vê yekê em ji bo demek bifikirin ka çima û çawa êrişek oracle ya li ser CBC dê gengaz be.
Bifikirin ku ji me re şîfretekek CBC ya ji 247 blokan tê dayîn, û em dixwazin wê deşîfre bikin. Em dikarin peyamên sexte ji serverê re bişînin, mîna ku me dikaribû berê ji Alice re peyamên sexte bişîne. Pêşkêşker dê ji me re peyaman deşîfre bike, lê dê deşîfrekirinê nîşan nede - li şûna wê, dîsa, wekî Alice, server dê tenê bitek agahdarî rapor bike: gelo nivîsa zelal pêvek derbasdar heye an na.
Bifikirin ku di senaryoya Alice de me têkiliyên jêrîn hebûn:
$$display$$text{SIMPLE_SUBSTITUTION}(nivisa{ciphertext},text{key}) = text{plaintext}$$display$$
Em ji vê re bibêjin "hevkêşana Alice". Me şîfretext kontrol kir; pêşkêşkara (Alice) agahiyên nezelal der barê nivîsa vekirî ya wergirtî de derxist; û vê yekê hişt ku em agahdariya li ser faktora paşîn - mifteyê bistînin. Bi analogî, ger em karibin pêwendiyek wusa ji bo skrîpta CBC bibînin, dibe ku em li wir jî hin agahdariya veşartî derxînin.
Xwezî, bi rastî têkiliyên li wir hene ku em dikarin bikar bînin. Derketina banga dawîn bihesibînin ku şîfreyek blokê deşîfre bikin û vê derketinê wekî destnîşan bikin . Em blokên teksta sade jî destnîşan dikin û blokên şîfretext . Carek din li diyagrama CBC binêre û bala xwe bide ka çi diqewime:
Ka em jê re bibêjin "hevkêşana CBC".
Di senaryoya Alice de, bi şopandina şîfretextê û temaşekirina derçûna teksta sade ya têkildar, me karî êrîşek pêk bînin ku terma sêyemîn di hevkêşeyê de vedigire - kilît. Di senaryoya CBC de, em di heman demê de şîfretextê jî dişopînin û li ser nivîsa zelal a têkildar li derziyên agahdariyê temaşe dikin. Heger hevsengî hebe, em dikarin li ser agahdarî bistînin .
Ka em bihesibînin ku me bi rastî restore kiriye , wê demê çi? Welê, wê hingê em dikarin tevaya bloka paşîn a nivîsa sade bi carekê çap bikin (), bi tenê bi têketinê (ya ku me heye) û
wergirtin ketin navhevkirina CBC.
Naha ku em di derbarê plana giştî ya êrîşê de geşbîn in, dema wê ye ku em hûrguliyan bixebitin. Ji kerema xwe bala xwe bidin ka agahdariya zelal çawa li ser serverê diherike. Di skrîpta Alice de, vebûn çêbû ji ber ku Alice dê tenê bi peyama rast bersiv bide heke $inline$text{SIMPLE_SUBSTITUTION}(text{ciphertext},text{key})$inline$ bi rêzê biqede. a (an jî bb, û hwd, lê şansên ku van şert û mercan bi şensê dest pê bikin pir hindik bûn). Mîna CBC, server ger û tenê heke peldankê qebûl dike bi hexadecimalê diqede 01. Ji ber vê yekê em heman hîleyê biceribînin: şandina şîfretextên sexte bi nirxên xwe yên sexte heta ku server dagirtinê qebûl bike.
Gava ku server ji bo yek ji peyamên me yên derewîn peldankek qebûl dike, ev tê vê wateyê ku:
Naha em taybetmendiya XOR ya byte-byte bikar tînin:
Em şertên yekem û sêyemîn dizanin. Û me berê jî dît ku ev rê dide me ku em terma mayî paşve vegerînin - byta paşîn ji :
Ev jî bi riya hevkêşeya CBC û taybetmendiya byte-bi-byte byta paşîn a bloka paşîn a paşîn dide me.
Em dikarin vê yekê bihêlin û razî bibin ku me êrîşek li ser şîfreyek teorîkî ya bihêz pêk aniye. Lê di rastiyê de em dikarin hê bêtir bikin: em bi rastî dikarin hemî nivîsê vegerînin. Vê yekê hîleyek hewce dike ku ne di senaryoya orîjînal a Alice de bû û ji bo êrîşa oracle ne hewce ye, lê dîsa jî hêjayî fêrbûnê ye.
Ji bo fêmkirina wê, pêşî bala xwe bidin ku encama derxistina nirxa rast a byteya paşîn ev e me qabiliyeteke nû heye. Naha, dema ku şîfretextan çêdikin, em dikarin byteya paşîn a teksta vekirî ya têkildar manîpule bikin. Dîsa, ev bi hevkêşeya CBC û taybetmendiya byte-byte ve girêdayî ye:
Ji ber ku em niha terma duyemîn dizanin, em dikarin kontrola xwe li ser yekem bikar bînin da ku sêyemîn kontrol bikin. Em bi tenê hesab dikin:
Berê me nikarîbû vî karî bikira ji ber ku hêj baytê paşîn tunebû .
Ev dê çawa alîkariya me bike? Bifikirin ku em niha hemî şîfretextan wisa diafirînin ku di nivîsarên sade yên têkildar de byta paşîn wekhev be. 02. Pêşkêşkar naha tenê peldankê qebûl dike ger nivîsa sade bi dawî bibe 02 02. Ji ber ku me byta paşîn rast kir, ev yek dê biqewime heke byteya paşîn a nivîsa sade jî 02 be. Em blokên şîfretextê sexte dişînin, baytê paşîn diguhezînin, heya ku pêşkêşker peldanka yek ji wan qebûl bike. Di vê xalê de em dibin:
Û em byte ya paşîn nûve dikin mîna ya dawî hat restorekirin. Em bi heman ruhî berdewam dikin: em du baytên paşîn ên nivîsê rast dikin 03 03, em vê êrîşê ji bo baytê sêyemîn ji dawiyê ve dubare dikin û hwd, di dawiyê de bi tevahî vedigerin .
Li ser mayî ya nivîsê? Ji kerema xwe not bikin ku nirx bi rastî $inline$text{BLOCK_DECRYPT}(nivîsar{key},C_{247})$inline$ e. Em dikarin li şûna wan blokek din deynin , û êrîş hîn jî dê serkeftî be. Bi rastî, em dikarin ji serverê bipirsin ku ji bo her daneyê $inline$text{BLOCK_DECRYPT}$inline$ bike. Di vê nuqteyê de, ew lîstik qediya - em dikarin her şîfretextê şîfre bikin (ji bo dîtina vê yekê li şemaya deşîfrekirina CBC dinêrin; û bala xwe bidin ku IV gelemperî ye).
Ev rêbaza taybetî di êrîşa oracle ya ku em ê paşê pê re rû bi rû bimînin de rolek girîng dilîze.
êrîşa Kelsey
John Kelsey me Kelsey prensîbên ku di binê gelek êrişên mumkin de xist, ne tenê hûrguliyên êrîşek taybetî li ser kifşek taybetî. Bûyin lêkolînek êrîşên muhtemel ên li ser daneyên pêçandî yên şîfrekirî ye. Ma hûn difikirin ku agahdariya ku dane berî şîfrekirinê hatine berhev kirin ji bo pêkanîna êrîşek têrê nake? Derket holê ku bes e.
Ev encama sosret ji ber du prensîban e. Pêşîn, di navbera dirêjahiya plaintext û dirêjahiya ciphertext de têkiliyek xurt heye; ji bo gelek şîfreyan wekheviya rastîn. Ya duyemîn, dema ku kompresyon tê kirin, di heman demê de têkiliyek xurt di navbera dirêjahiya peyama pêçandî û asta "dengdêriya" ya nivîsê de heye, ango rêjeya tîpên ku nayên dubare kirin (têgîna teknîkî "entropiya bilind" e. ).
Ji bo ku prensîbê di çalakiyê de bibînin, du nivîsên zelal bifikirin:
Teksta sade 1:
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAATeksta sade 2:
ATVXCAGTRSVPTVVULSJQHGEYCMQPCRQBGCYIXCFJGJ
Ka em bihesibînin ku her du nivîsarên vekirî têne pêçandin û paşê têne şîfre kirin. Hûn du şîfretextên encam digirin û pêdivî ye ku texmîn bikin ka kîjan şîfretext bi kîjan teksta vekirî re hevaheng dike:
Şîfretext 1:
PVOVEYBPJDPVANEAWVGCIUWAABCIYIKOOURMYDTAŞîfretext 2:
DWKJZXYU
Bersiv eşkere ye. Di nav deştên sade de, tenê teksta sade 1 dikaribû di dirêjahiya hindik a şîfretexta duyemîn de were berhev kirin. Me ev yek fêhm kir bêyî ku di derheqê algorîtmaya berhevkirinê, mifteya şîfrekirinê, an tewra şîfreyê bixwe de tiştek zanibin. Li gorî hiyerarşiya êrîşên krîptografîk ên gengaz, ev celebek dîn e.
Kelsey wekî din destnîşan dike ku di bin hin şert û mercên neasayî de ev prensîb dikare ji bo pêkanîna êrîşek oracle jî were bikar anîn. Bi taybetî, ew diyar dike ka êrîşkarek çawa dikare nivîsa nepenî ya veşartî vegerîne heke ew karibe serverê mecbûr bike ku daneyên formê şîfre bike dema ku ew di bin kontrolê de ye û dikare bi rengek dirêjahiya encama şîfrekirî kontrol bike.
Dîsa, mîna êrîşên oracle yên din, têkiliya me heye:
Dîsa, em yek termek kontrol dikin (), em di derbarê endamek din de (şîfretext) agahdariyek piçûk dibînin û hewl didin ku ya paşîn (nivîsa vekirî) vegerînin. Digel hevahengiyê, ev rewşek hinekî ne asayî ye li gorî êrişên din ên oracle ku me dîtiye.
Ji bo ronîkirina ka êrîşek wusa çawa dibe ku bixebite, bila em nexşeyek tevlihevkirina xeyalî ya ku me nû pê re peyda kiriye bikar bînin: TOYZIP. Ew li rêzikên nivîsê yên ku berê di nivîsê de xuya bûne digere û li şûna wan sê bytên cîh digire ku nîşan dide ku meriv mînakek berê ya rêzê li ku derê bibîne û çend caran li wir xuya dike. Ji bo nimûne, rêz helloworldhello dikare di nav de were pêçan helloworld[00][00][05] 13 bytes dirêj li gorî ya orjînal 15 bytes.
Bifikirin ku êrîşkarek hewl dide ku teksta zelal a formekê vegerîne password=..., ku şîfre bixwe nenas e. Li gorî modela êrîşa Kelsey, êrîşkar dikare ji serverê bixwaze ku peyamên formê bişkîne û dûv re şîfre bike ), li ku - nivîsa belaş. Dema ku server kar qedand, ew dirêjahiya encamê radigihîne. Êrîş wiha derbas dibe:
Diz: Ji kerema xwe nivîsa sade bêyî peldank bişkînin û şîfre bikin.
Server: Encama dirêjî 14.
Diz: Ji kerema xwe metna sade ya ku pêve hatîye berhevkirin û şîfre bike
password=a.Server: Encama dirêjî 18.
Nîşaneyên cracker: [orijînal 14] + [sê baytên ku li şûna wan hatine girtin password=] + a
Diz: Ji kerema xwe metna sade ya ku lê hatiye zêdekirin bişkînin û şîfre bikin
password=b.Server: Encama dirêjî 18.
Diz: Ji kerema xwe metna sade ya ku lê hatiye zêdekirin bişkînin û şîfre bikin
password=с.Server: Encama dirêjî 17.
Nîşaneyên cracker: [orijînal 14] + [sê baytên ku li şûna wan hatine girtin password=c]. Ev dihesibîne ku teksta bingehîn a orîjînal rêzê dihewîne password=c. Ango şîfre bi tîpekê dest pê dike c
Diz: Ji kerema xwe metna sade ya ku lê hatiye zêdekirin bişkînin û şîfre bikin
password=сa.Server: Encama dirêjî 18.
Nîşaneyên cracker: [orijînal 14] + [sê baytên ku li şûna wan hatine girtin password=с] + a
Diz: Ji kerema xwe metna sade ya ku lê hatiye zêdekirin bişkînin û şîfre bikin
password=сb.Server: Encama dirêjî 18.
(… Piştî demekê…)
Diz: Ji kerema xwe metna sade ya ku lê hatiye zêdekirin bişkînin û şîfre bikin
password=со.Server: Encama dirêjî 17.
Nîşaneyên cracker: [orijînal 14] + [sê baytên ku li şûna wan hatine girtin password=co]. Bi karanîna heman mantiqê, êrîşkar encam dide ku şîfre bi tîpan dest pê dike co
Û bi vî awayî heta ku şîfreya tevahî were vegerandin.
Xwendevan ji bîr kirin ku difikirî ku ev xebatek paqij a akademîk e û ev senaryoyek êrîşkar ev ê tu carî di cîhana rastîn de dernekeve. Mixabin, wekî ku em ê di demek nêzîk de bibînin, çêtir e ku meriv dev ji şîfrekirinê bernede.
Qelsiyên marka: SÛC, POODLE, DROWN
Di dawiyê de, piştî lêkolîna teoriyê bi hûrgulî, em dikarin bibînin ka van teknîkan di êrişên krîptografî yên rastîn de çawa têne sepandin.
NEBAŞÎ
Ger êrîş gerok û tora mexdûran bike hedef, hin tişt dê hêsantir bibin û hin dê dijwartir bibin. Mînakî, dîtina seyrûsefera qurbanê hêsan e: tenê bi wî re li heman qehwexaneyê bi WiFi re rûnin. Ji ber vê yekê, mexdûrên potansiyel (ango her kes) bi gelemperî tê pêşniyar kirin ku pêwendiyek şîfrekirî bikar bînin. Dê dijwartir be, lê dîsa jî gengaz e, ku meriv li ser navê mexdûran daxwazên HTTP-ê li hin malperek sêyemîn (mînak, Google) bike. Divê êrîşkar bi skrîptek ku daxwazê dike qurbanî bikişîne ser rûpelek malperek xirab. Geroka webê dê bixweber cookie danişîna têkildar peyda bike.
Ev ecêb xuya dike. Ger Bob çû evil.com, dikare skrîpta li ser vê malperê tenê ji Google bixwaze ku şîfreya Bob jê re e-nameyê bişîne [email protected]? Belê, di teoriyê de erê, lê di rastiyê de na. Ji vê senaryoyê re êrîşek sextekariya daxwaza xaç-malper tê gotin (, CSRF), û ew di nîvê salên 90-an de populer bû. Îro eger evil.com Vê hîleyê biceribîne, Google (an malperek ku ji xwe re rêzdar e) dê bi gelemperî bersivê bide, "Gelî ye, lê tokena weya CSRF ji bo vê danûstendinê dê bibe ... um ... три триллиона и семь. Ji kerema xwe vê hejmarê dubare bikin." Gerokên nûjen tiştek bi navê "siyaseta heman eslê xwe" heye ku ji ber vê yekê nivîsarên li ser malpera A bigihîjin agahdariya ku ji hêla malpera B ve hatî şandin. Ji ber vê yekê skrîpta li ser evil.com dikarin daxwazan bişînin google.com, lê nikare bersivan bixwîne an bi rastî danûstendinê temam bike.
Pêdivî ye ku em tekez bikin ku heya ku Bob pêwendiyek şîfrekirî bikar neyîne, ev hemî parastin bêwate ne. Êrîşkarek tenê dikare seyrûsefera Bob bixwîne û cookie-ya danişîna Google-ê vegerîne. Bi vê cookie re, ew ê bi tenê tabloyek Google-ê ya nû veke bêyî ku geroka xwe bihêle û bêyî ku rûbirûyê polîtîkayên heman eslê xwe yên acizker bibe, xwe bike Bob. Lê, mixabin ji bo dizek, ev her ku diçe kêm dibe. Înternetê bi tevahî demek dirêj şer li dijî girêdanên neşîfrekirî ragihandiye, û seyrûsefera Bob ya derketinê belkî şîfrekirî ye, gelo ew jê hez dike an na. Wekî din, ji destpêka pêkanîna protokolê ve, seyrûsefer jî bû piçûk kirin berî şîfrekirinê; ev pratîka hevpar bû ku dereng kêm bike.
Ev e ku ew di lîstikê de tê (Rêjeya Tevlihevkirinê Infoleak Bi Rêjeya Tevlihevkirinê re Hêsan çêkir, lehiya hêsan). Ev qelsî di îlona 2012 de ji hêla lêkolînerên ewlehiyê Juliano Rizzo û Thai Duong ve hate eşkere kirin. Me berê tevahiya bingeha teorîk vekolandiye, ku rê dide me ku em fam bikin ka wan çi kir û çawa. Acrîşvanek dikare li geroka Bob zorê bide ku daxwazên Google bişîne û paşê li bersivên li ser tora herêmî bi rengek tevlihev, şîfrekirî guhdarî bikin. Ji ber vê yekê me heye:
Li vir êrîşkar daxwazê kontrol dike û gihîştina seyrûsefera trafîkê, tevî mezinahiya pakêtê, heye. Senaryoya xeyalî ya Kelsey ket jiyanê.
Fêmkirina teoriyê, nivîskarên CRIME kedkariyek çêkir ku dikare çerezên danişînê ji bo cûrbecûr malperan dizîne, di nav de Gmail, Twitter, Dropbox û Github. Qelsiyê bandor li piraniya gerokên tevneyê yên nûjen kir, di encamê de paç hatin berdan ku bi bêdengî taybetmendiya berhevkirinê di SSL-ê de veşartin da ku ew qet neyê bikar anîn. Yekane ya ku ji qelsiyê hate parastin Internet Explorer-ê ya rêzdar bû, ku qet qet compressiona SSL-ê bikar neaniye.
POODLE
Di Cotmeha 2014-an de, tîmê ewlehiya Google-ê di civata ewlehiyê de pêlan çêkir. Wan karîbûn qelsiyek di protokola SSL-ê de ku ji deh sal berê ve hatî veqetandin bikar bînin.
Derket holê ku dema ku server TLSv1.2-ya nû ya bibiriqandî dimeşîne, gelekan ji bo lihevhatina paşverû ya bi Internet Explorer 3 re piştgirî hiştine ji bo SSLv6-ya mîras. Sabotajek bi rêkûpêk a protokola destan û pêşkêşker amade ne ku vegerin ser SSLv3 ya kevnare, bi bingehîn lêkolîna ewlehiyê ya 15 salên paşîn betal bike.
Ji bo çarçoveya dîrokî, :
Ewlekariya Layera Veguhastinê (TLS) protokola ewlehiyê ya herî girîng a li ser Înternetê ye. [..] Hema hema her danûstendina ku hûn li ser Înternetê dikin bi TLS ve girêdayî ye. [..] Lê TLS her gav ne TLS bû. Protokolê dest bi jiyana xwe kir jê re "Secure Sockets Layer" an jî SSL tê gotin. Gotûbêj heye ku guhertoya yekem a SSL-ê ew qas tirsnak bû ku pêşdebiran hemî çapên kodê berhev kirin û wan li erdek veşartî li New Mexico veşartin. Wekî encamek, yekem guhertoya gelemperî ya SSL-ê bi rastî ye . Ew pir tirsnak e, û [..] ew hilberek nîvê salên 90-an bû, ku krîptografên nûjen wekî "" Gelek êrîşên krîptografîk ên herî hovane ku em îro pê dizanin hêj nehatine keşif kirin. Wekî encamek, pêşdebirên protokola SSLv2 bi bingehîn hişt ku riya xwe di tariyê de bişewitînin, û ew rû bi rû - ji bo xemgîniya wan û berjewendiya me, ji ber ku êrîşên li ser SSLv2 ji protokolên nifşê paşîn re dersên hêja hiştin.
Piştî van bûyeran, di sala 1996-an de, Netscape-ek xemgîn protokola SSL ji nû ve dîzayn kir. Encam guhertoya SSL 3 bû, ku .
Xwezî ji bo dizdaran, "çend" nayê wateya "hemû". Bi tevayî, SSLv3 ji bo destpêkirina êrîşek Vodene hemî blokên avahiyê yên pêwîst peyda kir. Protokolê şîfreyek bloka moda CBC û nexşeyek pêvekirî ya neewle bikar anî (ev di TLS de hate rast kirin; ji ber vê yekê pêdivî bi êrîşek dakêşanê heye). Ger di danasîna meya orjînal a êrîşa Vaudenay de pilana padding bi bîr bînin, pilana SSLv3 pir dişibihe.
Lê, mixabin ji bo dizdaran, "wekhev" nayê wateya "hev". Pîlana peldanka SSLv3 "N baytên rasthatî yên li pey jimareya N" e. Biceribînin, di bin van şert û mercan de, ku hûn bloka xeyalî ya şîfretext hilbijêrin û hemî gavên nexşeya orîjînal a Vaudene derbas bikin: hûn ê bibînin ku êrîş bi serfirazî baytê paşîn ji bloka têkildar a teksta vekirî derdixe, lê pêştir naçe. Deşîfrekirina her 16 byte ya şîfretext hîleyek mezin e, lê ew ne serkeftinek e.
Bi têkçûnê re rû bi rû ma, tîmê Google serî li çareyek paşîn da: wan veguherî modelek xeternak a bihêztir - ya ku di Sûc tê bikar anîn. Bihesibînin ku êrîşkar skrîptek e ku di tabloya geroka mexdûr de tê xebitandin û dikare çerezên danişînê derxe, êrîş hîn jî bandorker e. Dema ku modela tehdîdê ya berfireh kêmtir realîst e, me di beşa berê de dît ku ev modela taybetî pêkan e.
Ji ber van kapasîteyên êrîşker ên bihêztir, êrîş êdî dikare berdewam bike. Bala xwe bidinê ku êrîşkar dizane ku cookie-ya danişîna şîfrekirî li ku derê di serî de xuya dike û dirêjahiya daxwaza HTTP ya berî wê kontrol dike. Ji ber vê yekê, ew dikare daxwaziya HTTP-ê manîpule bike da ku baytê paşîn a cookie bi dawiya blokê re were hev kirin. Naha ev byte ji bo deşîfrekirinê maqûl e. Hûn dikarin bi tenê yek karakterek li daxwazê zêde bikin, û byte ya paşîn a cookie dê li heman cîhê bimîne û ji bo hilbijartinê bi karanîna heman rêbazê re maqûl e. Êrîş bi vî rengî berdewam dike heya ku pelê cookie bi tevahî were vegerandin. Jê re dibêjin POODLE: Padding Oracle li ser Şîfrekirina Legacy ya Daxistî.
FETISÎN
Wekî ku me behs kir, SSLv3 kêmasiyên xwe hebûn, lê ew bi bingehîn ji pêşiyê xwe cûda bû, ji ber ku SSLv2-ya lewaz hilberek serdemek cûda bû. Li wir hûn dikarin peyamê di navîn de qut bikin: соглашусь на это только через мой труп zivirî nav соглашусь на это; xerîdar û server dikaribûn bi serhêl bicivin, pêbaweriyê saz bikin û razan li ber êrîşkar biguhezînin, yê ku wê hingê dikaribû bi hêsanî her duyan bişopîne. Pirsgirêka krîptografiya hinardekirinê jî heye, ya ku me dema ku FREAK-ê dihesibîne behs kir. Ev Sodom û Gomora ya krîptografîk bûn.
Di Adara 2016-an de, tîmek lêkolînerên ji warên teknîkî yên cihêreng hatin ba hev û vedîtinek ecêb kirin: SSLv2 hîn jî di pergalên ewlehiyê de tê bikar anîn. Erê, êrîşkar êdî nikarîbûn danişînên TLS-ê yên nûjen daxin SSLv2 ji ber ku ew qul piştî FREAK û POODLE girtî bû, lê ew dîsa jî dikarin bi serveran ve girêbidin û danişînên SSLv2 bi xwe bidin destpêkirin.
Hûn dikarin bipirsin, çima em bala xwe didin ku ew li wir çi dikin? Wan danişînek xeternak heye, lê divê ew bandorê li danişînên din an ewlehiya serverê neke - rast? Belê, ne tam. Erê, di teorîyê de divê wisa be. Lê na - ji ber ku hilberîna sertîfîkayên SSL barek diyar dike, di encamê de gelek server heman sertîfîkayan bikar tînin û, di encamê de, heman mifteyên RSA ji bo girêdanên TLS û SSLv2 bikar tînin. Ji bo ku rewş xirabtir bibe, ji ber xeletiyek OpenSSL, vebijarka "Neçalakkirina SSLv2" di vê pêkanîna SSL-ya populer de bi rastî nexebitî.
Vê yekê kir ku êrîşek cross-protokolê ya li ser TLS, bi navê (Şîfrekirina RSA bi şîfrekirina kevn û qelsbûyî, deşîfrekirina RSA bi şîfrekirina kevn û qels). Bînin bîra xwe ku ev ne heman êrîşek kurt e; êrîşkar ne hewce ye ku wekî "zilamek di navîn" de tevbigere û ne hewce ye ku xerîdar beşdarî danişînek neewle bike. Êrîşker bi xwe re danişînek SSLv2 ne ewledar bi serverê re didin destpêkirin, êrîşî protokola qels dikin, û mifteya taybet a RSA ya serverê vedigirin. Ev mift ji bo girêdanên TLS-ê jî derbasdar e, û ji vê gavê û pê ve, ti mîqdara ewlehiya TLS dê rê li ber têkdana wê bigire.
Lê ji bo şikandina wê, hûn hewceyê êrîşek xebatkar a li dijî SSLv2, ku dihêle hûn ne tenê seyrûsefera taybetî, lê di heman demê de mifteya servera RSA ya veşartî jî paşde bigirin. Her çend ev sazûmanek tevlihev e, lêkoler dikarin her lawaziyek ku piştî SSLv2 bi tevahî girtî bû hilbijêrin. Wan di dawiyê de vebijarkek minasib dîtin: êrîşa Bleichenbacher, ku me berê behs kir û ya ku em ê di gotara pêş de bi hûrgulî rave bikin. SSL û TLS ji vê êrîşê têne parastin, lê hin taybetmendiyên bêserûber ên SSL-ê, digel bişkokên kurt ên di şîfrekirina pola hinardekirinê de, ev gengaz kir. .
Di dema weşanê de, 25% ji malperên top ên Înternetê di bin xetereya DROWN de bandor bûne, û êrîş dikare bi çavkaniyên hûrgelê yên ku ji hackerên tenê yên xapînok re jî hene were kirin. Ji bo wergirtina mifteya RSA ya serverê heşt saet hesab û 440 dolar lazim bû, û SSLv2 ji kevinbûyî bû radyoaktîf.
Biserve, çi li ser Heartbleed?
Ev ne êrîşek krîptografî ye di wateya ku li jor hatî destnîşan kirin; Ev zêdebûneke tampon e.
Werin em bihna xwe bidin
Me bi hin teknîkên bingehîn dest pê kir: hêza hov, navberkirin, daxistin, protokola cross-protokol, û pêş-hesibandin. Dûv re me li yek teknîkek pêşkeftî nihêrî, dibe ku hêmana sereke ya êrîşên krîptografî yên nûjen: êrîşa oracle. Me gelek dem derbas kir ku wê fêhm bikin - û ne tenê prensîba bingehîn, lê di heman demê de hûrguliyên teknîkî yên du pêkanînên taybetî jî fêm kirin: êrîşa Vaudenay li ser moda şîfrekirina CBC û êrîşa Kelsey li ser protokolên şîfrekirina pêş-komperasyonê.
Di vekolîna êrîşên daxistinê û pêşhesibandinê de, me bi kurtî êrîşa FREAK-ê destnîşan kir, ku her du rêbazan bikar tîne da ku malperên armanc berbi bişkojkên qels dakêşînin û dûv re heman bişkokan ji nû ve bikar bînin. Ji bo gotara paşîn, em ê êrîşa Logjam (pir dişibih), ku algorîtmayên mifteya giştî dike armanc, xilas bikin.
Dûv re me li sê mînakên din ên sepandina van prensîban nihêrî. Pêşîn, sûc û poodle: Du êrişên ku li ser qeweta êrişkar in ku plointextek xwerû li pêşiya plaintextek hedefê ve girêdayî ne, piştre bersivên serverê vekolînin û paşê, bi karanîna metodolojiya êrîşa oracle, vê agahdariya hindik bikar bînin da ku, bi qismî verastkirina nivîsê. Sûcê rêça êrîşa Kelsey li ser kompresyona SSL-ê çû, dema ku poodle li şûna vê êrişek vaudenay li ser CBC bi heman bandorê bikar anî.
Dûv re me bala xwe da êrîşa cross-protokola DROWN, ku bi karanîna protokola mîrateya SSLv2 ve têkiliyek bi serverê re saz dike û dûv re bi karanîna êrîşa Bleichenbacher bişkojkên veşartî yên serverê vedigire. Me hûrgiliyên teknîkî yên vê êrîşê ji niha ve derbas kiriye; mîna Logjam, ew ê li bendê bimîne heya ku em di derheqê pergalên krîptoyê yên mifteya giştî û qelsiyên wan de baş fam bikin.
Di gotara pêş de em ê li ser êrişên pêşkeftî yên wekî hevdîtin-di-navîn, krîptoanalyza cûda û êrişên rojbûnê biaxivin. Werin em bi lez bikevin nav êrîşên kanala alî, û dûv re bigihîjin goştê meselê: Pergalên krîptoyê yên mifteya giştî.
Source: www.habr.com