Meta tisma 'l-kelma "kriptografija," xi nies jiftakru l-password tal-WiFi tagħhom, il-katnazz aħdar ħdejn l-indirizz tal-websajt favorita tagħhom, u kemm huwa diffiċli li tidħol fl-email ta' xi ħadd ieħor. Oħrajn ifakkru f'serje ta' vulnerabbiltajiet f'dawn l-aħħar snin b'abbrevjazzjonijiet li javżak (DROWN, FREAK, POODLE...), logos stylish u twissija biex taġġorna b'mod urġenti l-browser tiegħek.

Il-kriptografija tkopri dan kollu, iżda essenza ta ' f'ieħor. Il-punt hu li hemm linja fina bejn sempliċi u kumplessa. Xi affarijiet huma faċli li jagħmlu, iżda diffiċli biex jerġgħu jitpoġġew flimkien, bħal tkissir bajda. Affarijiet oħra huma faċli biex isiru iżda diffiċli biex terġa 'lura meta tkun nieqsa parti żgħira, importanti u kruċjali: pereżempju, il-ftuħ ta' bieb imsakkar meta l-"parti kruċjali" hija ċ-ċavetta. Il-kriptografija tistudja dawn is-sitwazzjonijiet u kif jistgħu jintużaw fil-prattika.

F'dawn l-aħħar snin, il-ġbir ta 'attakki kriptografiċi nbidel f'zoo ta' logos flashy, mimlija b'formuli minn karti xjentifiċi, u tat lok għal sensazzjoni gloomy ġenerali li kollox huwa miksur. Iżda fil-fatt, ħafna mill-attakki huma bbażati fuq ftit prinċipji ġenerali, u paġni bla tarf ta 'formuli ħafna drabi huma mgħollija għal ideat faċli biex jinftiehmu.

F'din is-serje ta 'artikoli, se nħarsu lejn it-tipi differenti ta' attakki kriptografiċi, b'enfasi fuq il-prinċipji bażiċi. F'termini ġenerali u mhux eżattament f'din l-ordni, iżda se nkopru dan li ġej:

Strateġiji bażiċi: forza bruta, analiżi tal-frekwenza, interpolazzjoni, downgrading u cross-protokolls.
Vulnerabbiltajiet tad-ditta: FREAK, KRIMINALITÀ, POODLE, DROWN, Logjam.
Strateġiji Avvanzati: attakki oracle (attakk Vodenet, attakk Kelsey); metodu meet-in-the-middle, attakk ta 'għeluq, preġudizzju statistiku (kriptoanaliżi differenzjali, kriptoanaliżi integrali, eċċ.).
Attakki tal-kanali tal-ġenb u l-qraba qrib tagħhom, metodi ta 'analiżi ta' falliment.
Attakki fuq il-kriptografija taċ-ċavetta pubblika: għerq kubu, xandir, messaġġ relatat, attakk Coppersmith, algoritmu Pohlig-Hellman, għarbiel numru, attakk Wiener, attakk Bleichenbacher.

Dan l-artikolu partikolari jkopri l-materjal ta 'hawn fuq sa l-attakk ta' Kelsey.

Strateġiji Bażiċi

L-attakki li ġejjin huma sempliċi fis-sens li jistgħu jiġu spjegati kważi kompletament mingħajr ħafna dettall tekniku. Ejja nispjegaw kull tip ta 'attakk fl-aktar termini sempliċi, mingħajr ma nidħlu f'eżempji kumplessi jew każijiet ta' użu avvanzati.

Xi wħud minn dawn l-attakki fil-biċċa l-kbira saru skaduti u ilhom ma jintużaw għal ħafna snin. Oħrajn huma old-timers li għadhom regolarment sneak up fuq żviluppaturi kriptosistema li ma jissuspettawx fis-seklu 21. L-era tal-kriptografija moderna tista 'titqies li bdiet bil-miġja ta' IBM DES, l-ewwel ċifra li rreżistiet l-attakki kollha fuq din il-lista.

Forza brutali sempliċi

L-iskema ta 'kodifikazzjoni tikkonsisti f'żewġ partijiet: 1) il-funzjoni ta' encryption, li tieħu messaġġ (test sempliċi) flimkien ma 'ċavetta, u mbagħad toħloq messaġġ encrypted - ciphertext; 2) funzjoni ta 'decryption li tieħu l-ciphertext u ċ-ċavetta u tipproduċi plaintext. Kemm l-encryption kif ukoll id-decryption għandhom ikunu faċli biex jiġu kkalkulati biċ-ċavetta—u diffiċli biex jiġu kkalkulati mingħajrha.

Ejja nassumu li naraw it-test taċ-ċifra u nippruvaw niddeċifrawh mingħajr ebda informazzjoni addizzjonali (dan jissejjaħ attakk taċ-ċifra biss). Jekk b'xi mod maġikament insibu ċ-ċavetta t-tajba, nistgħu faċilment nivverifikaw li hija tassew korretta jekk ir-riżultat ikun messaġġ raġonevoli.

Innota li hawn żewġ suppożizzjonijiet impliċiti. L-ewwel, nafu kif inwettqu d-decryption, jiġifieri, kif taħdem is-sistema kriptografika. Din hija suppożizzjoni standard meta tiġi diskussa l-kriptografija. Il-ħabi tad-dettalji tal-implimentazzjoni taċ-ċifra mill-attakkanti jista 'jidher miżura ta' sigurtà addizzjonali, iżda ladarba l-attakkant jifhem dawn id-dettalji, din is-sigurtà addizzjonali tintilef bil-kwiet u b'mod irriversibbli. Dak hu kif Prinċipju ta’ Kerchhoffs: Is-sistema li taqa 'f'idejn l-ghadu m'għandhiex tikkawża inkonvenjent.

It-tieni nett, nassumu li ċ-ċavetta korretta hija l-unika ċavetta li twassal għal deċifrar raġonevoli. Din hija wkoll suppożizzjoni raġonevoli; huwa sodisfatt jekk it-test taċ-ċifra huwa ħafna itwal miċ-ċavetta u jinqara. Dan huwa ġeneralment dak li jiġri fid-dinja reali, ħlief ċwievet enormi mhux prattiċi jew shenanigans oħra li aħjar jitħallew fil-ġenb (jekk ma tħobbx li aħna naqbeż l-ispjegazzjoni, jekk jogħġbok ara t-Teorema 3.8 hawn).

Minħabba dan ta 'hawn fuq, tqum strateġija: iċċekkja kull ċavetta possibbli. Din tissejjaħ forza bruta, u tali attakk huwa ggarantit li jaħdem kontra ċ-ċifraturi prattiċi kollha - eventwalment. Per eżempju, forza bruta hija biżżejjed biex Hack Ċesari ċifra, ċifra tal-qedem fejn iċ-ċavetta hija ittra waħda tal-alfabett, li timplika ftit aktar minn 20 ċavetta possibbli.

Sfortunatament għall-kriptoanalisti, iż-żieda tad-daqs taċ-ċavetta hija difiża tajba kontra l-forza bruta. Hekk kif id-daqs taċ-ċavetta jiżdied, in-numru ta 'ċwievet possibbli jiżdied b'mod esponenzjali. B'daqsijiet taċ-ċavetta moderni, forza bruta sempliċi hija kompletament imprattika. Biex nifhmu xi ngħidu, ejja nieħdu s-superkompjuter l-aktar mgħaġġel magħruf minn nofs l-2019: Samit minn IBM, bl-ogħla prestazzjoni ta 'madwar 1017 operazzjoni kull sekonda. Illum, it-tul tipiku taċ-ċavetta huwa 128 bit, li jfisser 2128 kombinazzjoni possibbli. Biex tfittex iċ-ċwievet kollha, is-superkompjuter tas-Summit se jkollu bżonn ħin li jkun madwar 7800 darba l-età tal-Univers.

Il-forza brutali għandha titqies bħala kurżità storika? Mhux xejn: huwa ingredjent meħtieġ fil-ktieb tat-tisjir tal-kriptoanaliżi. Rarament iċ-ċifri jkunu daqshekk dgħajfa li jistgħu jitkissru biss b'attakk għaqli, mingħajr l-użu tal-forza sa grad jew ieħor. Ħafna hacks ta 'suċċess jużaw metodu algoritmiku biex idgħajjef iċ-ċifra fil-mira l-ewwel, u mbagħad iwettqu attakk ta' forza bruta.

Analiżi tal-frekwenza

Il-biċċa l-kbira tat-testi mhumiex gibberish. Pereżempju, fit-testi bl-Ingliż hemm ħafna ittri 'e' u artikoli 'the'; f'fajls binarji, hemm ħafna bytes żero bħala padding bejn biċċiet ta 'informazzjoni. L-analiżi tal-frekwenza hija kwalunkwe attakk li jieħu vantaġġ minn dan il-fatt.

L-eżempju kanoniku ta 'cipher vulnerabbli għal dan l-attakk huwa l-ċifra ta' sostituzzjoni sempliċi. F'dan iċ-ċifra, iċ-ċavetta hija tabella bl-ittri kollha mibdula. Pereżempju, 'g' tinbidel b''h', 'o' b'j, għalhekk il-kelma 'go' ssir 'hj'. Din iċ-ċifra hija diffiċli għall-forza bruta minħabba li hemm ħafna tabelli ta 'tiftix possibbli. Jekk int interessat fil-matematika, it-tul taċ-ċavetta effettiv huwa ta 'madwar 88 bit: dak
. Iżda l-analiżi tal-frekwenza normalment tagħmel ix-xogħol malajr.

Ikkunsidra t-test taċ-ċifra li ġej ipproċessat b'ċifra ta' sostituzzjoni sempliċi:

XDYLY ALY UGLY XDWNKE WN DYAJYN ANF YALXD DGLAXWG XDAN ALY FLYAUX GR WN OGQL ZDWBGEGZDO

Peress Y iseħħ ta 'spiss, inkluż fl-aħħar ta' ħafna kliem, nistgħu tentattivament nassumu li din hija l-ittra e:

XDeLe ALe UGLe XDWNKE WN DeAJeN ANF eALXD DGLAXWG XDAN ALe FLeAUX GR WN OGQL ZDWBGEGZDO

Koppja XD ripetuta fil-bidu ta’ diversi kliem. B'mod partikolari, il-kombinazzjoni XDeLe tissuġġerixxi b'mod ċar il-kelma these jew there, mela ejja nkomplu:

theLe ALe UGLe THWNKE WN heAJeN ANF eALth DGLAtWG MILL ALe FLeAUt GR WN OGQL ZDWBGEGZDO

Ejja nassumu aktar li L соответствует r, A - a u l-bqija. Probabbilment se jieħu ftit provi, iżda meta mqabbel ma 'attakk ta' forza bruta sħiħa, dan l-attakk jerġa 'jġib it-test oriġinali fi ftit ħin:

hemm aktar affarijiet fis-sema u l-art horatio milli ħolmu fil-filosofija tiegħek

Għal xi wħud, is-soluzzjoni ta '"kriptogrammi" bħal dawn hija passatemp eċċitanti.

L-idea ta 'analiżi tal-frekwenza hija aktar fundamentali milli jidher mal-ewwel daqqa t'għajn. U japplika għal ċifraturi ħafna aktar kumplessi. Matul l-istorja, diversi disinji taċ-ċifra ppruvaw jikkumbattu tali attakk billi jużaw "sostituzzjoni polialfabetika". Hawnhekk, matul il-proċess tal-kriptaġġ, it-tabella tas-sostituzzjoni tal-ittri hija modifikata b'modi kumplessi iżda prevedibbli li jiddependu fuq iċ-ċavetta. Dawn iċ-ċifraturi kollha kienu kkunsidrati diffiċli biex jinkisru f'ħin wieħed; u madankollu analiżi tal-frekwenza modesta eventwalment għelbethom kollha.

Iċ-ċifra polialfabetika l-aktar ambizzjuża fl-istorja, u probabbilment l-aktar famuża, kienet iċ-ċifra Enigma tat-Tieni Gwerra Dinjija. Kien relattivament kumpless meta mqabbel mal-predeċessuri tiegħu, iżda wara ħafna xogħol iebes, il-kriptoanalisti Brittaniċi kkrekkjawha bl-użu tal-analiżi tal-frekwenza. Naturalment, ma setgħux jiżviluppaw attakk eleganti bħal dak muri hawn fuq; kellhom iqabblu pari magħrufa ta' plaintext u ciphertext (l-hekk imsejjaħ "plaintext attack"), u saħansitra pprovokaw lill-utenti ta' Enigma biex jikkriptaw ċerti messaġġi u janalizzaw ir-riżultat (l-"attakk ta' plaintext"). Iżda dan ma għamilx id-destin tal-armati tal-għadu megħluba u s-sottomarini mgħarrqa aktar faċli.

Wara dan it-trijonf, l-analiżi tal-frekwenza sparixxa mill-istorja tal-kriptoanaliżi. Iċ-ċifri fl-era diġitali moderna huma ddisinjati biex jaħdmu bil-bits, mhux bl-ittri. Aktar importanti minn hekk, dawn iċ-ċifri ġew iddisinjati bil-fehim skur ta 'dak li aktar tard sar magħruf bħala il-liġi ta' Schneier: Kulħadd jista 'joħloq algoritmu ta' kriptaġġ li huwa stess ma jistax jikser. Mhuwiex biżżejjed għas-sistema ta 'kriptaġġ deher diffiċli: biex jipprova l-valur tiegħu, għandu jgħaddi minn reviżjoni tas-sigurtà bla ħniena minn ħafna kriptoanalisti li se jagħmlu l-almu tagħhom biex jaqtgħu l-ċifra.

Kalkoli preliminari

Ħu l-belt ipotetika ta 'Precom Heights, popolazzjoni 200. Kull dar fil-belt fiha medja ta 'valur ta' $ 000 ta 'valur, iżda mhux aktar minn valur ta' $ 30. Is-suq tas-sigurtà fi Precom huwa monopolizzat minn ACME Industries, li tipproduċi s-serraturi leġġendarji tal-bibien tal-klassi Coyote™. Skont analiżi esperta, serratura tal-klassi Coyote tista 'tinkisser biss minn magna ipotetika kumplessa ħafna, li l-ħolqien tagħha teħtieġ madwar ħames snin u $000 f'investiment. Il-belt hija sigura?

X'aktarx le. Eventwalment, se jidher kriminal pjuttost ambizzjuż. Hu se jirraġuna hekk: “Iva, se nġarrab spejjeż kbar bil-quddiem. Ħames snin ta 'stennija tal-pazjent, u $50. Imma meta nlesti, ikolli aċċess għal il-ġid kollu ta’ din il-belt. Jekk nilgħab il-karti tiegħi sew, dan l-investiment se jħallas għalih innifsu ħafna drabi.”

L-istess jgħodd fil-kriptografija. L-attakki kontra ċifra partikolari huma suġġetti għal analiżi bla ħniena tal-kost-benefiċċju. Jekk il-proporzjon huwa favorevoli, l-attakk ma jseħħx. Iżda l-attakki li jaħdmu kontra ħafna vittmi potenzjali f'daqqa kważi dejjem jagħtu l-frott, f'liema każ l-aħjar prattika tad-disinn hija li wieħed jassumi li bdew mill-ewwel jum. Essenzjalment għandna verżjoni kriptografika tal-Liġi ta 'Murphy: "Kull ħaġa li fil-fatt tista' tkisser is-sistema se tkisser is-sistema."

L-aktar eżempju sempliċi ta 'sistema kriptografika li hija vulnerabbli għal attakk ta' qabel il-komputazzjoni hija ċifra kostanti mingħajr ċavetta. Dan kien il-każ ma ' Iċ-ċifra ta’ Caesar, li sempliċement iċċaqlaq kull ittra ta 'l-alfabett tliet ittri 'l quddiem (it-tabella hija looped, għalhekk l-aħħar ittra fl-alfabett hija encrypted it-tielet). Hawnhekk għal darb'oħra jidħol fis-seħħ il-prinċipju ta' Kerchhoffs: ladarba sistema tiġi hackjata, tiġi hacked għal dejjem.

Il-kunċett huwa sempliċi. Anke żviluppatur tal-kriptosistema novizzi x'aktarx jagħraf it-theddida u jipprepara kif xieraq. Meta wieħed iħares lejn l-evoluzzjoni tal-kriptografija, attakki bħal dawn ma kinux xierqa għall-biċċa l-kbira taċ-ċifra, mill-ewwel verżjonijiet imtejba taċ-ċifra ta 'Caesar sat-tnaqqis taċ-ċifra polialfabetika. Attakki bħal dawn irritornaw biss mal-miġja tal-era moderna tal-kriptografija.

Dan ir-ritorn huwa dovut għal żewġ fatturi. L-ewwelnett, fl-aħħar dehru kriptosistemi kumplessi biżżejjed, fejn il-possibbiltà ta 'sfruttament wara l-hacking ma kinitx ovvja. It-tieni, il-kriptografija tant saret mifruxa li miljuni ta’ lajċi ħadu deċiżjonijiet kuljum dwar fejn u liema partijiet tal-kriptografija jerġgħu jużaw. Dam ftit taż-żmien qabel ma l-esperti indunaw bir-riskji u qajmu l-allarm.

Ftakar l-attakk ta 'qabel il-komputazzjoni: fl-aħħar tal-artiklu se nħarsu lejn żewġ eżempji kriptografiċi tal-ħajja reali fejn kellu rwol importanti.

Interpolazzjoni

Hawn hu d-ditektif famuż Sherlock Holmes, li jwettaq attakk ta 'interpolazzjoni fuq l-imfortunat Dr Watson:

Immedjatament bdejt li ġejt mill-Afganistan... Il-linja tal-ħsieb tiegħi kienet kif ġej: “Dan ir-raġel huwa tabib skont it-tip, iżda għandu karattru militari. Allura, tabib militari. Għadu kif wasal mit-tropiċi - wiċċu huwa skur, iżda dan mhuwiex id-dell naturali tal-ġilda tiegħu, peress li l-polz tiegħu huma ħafna aktar bojod. Il-wiċċ huwa haggard - ovvjament, huwa sofra ħafna u sofra minn mard. Kien ferut f’idu x-xellugija – iżommha bla moviment u xi ftit mhux naturali. Fejn fit-tropiċi seta’ tabib militari Ingliż isofri t-tbatijiet u jweġġa’? Naturalment, fl-Afganistan." Il-ferrovija kollha tal-ħsieb ma ħaditx lanqas sekonda. U għalhekk għedt li ġejt mill-Afganistan, u kont sorpriż.

Holmes setaʼ jiġbed ftit li xejn informazzjoni minn kull biċċa evidenza individwalment. Seta’ jasal għall-konklużjoni tiegħu biss billi jikkunsidrahom kollha flimkien. Attakk ta' interpolazzjoni jaħdem bl-istess mod billi jeżamina l-pari magħrufa ta' kliem ċar u ċifrat li jirriżultaw mill-istess ċavetta. Minn kull par, jiġu estratti osservazzjonijiet individwali li jippermettu li tinġibed konklużjoni ġenerali dwar iċ-ċavetta. Dawn il-konklużjonijiet kollha huma vagi u jidhru inutli sakemm f'daqqa waħda jilħqu massa kritika u jwasslu għall-unika konklużjoni possibbli: tkun kemm tkun inkredibbli, trid tkun vera. Wara dan, jew iċ-ċavetta tiġi żvelata, jew il-proċess ta 'decryption isir tant raffinat li jista' jiġi replikat.

Ejja nuru b'eżempju sempliċi kif taħdem l-interpolazzjoni. Ejja ngħidu li rridu naqraw id-djarju personali tal-għadu tagħna, Bob. Jikkodifika kull numru fil-ġurnal tiegħu billi juża kriptosistema sempliċi li tgħallem dwarha minn reklam fir-rivista "A Mock of Cryptography." Is-sistema taħdem hekk: Bob jagħżel żewġ numri li jħobbu: и . Minn issa 'l quddiem, biex jikkripta kwalunkwe numru , tikkalkula . Per eżempju, jekk Bob għażel и , imbagħad in-numru se tkun encrypted bħala .

Ejja ngħidu li fit-28 ta’ Diċembru ndunajna li Bob kien qed jobrox xi ħaġa fid-djarju tiegħu. Meta jkun lest, naqbduha bil-kwiet u naraw l-aħħar daħla:

Id-data: 235/520

Għażiż Djarju,

Illum kienet ġurnata tajba. Permezz 64 illum għandi data ma' Alisa, li tgħix f'appartament 843. Verament naħseb li tista’ tkun 26!

Peress li aħna serji ħafna li nsegwu lil Bob fid-data tiegħu (it-tnejn għandna 15-il sena f'dan ix-xenarju), huwa kritiku li nkunu nafu d-data kif ukoll l-indirizz ta 'Alice. Fortunatament, ninnotaw li l-kriptosistema ta 'Bob hija vulnerabbli għal attakk ta' interpolazzjoni. Forsi ma nafux и , iżda nafu d-data tal-lum, għalhekk għandna żewġ pari plaintext-ciphertext. Jiġifieri, nafu li encrypted fi U - fi . Dan huwa dak li se nikteb:

Peress li għandna 15-il sena, diġà nafu dwar sistema ta 'żewġ ekwazzjonijiet b'żewġ mhux magħrufa, li f'din is-sitwazzjoni hija biżżejjed biex issib и mingħajr problemi. Kull par test ċar-ciphertext ipoġġi restrizzjoni fuq iċ-ċavetta ta' Bob, u ż-żewġ restrizzjonijiet flimkien huma biżżejjed biex jirkupraw kompletament iċ-ċavetta. Fl-eżempju tagħna t-tweġiba hija и (fl , hekk 26 fid-djarju jikkorrispondi għall-kelma 'dak', jiġifieri, "l-istess wieħed" - madwar. korsija).

L-attakki ta' interpolazzjoni, ovvjament, mhumiex limitati għal eżempji sempliċi bħal dawn. Kull sistema kriptografika li tnaqqas għal oġġett matematiku mifhum sew u lista ta 'parametri hija f'riskju ta' attakk ta 'interpolazzjoni—aktar ma jinftiehem l-oġġett, iktar ikun għoli r-riskju.

Ġodda spiss jilmentaw li l-kriptografija hija “l-arti li tfassal affarijiet kemm jista’ jkun ikrah.” L-attakki ta' interpolazzjoni probabbilment huma l-biċċa l-kbira tat-tort. Bob jista 'jew juża disinn matematiku eleganti jew iżomm id-data tiegħu ma' Alice privata - iżda sfortunatament, normalment ma jistax ikollok iż-żewġ modi. Dan se jsir ċar ħafna meta eventwalment naslu għas-suġġett tal-kriptografija taċ-ċavetta pubblika.

Cross protocol/downgrade

F’ Now You See Me (2013), grupp ta’ illużisti jipprovaw iqarrqu lill-magnat korrott tal-assigurazzjoni Arthur Tressler mill-fortuna kollha tiegħu. Biex jiksbu aċċess għall-kont bankarju ta’ Arthur, l-illużisti jridu jew jipprovdu l-username u l-password tiegħu jew iġiegħlu jidher personalment fil-bank u jieħu sehem fl-iskema.

Iż-żewġ għażliet huma diffiċli ħafna; Il-guys huma mdorrijin li jwettqu fuq il-palk, u ma jipparteċipawx f'operazzjonijiet ta 'intelliġenza. Għalhekk jagħżlu t-tielet għażla possibbli: il-kompliċi tagħhom iċempel il-bank u jippretendi li hu Arthur. Il-bank jistaqsi diversi mistoqsijiet biex jivverifika l-identità, bħall-isem taz-ziju u l-isem tal-ewwel pet; l-eroj tagħna bil-quddiem huma faċilment estratt din l-informazzjoni minn Arthur bl-użu ta 'inġinerija soċjali għaqlija. Minn dan il-punt 'il quddiem, is-sigurtà eċċellenti tal-password m'għadhiex importanti.

(Skont leġġenda urbana li aħna vverifikajna u vverifikajna personalment, il-kriptografu Eli Beaham darba ltaqa’ ma’ kaxxier tal-bank li insista li jagħmel mistoqsija ta’ sigurtà. Meta l-kaxxier talab isem in-nanna materna tiegħu, Beaham beda jiddetta: “Kapitali X, y żgħira, tlieta... ").

Huwa l-istess fil-kriptografija, jekk żewġ protokolli kriptografiċi jintużaw b'mod parallel biex jipproteġu l-istess assi, u wieħed huwa ħafna aktar dgħajjef mill-ieħor. Is-sistema li tirriżulta ssir vulnerabbli għal attakk trans-protokoll, fejn protokoll aktar dgħajjef jiġi attakkat sabiex tasal għall-premju mingħajr ma tmiss l-aktar wieħed b'saħħtu.

F'xi każijiet kumplessi, mhuwiex biżżejjed li sempliċement tikkuntattja s-server billi tuża protokoll aktar dgħajjef, iżda teħtieġ il-parteċipazzjoni involontarja ta 'klijent leġittimu. Dan jista 'jiġi organizzat bl-użu tal-hekk imsejjaħ attakk downgrade. Biex nifhmu dan l-attakk, ejja nassumu li l-illużjonisti tagħna għandhom biċċa xogħol aktar diffiċli milli fil-film. Ejja nassumu li impjegat tal-bank (kaxxier) u Arthur iltaqgħu ma 'xi ċirkostanzi mhux previsti, li rriżultaw fid-djalogu li ġej:

Serq: Bongu? Dan huwa Arthur Tressler. Nixtieq reset il-password tiegħi.

Kaxxier: Kbir. Jekk jogħġbok agħti ħarsa lejn il-ktieb tal-kodiċi sigrieti personali tiegħek, paġna 28, kelma 3. Il-messaġġi kollha li ġejjin se jiġu encrypted billi tuża din il-kelma speċifika bħala ċ-ċavetta. PQJGH. LOTJNAM PGGY MXVRL ZZLQ SRIU HHNMLPPPV…

Serq: Ħej, ħej, stenna, stenna. Dan huwa verament meħtieġ? Ma nistgħux nitkellmu bħal nies normali?

Kaxxier: Ma nirrakkomandax li tagħmel dan.

Serq: Jien biss... ara, kelli ġurnata ħażina, okay? Jien klijent VIP u m'iniex fil-burdata li nħaffer dawn il-kotba tal-kodiċi stupidi.

Kaxxier: Multa. Jekk tinsisti, Sur Tressler. Xi trid?

Serq: Jekk jogħġbok, nixtieq nagħti l-flus kollha tiegħi lill-Fond Nazzjonali għall-Vittmi Arthur Tressler.

(Pawsa).

Kaxxier: Huwa ċar issa. Jekk jogħġbok ipprovdi l-PIN tiegħek għal tranżazzjonijiet kbar.

Serq: Tiegħi xiex?

Kaxxier: Fuq talba personali tiegħek, tranżazzjonijiet ta' dan id-daqs jeħtieġu PIN għal tranżazzjonijiet kbar. Dan il-kodiċi ngħatalek meta ftaħt il-kont tiegħek.

Serq:... Tliftha. Dan huwa verament meħtieġ? Ma tistax tapprova biss il-ftehim?

Kaxxier: Nru. Jiddispjaċini, Sur Tressler. Għal darb'oħra, din hija l-miżura tas-sigurtà li tlabt għaliha. Jekk trid, nistgħu nibagħtu kodiċi PIN ġdid fil-kaxxa postali tiegħek.

L-eroj tagħna jipposponu l-operazzjoni. Huma jisimgħu diversi tranżazzjonijiet kbar ta 'Tressler, bit-tama li jisimgħu l-PIN; iżda kull darba li l-konverżazzjoni tinbidel f'gibberish kodifikat qabel ma jingħad xi ħaġa interessanti. Fl-aħħarnett, ġurnata tajba, il-pjan jitħaddem. Huma jistennew bil-paċenzja l-mument meta Tressler ikollu jagħmel tranżazzjoni kbira bit-telefon, jidħol fuq il-linja, u mbagħad...

Tressler: Bongu. Nixtieq tlesti transazzjoni remota, jekk jogħġbok.

Kaxxier: Kbir. Jekk jogħġbok agħti ħarsa lejn il-ktieb tal-kodiċi sigriet personali tiegħek, il-paġna...

(Is-serq jagħfas il-buttuna; il-vuċi tal-kaxxier jinbidel f’ħoss li ma jinftiehemx).

Kaxxier: - #@$#@$#*@$$@#* se jkun encrypted b'din il-kelma bħala ċ-ċavetta. AAAYRR PLRQRZ MMNJK LOJBAN…

Tressler: Jiddispjaċini, ma tantx fhimt. Għal darb'oħra? Fuq liema paġna? Liema kelma?

Kaxxier: Din hija l-paġna @#$@#*$)#*#@()#@$(#@*$(#@*).

Tressler: X'inhu?

Kaxxier: Kelma numru għoxrin @$#@$#%#$.

Tressler: Serjament! Diġà biżżejjed! Inti u l-protokoll tas-sigurtà tiegħek huma xi tip ta 'ċirku. Naf li tista' tkellimni b'mod normali.

Kaxxier: Ma nirrakkomandax...

Tressler: U ma nagħtikx parir biex taħli l-ħin tiegħi. Ma rridx nisma aktar dwar dan sakemm tirranġa l-problemi tal-linja tat-telefon tiegħek. Nistgħu nifinalizzaw dan il-ftehim jew le?

Kaxxier:… Iva. Multa. Xi trid?

Tressler: Nixtieq nittrasferixxi $20 lil Lord Business Investments, numru tal-kont...

Kaxxier: Minuta, jekk jogħġbok. Dan huwa kbir. Jekk jogħġbok ipprovdi l-PIN tiegħek għal tranżazzjonijiet kbar.

Tressler: Xiex? Oh, eżattament. 1234.

Hawn attakk 'l isfel. Il-protokoll aktar dgħajjef "sempliċement tkellem direttament" kien previst bħala għażla f’każ ta’ emerġenza. U madankollu hawn aħna.

Forsi tistaqsi min f'moħħu se jfassal sistema reali "safe sakemm mitlub mod ieħor" bħal dik deskritta hawn fuq. Iżda hekk kif bank fittizju jieħu riskji biex iżomm klijenti li ma jogħġbux il-kriptografija, is-sistemi b'mod ġenerali ħafna drabi jimxu lejn rekwiżiti li huma indifferenti jew saħansitra dettament ostili għas-sigurtà.

Dan huwa eżattament dak li ġara bil-protokoll SSLv2 fl-1995. Il-gvern tal-Istati Uniti ilu beda jħares lill-kriptografija bħala arma li l-aħjar tinżamm 'il bogħod mill-għedewwa barranin u domestiċi. Biċċiet ta 'kodiċi ġew approvati individwalment għall-esportazzjoni mill-Istati Uniti, ħafna drabi bil-kundizzjoni li l-algoritmu kien imdgħajjef deliberatament. Netscape, l-iżviluppatur tal-browser l-aktar popolari, Netscape Navigator, ingħata permess għal SSLv2 biss biċ-ċavetta RSA ta '512-bit vulnerabbli b'mod inerenti (u 40-bit għal RC4).

Sa tmiem il-millennju, ir-regoli kienu rilassati u l-aċċess għall-kriptaġġ modern sar disponibbli b'mod wiesa '. Madankollu, il-klijenti u s-servers appoġġaw kriptografija ta '"esportazzjoni" mdgħajfa għal snin minħabba l-istess inerzja li żżomm appoġġ għal kwalunkwe sistema legacy. Il-klijenti emmnu li jistgħu jiltaqgħu ma 'server li ma jappoġġjax xi ħaġa oħra. Is-servers għamlu l-istess. Naturalment, il-protokoll SSL jiddetta li l-klijenti u s-servers qatt ma għandhom jużaw protokoll dgħajjef meta jkun disponibbli wieħed aħjar. Iżda l-istess premessa kienet tapplika għal Tressler u l-bank tiegħu.

Din it-teorija sabet triqitha f'żewġ attakki ta' profil għoli li heżżew is-sigurtà tal-protokoll SSL fl-2015, it-tnejn skoperti mir-riċerkaturi tal-Microsoft u INRIA. L-ewwel, dettalji tal-attakk FREAK ġew żvelati fi Frar, segwiti tliet xhur wara minn attakk simili ieħor imsejjaħ Logjam, li se niddiskutu f'aktar dettall meta ngħaddu għal attakki fuq il-kriptografija taċ-ċavetta pubblika.

Vulnerabilità FREAK (magħruf ukoll bħala "Smack TLS") ħareġ fid-dawl meta riċerkaturi analizzaw l-implimentazzjonijiet tal-klijent/server TLS u skoprew bug kurjuż. F'dawn l-implimentazzjonijiet, jekk il-klijent lanqas biss jitlob li juża kriptografija ta 'esportazzjoni dgħajfa, iżda s-server xorta jirrispondi b'ċwievet bħal dawn, il-klijent jgħid "Oh sew" u jaqleb għal suite cipher dgħajjef.

F'dak iż-żmien, il-kriptografija tal-esportazzjoni kienet ġeneralment meqjusa bħala skaduta u off-limits, għalhekk l-attakk sar bħala xokk sħiħ u affettwa ħafna oqsma importanti, inklużi l-White House, l-IRS, u s-siti tal-NSA. Saħansitra agħar, jirriżulta li ħafna servers vulnerabbli kienu qed jottimizzaw il-prestazzjoni billi użaw mill-ġdid l-istess ċwievet aktar milli jiġġeneraw oħrajn ġodda għal kull sessjoni. Dan għamilha possibbli, wara li ddegrada l-protokoll, li jitwettaq attakk ta 'qabel il-komputazzjoni: il-qsim ta' ċavetta waħda baqa' relattivament għali ($ 100 u 12-il siegħa fil-ħin tal-pubblikazzjoni), iżda l-ispiża prattika tal-attakk tal-konnessjoni tnaqqset b'mod sinifikanti. Huwa biżżejjed li tagħżel iċ-ċavetta tas-server darba u tinqasam l-encryption għall-konnessjonijiet sussegwenti kollha minn dak il-mument 'il quddiem.

U qabel nimxu 'l quddiem, hemm attakk wieħed avvanzat li jeħtieġ li jissemma...

Attakk Oracle

Moxie Marlinspike magħruf l-aktar bħala l-missier tal-app ta' messaġġi kripto cross-platform Signal; imma aħna personalment nħobbu waħda mill-innovazzjonijiet inqas magħrufa tiegħu - prinċipju ta 'doom kriptografiku (Prinċipju Doom Kriptografiku). Biex nipparafrażi ftit, nistgħu ngħidu dan: “Jekk il-protokoll iwettaq kwalunkwe twettaq operazzjoni kriptografika fuq messaġġ minn sors potenzjalment malizzjuż u jaġixxi b'mod differenti skont ir-riżultat, huwa ddestinat." Jew f'forma aktar qawwija: "Tiħux informazzjoni mingħand l-għadu għall-ipproċessar, u jekk trid tagħmel hekk, allura għallinqas ma turix ir-riżultat."

Ejja nħallu fil-ġenb buffer overflows, injezzjonijiet ta 'kmand, u simili; huma lil hinn mill-ambitu ta' din id-diskussjoni. Ksur tal-"prinċipju doom" iwassal għal hacks serji tal-kriptografija minħabba l-fatt li l-protokoll iġib ruħu eżatt kif mistenni.

Bħala eżempju, ejja nieħdu disinn fittizju b'ċifra ta 'sostituzzjoni vulnerabbli, u mbagħad nuru attakk possibbli. Filwaqt li diġà rajna attakk fuq ċifra ta 'sostituzzjoni bl-użu ta' analiżi tal-frekwenza, mhuwiex biss "mod ieħor biex tkisser l-istess ċifra." Għall-kuntrarju, l-attakki tal-oraklu huma invenzjoni ħafna aktar moderna, applikabbli għal ħafna sitwazzjonijiet fejn l-analiżi tal-frekwenza tfalli, u se naraw turija ta 'dan fit-taqsima li jmiss. Hawnhekk iċ-ċifra sempliċi hija magħżula biss biex tagħmel l-eżempju aktar ċar.

Allura Alice u Bob jikkomunikaw permezz ta 'ċifra ta' sostituzzjoni sempliċi billi tuża ċavetta magħrufa minnhom biss. Huma stretti ħafna dwar it-tul tal-messaġġi: huma twal eżattament 20 karattru. Għalhekk qablu li jekk xi ħadd ried jibgħat messaġġ iqsar, għandu jżid xi test finta fl-aħħar tal-messaġġ biex jagħmilha eżattament 20 karattru. Wara xi diskussjoni, iddeċidew li jaċċettaw biss it-testi finti li ġejjin: a, bb, ccc, dddd eċċ. Għalhekk, huwa magħruf test finta ta' kwalunkwe tul meħtieġ.

Meta Alice jew Bob jirċievu messaġġ, l-ewwel jivverifikaw li l-messaġġ huwa t-tul korrett (20 karattru) u li s-suffiss huwa t-test finta korrett. Jekk dan ma jkunx il-każ, allura jirrispondu b'messaġġ ta 'żball xieraq. Jekk it-tul tat-test u t-test finta huma ok, ir-riċevitur jaqra l-messaġġ innifsu u jibgħat rispons kriptat.

Waqt l-attakk, l-attakkant jippersona lil Bob u jibgħat messaġġi foloz lil Alice. Il-messaġġi huma bla sens komplet - l-attakkant m'għandux iċ-ċavetta, u għalhekk ma jistax jifforma messaġġ sinifikanti. Iżda peress li l-protokoll jikser il-prinċipju doom, attakkant xorta jista 'jgħaqqad lil Alice biex tiżvela l-informazzjoni ewlenija, kif muri hawn taħt.

Serq: PREWF ZHJKL MMMN. LA

Alice: Test finta mhux validu.

Serq: PREWF ZHJKL MMMN. LB

Alice: Test finta mhux validu.

Serq: PREWF ZHJKL MMMN. LC

Alice: ILCT? TLCT RUWO PUT KCAW CPS OWPOW!

Il-serq m'għandu l-ebda idea x'qal Alice, iżda jinnota li s-simbolu C trid tikkorrispondi a, peress li Alice aċċettat it-test finta.

Serq: REWF ZHJKL MMMN. LAA

Alice: Test finta mhux validu.

Serq: REWF ZHJKL MMMN. LBB

Alice: Test finta mhux validu.

Wara numru ta' tentattivi...

Serq: REWF ZHJKL MMMN. LGG

Alice: Test finta mhux validu.

Serq: REWF ZHJKL MMMN. LHH

Alice: TLQO JWCRO FQAW SUY LCR C OWQXYJW. IW PWWR TU TCFA CHUYT TLQO JWFCTQUPOLQZ.

Għal darb'oħra, l-attakkant m'għandu l-ebda idea ta 'dak li Alice għadha kif qalet, iżda jinnota li H għandu jaqbel b' peress li Alice aċċettat it-test finta.

U hekk sakemm l-attakkant ikun jaf it-tifsira ta 'kull karattru.

L-ewwel daqqa t'għajn, il-metodu jixbaħ attakk ta' kliem ċar magħżul. Fl-aħħar, l-attakkant jagħżel it-testi taċ-ċifra, u s-server jipproċessahom b'ubbidjenza. Id-differenza ewlenija li tagħmel dawn l-attakki vijabbli fid-dinja reali hija li l-attakkant m'għandux bżonn aċċess għat-traskrizzjoni attwali—reazzjoni tas-server, anki waħda innokwa daqs "Test finta invalida," hija biżżejjed.

Filwaqt li dan l-attakk partikolari huwa istruttiv, taqbadx wisq fuq l-ispeċifiċitajiet tal-iskema "test finta", is-sistema kriptografika speċifika użata, jew is-sekwenza eżatta ta 'messaġġi mibgħuta mill-attakkant. L-idea bażika hija kif Alice tirreaġixxi b'mod differenti abbażi tal-proprjetajiet tat-test sempliċi, u tagħmel dan mingħajr ma tivverifika li t-test taċ-ċifra korrispondenti fil-fatt ġie minn parti fdata. Għalhekk, Alice tippermetti lill-attakkant biex jagħfas informazzjoni sigrieta mit-tweġibiet tagħha.

Hemm ħafna li jistgħu jinbidlu f'dan ix-xenarju. Is-simboli li Alice tirreaġixxi għalihom, jew id-differenza stess fl-imġieba tagħha, jew saħansitra l-kriptosistema użata. Iżda l-prinċipju se jibqa 'l-istess, u l-attakk kollu se jibqa' vijabbli f'xi forma jew oħra. L-implimentazzjoni bażika ta’ dan l-attakk għenet biex tikxef diversi bugs tas-sigurtà, li ser inħarsu lejhom dalwaqt; imma l-ewwel hemm xi lezzjonijiet teoretiċi x’titgħallmu. Kif tuża din l-"Alice script" fittizju f'attakk li jista' jaħdem fuq ċifra moderna reali? Dan huwa saħansitra possibbli, anke fit-teorija?

Fl-1998, il-kriptografu Żvizzeru Daniel Bleichenbacher wieġeb din il-mistoqsija fl-affermattiv. Huwa wera attakk oracle fuq is-sistema kriptografika taċ-ċavetta pubblika RSA użata ħafna, bl-użu ta 'skema ta' messaġġ speċifika. F'xi implimentazzjonijiet RSA, is-server jirrispondi b'messaġġi ta 'żball differenti skont jekk it-test sempliċi jaqbilx mal-iskema jew le; dan kien biżżejjed biex twettaq l-attakk.

Erba 'snin wara, fl-2002, il-kriptografu Franċiż Serge Vaudenay wera attakk tal-oraklu kważi identiku għal dak deskritt fix-xenarju Alice hawn fuq - ħlief li minflok ċifra fittizja, kiser klassi rispettabbli sħiħa ta' ċifraturi moderni li n-nies fil-fatt jintużaw. B'mod partikolari, l-attakk ta 'Vaudenay jimmira ċifraturi ta' daqs ta 'input fiss ("block ciphers") meta jintużaw fl-hekk imsejjaħ "mod ta' encryption CBC" u b'ċerta skema ta 'padding popolari, bażikament ekwivalenti għal dik fix-xenarju Alice.

Ukoll fl-2002, il-kriptografu Amerikan John Kelsey - ko-awtur żewġ ħutiet — ippropona diversi attakki oracle fuq sistemi li jikkompressaw il-messaġġi u mbagħad jikkriptawhom. L-aktar notevoli fost dawn kien attakk li ħa vantaġġ mill-fatt li ħafna drabi huwa possibbli li jiġi dedott it-tul oriġinali tat-test sempliċi mit-tul tat-test taċ-ċifra. Fit-teorija, dan jippermetti attakk oracle li jirkupra partijiet mit-test oriġinali oriġinali.

Hawn taħt nipprovdu deskrizzjoni aktar dettaljata tal-attakki Vaudenay u Kelsey (se nagħtu deskrizzjoni aktar dettaljata tal-attakk Bleichenbacher meta ngħaddu għal attakki fuq il-kriptografija taċ-ċavetta pubblika). Minkejja l-almu tagħna, it-test isir kemmxejn tekniku; allura jekk dan ta’ hawn fuq huwa biżżejjed għalik, aqbeż iż-żewġ taqsimiet li jmiss.

L-attakk ta' Vodene

Biex nifhmu l-attakk Vaudenay, l-ewwel irridu nitkellmu ftit aktar dwar iċ-ċifraturi tal-blokki u l-modi ta 'encryption. "Block cipher" huwa, kif imsemmi, cipher li jieħu ċavetta u input ta 'ċertu tul fiss ("block length") u jipproduċi blokka kriptata tal-istess tul. Iċ-ċifri tal-blokki jintużaw ħafna u huma kkunsidrati relattivament siguri. Id-DES issa rtirat, meqjus bħala l-ewwel cipher modern, kien block cipher. Kif imsemmi hawn fuq, l-istess jgħodd għall-AES, li llum tintuża ħafna.

Sfortunatament, iċ-ċifrar tal-blokk għandhom dgħjufija waħda evidenti. Id-daqs tal-blokk tipiku huwa 128 bit, jew 16-il karattru. Ovvjament, il-kriptografija moderna teħtieġ li taħdem b'dejta ta 'input akbar, u dan huwa fejn jidħlu modi ta' encryption. Il-mod ta 'kriptaġġ huwa essenzjalment hack: huwa mod kif b'xi mod tapplika ċifra ta' blokka li taċċetta biss input ta 'ċertu daqs għal input ta' tul arbitrarju.

L-attakk ta' Vodene huwa ffukat fuq il-mod ta' operazzjoni popolari CBC (Cipher Block Chaining). L-attakk jittratta ċ-ċifra tal-blokki sottostanti bħala kaxxa sewda maġika u impregnabbli u tevita kompletament is-sigurtà tagħha.

Hawn dijagramma li turi kif taħdem il-mod CBC:

Il-plus imdawwar ifisser l-operazzjoni XOR (JEW esklussiva). Per eżempju, it-tieni blokk ta 'ciphertext jasal:

Billi twettaq operazzjoni XOR fuq it-tieni blokk tat-test sempliċi bl-ewwel blokk tat-test taċ-ċifra.
Kriptaġġ tal-blokk li jirriżulta b'ċifra tal-blokk bl-użu ta 'ċavetta.

Peress li CBC jagħmel użu tant qawwi mill-operazzjoni binarja XOR, ejja nieħdu mument biex infakkru xi wħud mill-proprjetajiet tagħha:

Idempotenza:
Kommutatività:
Assoċjazzjoni:
Awto-riversibbiltà:
Daqs tal-byte: byte n ta = (byte n ta ) (byte n ta )

Tipikament, dawn il-proprjetajiet jimplikaw li jekk ikollna ekwazzjoni li tinvolvi operazzjonijiet XOR u waħda mhux magħrufa, tista 'tiġi solvuta. Per eżempju, jekk nafu li bl-mhux magħruf u famuż и , allura nistgħu niddependu fuq il-proprjetajiet imsemmija hawn fuq biex insolvu l-ekwazzjoni għal . Billi tapplika XOR fuq iż-żewġ naħat tal-ekwazzjoni ma , nikbru . Dan kollu se jsir rilevanti ħafna f'mument.

Hemm żewġ differenzi żgħar u differenza waħda kbira bejn ix-xenarju tagħna ta 'Alice u l-attakk ta' Vaudenay. Żewġ minuri:

Fl-iskrittura, Alice stenniet li t-testi sempliċi jispiċċaw bil-karattri a, bb, ccc u l-bqija. Fl-attakk Wodene, il-vittma minflok jistenna li t-testi sempliċi jispiċċaw N darbiet bl-N byte (jiġifieri hexadecimal 01 jew 02 02, jew 03 03 03, eċċ). Din hija purament differenza kożmetika.
Fix-xenarju ta 'Alice, kien faċli li tgħid jekk Alice aċċettatx il-messaġġ bit-tweġiba "Test finta mhux korrett." Fl-attakk ta’ Vodene, hemm bżonn ta’ aktar analiżi u implimentazzjoni preċiża min-naħa tal-vittma hija importanti; imma f'ġieħ il-qosor, ejja nieħdu bħala fatt li din l-analiżi għadha possibbli.

Differenza ewlenija:

Peress li m'aħniex nużaw l-istess kriptosistema, ir-relazzjoni bejn il-bytes ta 'ciphertext ikkontrollati mill-attakkant u s-sigrieti (ċavetta u test sempliċi) ovvjament se tkun differenti. Għalhekk, l-attakkant ikollu juża strateġija differenti meta joħloq ciphertexts u jinterpreta t-tweġibiet tas-server.

Din id-differenza ewlenija hija l-aħħar biċċa tal-puzzle biex tifhem l-attakk ta 'Vaudenay, allura ejja nieħdu mument biex naħsbu dwar għaliex u kif jista' jiġi mmuntat attakk oracle fuq CBC fl-ewwel lok.

Ejja ngħidu li ningħataw ċifrat CBC ta’ 247 blokka, u rridu niddeċifrawh. Nistgħu nibagħtu messaġġi foloz lis-server, bħalma nistgħu nibagħtu messaġġi foloz lil Alice qabel. Is-server se jiddeċifra l-messaġġi għalina, iżda mhux se juri d-deċifrar - minflok, għal darb'oħra, bħal ma 'Alice, is-server se jirrapporta ftit informazzjoni waħda biss: jekk it-test sempliċi għandux padding validu jew le.

Ikkunsidra li fix-xenarju ta 'Alice kellna r-relazzjonijiet li ġejjin:

$$display$$test{SIMPLE_SUBSTITUTION}(test{ciphertext},test{key}) = test{plaintext}$$display$$

Ejja nsejħu dan "l-ekwazzjoni ta 'Alice." Aħna kkontrollati l-ciphertext; is-server (Alice) leaked informazzjoni vaga dwar it-test sempliċi riċevut; u dan ippermetta li niddeduċu informazzjoni dwar l-aħħar fattur - iċ-ċavetta. B'analoġija, jekk nistgħu nsibu konnessjoni bħal din għall-iskrittura tas-CBC, nistgħu nkunu nistgħu nieħdu xi informazzjoni sigrieta hemmhekk ukoll.

Fortunatament, hemm verament relazzjonijiet hemmhekk li nistgħu nużaw. Ikkunsidra l-output tas-sejħa finali biex tiddikripta ċifra tal-blokk u indika din l-output bħala . Aħna nindikaw ukoll blokki ta 'test sempliċi u blokki taċ-ċifrat . Agħti ħarsa oħra lejn id-dijagramma CBC u innota x'jiġri:

Ejja nsejħulha l-"ekwazzjoni CBC."

Fix-xenarju ta 'Alice, billi mmonitorjaw it-test taċ-ċifra u naraw it-tnixxija korrispondenti tat-test sempliċi, stajna narmaw attakk li rkupra t-tielet terminu fl-ekwazzjoni—ċ-ċavetta. Fix-xenarju CBC, aħna wkoll jimmonitorjaw it-test taċ-ċifra u nosservaw tnixxijiet ta 'informazzjoni fuq it-test sempliċi korrispondenti. Jekk l-analoġija żżomm, nistgħu niksbu informazzjoni dwar .

Ejja nassumu li verament restawrajna , allura xiex? Ukoll, allura nistgħu nipprintjaw l-aħħar blokk kollu tat-test sempliċi f'daqqa (), sempliċement billi tidħol (li għandna) u
riċevuti fl-ekwazzjoni CBC.

Issa li ninsabu ottimisti dwar il-pjan ġenerali tal-attakk, wasal iż-żmien li naħdmu d-dettalji. Jekk jogħġbok oqgħod attent għal kif eżattament l-informazzjoni tat-test sempliċi hija leaked fuq is-server. Fl-iskript ta' Alice, it-tnixxija seħħet għaliex Alice kienet tirrispondi biss bil-messaġġ korrett jekk $inline$test{SIMPLE_SUBSTITUTION}(test{ciphertext},test{key})$inline$ jispiċċa bil-linja a (Jew bb, u l-bqija, iżda ċ-ċansijiet li dawn il-kundizzjonijiet jiġu attivati b’kumbinazzjoni kienu żgħar ħafna). Simili għal CBC, is-server jaċċetta l-ikkuttunar jekk u biss jekk jispiċċa b'ħeksadeċimali 01. Mela ejja nippruvaw l-istess trick: nibagħtu ciphertexts foloz bil-valuri foloz tagħna stess sakemm is-server jaċċetta l-mili.

Meta s-server jaċċetta padding għal wieħed mill-messaġġi foloz tagħna, dan ifisser li:

Issa nużaw il-proprjetà XOR byte-byte:

Nafu l-ewwel u t-tielet termini. U diġà rajna li dan jippermettilna nirkupraw it-terminu li jifdal - l-aħħar byte minn :

Dan jagħtina wkoll l-aħħar byte tal-blokk finali tat-test sempliċi permezz tal-ekwazzjoni CBC u l-proprjetà byte-by-byte.

Nistgħu nħallu hekk u nkunu sodisfatti li wettaqna attakk fuq ċifra teoretikament b'saħħitha. Imma fil-fatt nistgħu nagħmlu ħafna aktar: nistgħu fil-fatt nirkupraw it-test kollu. Dan jeħtieġ trick li ma kienx fl-iskrittura oriġinali ta 'Alice u mhux meħtieġ għall-attakk tal-oraklu, iżda xorta ta' min jitgħallem.

Biex tifhemha, l-ewwel innota li r-riżultat tal-ħruġ tal-valur korrett tal-aħħar byte huwa għandna ħila ġdida. Issa, meta falsifika ciphertexts, nistgħu jimmanipulaw l-aħħar byte tat-test sempliċi korrispondenti. Għal darb'oħra, dan huwa relatat mal-ekwazzjoni CBC u l-proprjetà byte b'byte:

Peress li issa nafu t-tieni terminu, nistgħu nużaw il-kontroll tagħna fuq l-ewwel biex nikkontrollaw it-tielet. Aħna sempliċiment nikkalkulaw:

Ma stajniex nagħmlu dan qabel għax għadna ma kellniex l-aħħar byte .

Dan kif se jgħinna? Ejja ngħidu li issa noħolqu t-testi taċ-ċifra kollha b'tali mod li fit-testi ċari korrispondenti l-aħħar byte huwa ugwali għal 02. Is-server issa jaċċetta biss ikkuttunar jekk it-test sempliċi jispiċċa bi 02 02. Peress li kkoreġejna l-aħħar byte, dan jiġri biss jekk il-byte ta' qabel tal-aħħar tat-test sempliċi huwa wkoll 02. Aħna nibqgħu nibagħtu blokki ta 'ciphertext foloz, nibdlu l-byte ta' qabel tal-aħħar, sakemm is-server jaċċetta l-ikkuttunar għal wieħed minnhom. F'dan il-punt irridu:

U nirrestawraw il-byte ta' qabel tal-aħħar bħalma l-aħħar waħda ġiet restawrata. Inkomplu fl-istess spirtu: nikkoreġu l-aħħar żewġ bytes tat-test sempliċi biex 03 03, nirrepetu dan l-attakk għat-tielet byte mill-aħħar u l-bqija, fl-aħħar mill-aħħar nirrestawraw kompletament .

Xi ngħidu għall-bqija tat-test? Jekk jogħġbok innota li l-valur huwa attwalment $inline$test{BLOCK_DECRYPT}(test{key},C_{247})$inline$. Nistgħu npoġġu kwalunkwe blokk ieħor minflok , u l-attakk xorta se jirnexxi. Fil-fatt, nistgħu nitolbu lis-server biex jagħmel $inline$text{BLOCK_DECRYPT}$inline$ għal kwalunkwe data. F'dan il-punt, huwa game over - nistgħu niddeċifraw kwalunkwe ciphertext (agħti ħarsa oħra lejn id-dijagramma tad-decryption CBC biex tara dan; u nnota li l-IV huwa pubbliku).

Dan il-metodu partikolari għandu rwol kruċjali fl-attakk tal-oraklu li se niltaqgħu magħhom aktar tard.

L-attakk ta' Kelsey

Il-kongenial tagħna John Kelsey stabbilixxa l-prinċipji sottostanti ħafna attakki possibbli, mhux biss id-dettalji ta 'attakk speċifiku fuq ċifra speċifika. Tiegħu L-artikolu tas-sena 2002 huwa studju ta' attakki possibbli fuq data kkompressata kriptata. Ħsibt li l-informazzjoni li d-data kienet ikkompressata qabel il-kriptaġġ ma kinitx biżżejjed biex twettaq attakk? Jirriżulta li huwa biżżejjed.

Dan ir-riżultat sorprendenti huwa dovut għal żewġ prinċipji. L-ewwel, hemm korrelazzjoni qawwija bejn it-tul tat-test sempliċi u t-tul tat-test taċ-ċifra; għal ħafna ċifraturi ugwaljanza eżatta. It-tieni, meta titwettaq il-kompressjoni, hemm ukoll korrelazzjoni qawwija bejn it-tul tal-messaġġ kompressat u l-grad ta '"storbju" tat-test sempliċi, jiġifieri, il-proporzjon ta' karattri li ma jirrepetux (it-terminu tekniku huwa "entropija għolja" ).

Biex tara l-prinċipju fl-azzjoni, ikkunsidra żewġ testi sempliċi:

Test sempliċi 1: AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA

Test sempliċi 2: ATVXCAGTRSVPTVVULSJQHGEYCMQPCRQBGCYIXCFJGJ

Ejja nassumu li ż-żewġ testi sempliċi huma kkompressati u mbagħad kriptati. Ikollok żewġ kliem ċifrat li jirriżultaw u trid taqta liema ċifrat jaqbel ma' liema kliem sempliċi:

Test taċ-ċifra 1: PVOVEYBPJDPVANEAWVGCIUWAABCIYIKOOURMYDTA

Test taċ-ċifra 2: DWKJZXYU

It-tweġiba hija ċara. Fost it-testi sempliċi, it-test sempliċi 1 biss jista' jiġi kkompressat fit-tul żgħir tat-tieni ċifrat. Aħna dehret dan mingħajr ma nafu xejn dwar l-algoritmu tal-kompressjoni, iċ-ċavetta tal-kriptaġġ, jew saħansitra ċ-ċifra innifsu. Meta mqabbel mal-ġerarkija ta 'attakki kriptografiċi possibbli, dan huwa tip ta' miġnun.

Kelsey tindika wkoll li taħt ċerti ċirkostanzi mhux tas-soltu dan il-prinċipju jista’ jintuża wkoll biex isir attakk tal-oraklu. B'mod partikolari, tiddeskrivi kif attakkant jista' jirkupra t-test ċar sigriet jekk jista' jġiegħel lis-server jikkriptaġġ id-dejta tal-formola (it-test sempliċi segwit minn waqt li hu fil-kontroll u b'xi mod jista 'jiċċekkja t-tul tar-riżultat encrypted.

Għal darb'oħra, bħal attakki oracle oħra, għandna r-relazzjoni:

Għal darb'oħra, nikkontrollaw terminu wieħed (), naraw tnixxija żgħira ta 'informazzjoni dwar membru ieħor (ciphertext) u nippruvaw nirkupraw l-aħħar wieħed (plaintext). Minkejja l-analoġija, din hija sitwazzjoni kemmxejn mhux tas-soltu meta mqabbla ma 'attakki oracle oħra li rajna.

Biex nispjegaw kif attakk bħal dan jista 'jaħdem, ejja nużaw skema ta' kompressjoni fittizja li għadna kif ħriġna biha: TOYZIP. Hija tfittex linji ta 'test li dehru qabel fit-test u tissostitwixxihom bi tliet bytes ta' placeholder li jindikaw fejn issib istanza preċedenti tal-linja u kemm-il darba tidher hemmhekk. Per eżempju, il-linja helloworldhello jistgħu jiġu kkompressati fi helloworld[00][00][05] 13-il byte twil meta mqabbel mal-15-il byte oriġinali.

Ejja ngħidu li attakkant jipprova jirkupra t-test sempliċi ta' formola password=..., fejn il-password nnifisha mhix magħrufa. Skont il-mudell tal-attakk ta’ Kelsey, attakkant jista’ jitlob lis-server biex jikkompressa u mbagħad jikkriptja messaġġi tal-forma (test sempliċi segwit minn ), fejn - test liberu. Meta s-server ikun spiċċa jaħdem, jirrapporta t-tul tar-riżultat. L-attakk imur hekk:

Serq: Jekk jogħġbok ikkompressa u kriptaġġ it-test sempliċi mingħajr ebda ikkuttunar.

Server: Tul tar-riżultat 14.

Serq: Jekk jogħġbok ikkompressa u kriptaġġ it-test sempliċi li miegħu huwa mehmuż password=a.

Server: Tul tar-riżultat 18.

Il-cracker jinnota: [oriġinali 14] + [tliet bytes li sostitwiti password=] + a

Serq: Jekk jogħġbok ikkompressa u kriptaġġ it-test sempliċi li miegħu huwa miżjud password=b.

Server: Tul tar-riżultat 18.

Serq: Jekk jogħġbok ikkompressa u kriptaġġ it-test sempliċi li miegħu huwa miżjud password=с.

Server: Tul tar-riżultat 17.

Il-cracker jinnota: [oriġinali 14] + [tliet bytes li sostitwiti password=c]. Dan jassumi li t-test sempliċi oriġinali fih is-sekwenza password=c. Jiġifieri, il-password tibda b'ittra c

Serq: Jekk jogħġbok ikkompressa u kriptaġġ it-test sempliċi li miegħu huwa miżjud password=сa.

Server: Tul tar-riżultat 18.

Il-cracker jinnota: [oriġinali 14] + [tliet bytes li sostitwiti password=с] + a

Serq: Jekk jogħġbok ikkompressa u kriptaġġ it-test sempliċi li miegħu huwa miżjud password=сb.

Server: Tul tar-riżultat 18.

(... Xi żmien wara...)

Serq: Jekk jogħġbok ikkompressa u kriptaġġ it-test sempliċi li miegħu huwa miżjud password=со.

Server: Tul tar-riżultat 17.

Il-cracker jinnota: [oriġinali 14] + [tliet bytes li sostitwiti password=co]. Billi juża l-istess loġika, l-attakkant jikkonkludi li l-password tibda bl-ittri co

U hekk sakemm il-password kollha tiġi restawrata.

Il-qarrej ikun skużat talli jaħseb li dan huwa eżerċizzju purament akkademiku u li xenarju ta’ attakk bħal dan qatt ma jqum fid-dinja reali. Alas, kif se naraw dalwaqt, huwa aħjar li ma naqtgħux qalbhom mill-kriptografija.

Vulnerabbiltajiet tad-ditta: KRIMINALITÀ, POODLE, DROWN

Fl-aħħarnett, wara li nistudjaw it-teorija fid-dettall, nistgħu naraw kif dawn it-tekniki huma applikati f'attakki kriptografiċi fil-ħajja reali.

CRIME

Jekk l-attakk ikun immirat lejn il-browser u n-netwerk tal-vittma, xi wħud ikunu aktar faċli u xi wħud aktar diffiċli. Pereżempju, huwa faċli li tara t-traffiku tal-vittma: sempliċement poġġi miegħu fl-istess kafetterija bil-WiFi. Għal din ir-raġuni, il-vittmi potenzjali (jiġifieri kulħadd) huma ġeneralment avżati li jużaw konnessjoni kriptata. Ikun aktar diffiċli, iżda xorta waħda possibbli, li tagħmel talbiet HTTP f'isem il-vittma lil xi sit ta 'parti terza (per eżempju, Google). L-attakkant għandu jħajjar lill-vittma għal paġna web malizzjuża bi skript li jagħmel it-talba. Il-web browser awtomatikament jipprovdi l-cookie tas-sessjoni korrispondenti.

Dan jidher aqwa. Jekk Bob mar evil.com, tista' l-iskrittura fuq dan is-sit titlob biss lil Google biex tibgħat email il-password ta' Bob [email protected]? Ukoll, fit-teorija iva, imma fir-realtà le. Dan ix-xenarju jissejjaħ attakk ta' falsifikazzjoni ta' talba bejn is-sit (Falsifikazzjoni ta' Talba bejn is-Siti, CSRF), u kien popolari madwar nofs is-snin 90. Illum jekk evil.com jipprova dan it-trick, Google (jew kwalunkwe websajt li tirrispetta lilha nnifisha) normalment tirrispondi bi, "Kbir, iżda t-token CSRF tiegħek għal din it-tranżazzjoni se jkun... um... три триллиона и семь. Jekk jogħġbok irrepeti dan in-numru." Il-browsers moderni għandhom xi ħaġa msejħa "politika tal-istess oriġini" li biha l-iskripts fuq is-sit A m'għandhomx aċċess għall-informazzjoni mibgħuta mill-websajt B. Allura l-iskript fuq evil.com jistgħu jibagħtu talbiet lil google.com, iżda ma tistax taqra t-tweġibiet jew fil-fatt tlesti t-tranżazzjoni.

Irridu nenfasizzaw li sakemm Bob ma jkunx qed juża konnessjoni kriptata, dawn il-protezzjonijiet kollha huma bla sens. Attakkant jista' sempliċement jaqra t-traffiku ta' Bob u jirkupra l-cookie tas-sessjoni ta' Google. B'din il-cookie, huwa sempliċement jiftaħ tab ġdida ta' Google mingħajr ma jħalli l-browser tiegħu stess u jippersona lil Bob mingħajr ma jiltaqa' ma' politiki pesky tal-istess oriġini. Iżda, sfortunatament għal serq, dan qed isir dejjem inqas komuni. L-Internet kollu kemm hu ilu ddikjara gwerra fuq konnessjonijiet mhux encrypted, u t-traffiku ħerġin ta 'Bob huwa probabbilment encrypted, kemm jekk jogħġob jew le. Barra minn hekk, mill-bidu nett tal-implimentazzjoni tal-protokoll, it-traffiku kien ukoll ċekken qabel l-encryption; din kienet prattika komuni biex titnaqqas il-latenza.

Dan huwa fejn tidħol fis-seħħ CRIME (Compression Ratio Infoleak Made Easy, tnixxija sempliċi permezz tal-proporzjon tal-kompressjoni). Il-vulnerabbiltà ġiet żvelata f'Settembru 2012 mir-riċerkaturi tas-sigurtà Juliano Rizzo u Thai Duong. Aħna diġà eżaminajna l-bażi teoretika kollha, li tippermettilna nifhmu x'għamlu u kif. Attakkant jista' jġiegħel lill-browser ta' Bob jibgħat talbiet lil Google u mbagħad jisma' t-tweġibiet fuq in-netwerk lokali f'forma kkompressata u kriptata. Għalhekk għandna:

Hawnhekk l-attakkant jikkontrolla t-talba u għandu aċċess għall-isniffer tat-traffiku, inkluż id-daqs tal-pakkett. Ix-xenarju fittizju ta’ Kelsey ħa l-ħajja.

Fehmu t-teorija, l-awturi ta 'KRIME ħolqu sfruttament li jista' jisirqu cookies tas-sessjoni għal firxa wiesgħa ta 'siti, inklużi Gmail, Twitter, Dropbox u Github. Il-vulnerabbiltà affettwat il-biċċa l-kbira tal-web browsers moderni, u rriżultat f'irqajja' li ġew rilaxxati li siekta midfuna l-karatteristika tal-kompressjoni f'SSL sabiex ma tintuża xejn. L-uniku wieħed protett mill-vulnerabbiltà kien il-venerabbli Internet Explorer, li qatt ma uża kompressjoni SSL.

POODLE

F'Ottubru 2014, it-tim tas-sigurtà ta 'Google għamel mewġ fil-komunità tas-sigurtà. Kienu kapaċi jisfruttaw vulnerabbiltà fil-protokoll SSL li kienet ġiet patched aktar minn għaxar snin ilu.

Jirriżulta li filwaqt li s-servers qed imexxu t-TLSv1.2 il-ġdid tleqq, ħafna ħallew appoġġ għall-legat SSLv3 għal kompatibilità b'lura ma 'Internet Explorer 6. Diġà tkellimna dwar attakki downgrade, għalhekk tista' timmaġina x'inhu għaddej. Sabotaġġ orkestrat tajjeb tal-protokoll tal-handshake u s-servers huma lesti biex jirritornaw għal SSLv3 antik tajjeb, essenzjalment iħassru l-aħħar 15-il sena ta 'riċerka tas-sigurtà.

Għall-kuntest storiku, hawn sommarju qasir tal-istorja tal-SSL sal-verżjoni 2 minn Matthew Green:

Is-Sigurtà tas-Saff tat-Trasport (TLS) hija l-aktar protokoll ta' sigurtà importanti fuq l-Internet. [..] kważi kull tranżazzjoni li tagħmel fuq l-Internet tiddependi fuq TLS. [..] Iżda TLS mhux dejjem kien TLS. Il-protokoll beda ħajtu fi Netscape Komunikazzjonijiet imsejħa "Secure Sockets Layer" jew SSL. Rumor jgħid li l-ewwel verżjoni ta 'SSL kienet tant terribbli li l-iżviluppaturi ġabru l-printouts kollha tal-kodiċi u midfuna f'terraferma sigrieta fi New Mexico. Bħala konsegwenza, l-ewwel verżjoni pubblikament disponibbli ta 'SSL hija fil-fatt verżjoni SSL 2. Huwa pjuttost tal-biża ', u [..] kien prodott ta' nofs is-snin 90, li l-kriptografi moderni jqisu bħala "żminijiet skuri tal-kriptografija" Ħafna mill-aktar attakki kriptografiċi faħxi li nafu dwarhom illum għadhom ma ġewx skoperti. B'riżultat ta' dan, l-iżviluppaturi tal-protokoll SSLv2 essenzjalment tħallew iħammġu fid-dlam, u ffaċċjaw lottijiet ta 'monstri terribbli - għad-dispjaċir tagħhom u għall-benefiċċju tagħna, peress li l-attakki fuq SSLv2 ħallew lezzjonijiet imprezzabbli għall-ġenerazzjoni li jmiss ta' protokolli.

Wara dawn l-avvenimenti, fl-1996, Netscape frustrat fassal mill-ġdid il-protokoll SSL mill-bidu. Ir-riżultat kien SSL verżjoni 3, li irranġa diversi kwistjonijiet ta' sigurtà magħrufa tal-predeċessur tiegħu.

Fortunatament għal ħallelin, "ftit" ma jfissirx "kollha." B'mod ġenerali, SSLv3 ipprovda l-blokki kollha meħtieġa biex jitnieda attakk Vodene. Il-protokoll uża ċifra tal-blokki tal-mod CBC u skema ta' ikkuttunar mhux sigura (dan ġie kkoreġut fit-TLS; għalhekk il-ħtieġa għal attakk downgrade). Jekk tiftakar l-iskema tal-ikkuttunar fid-deskrizzjoni oriġinali tagħna tal-attakk Vaudenay, l-iskema SSLv3 hija simili ħafna.

Iżda, sfortunatament għal serq, "simili" ma jfissirx "identiku." L-iskema tal-ikkuttunar SSLv3 hija "N bytes każwali segwiti bin-numru N". Ipprova, taħt dawn il-kundizzjonijiet, agħżel blokka immaġinarja ta 'ciphertext u għaddej mill-passi kollha ta' l-iskema oriġinali ta 'Vaudene: issib li l-attakk estratti b'suċċess l-aħħar byte mill-blokk korrispondenti ta' plaintext, iżda ma jmurx lil hinn. Id-decrypting kull 16th byte tal-ciphertext huwa trick kbir, iżda mhix rebħa.

Quddiem il-falliment, it-tim ta’ Google rrikorra għall-aħħar għażla: qalbu għal mudell ta’ theddid aktar b’saħħtu – dak użat fil-KRIMINALITÀ. Jekk wieħed jassumi li l-attakkant huwa script li jaħdem fit-tab tal-browser tal-vittma u jista 'jiġbed il-cookies tas-sessjoni, l-attakk għadu impressjonanti. Filwaqt li l-mudell tat-theddid usa huwa inqas realistiku, rajna fit-taqsima preċedenti li dan il-mudell partikolari huwa fattibbli.

Minħabba dawn il-kapaċitajiet ta 'attakkant aktar qawwija, l-attakk issa jista' jkompli. Innota li l-attakkant jaf fejn il-cookie tas-sessjoni kriptata tidher fl-header u jikkontrolla t-tul tat-talba HTTP li tkun qabilha. Għalhekk, huwa kapaċi jimmanipula t-talba HTTP sabiex l-aħħar byte tal-cookie jkun allinjat mat-tarf tal-blokk. Issa dan il-byte huwa adattat għad-decryption. Tista 'sempliċement iżżid karattru wieħed mat-talba, u l-byte ta' qabel tal-aħħar tal-cookie se jibqa 'fl-istess post u huwa adattat għall-għażla bl-użu tal-istess metodu. L-attakk ikompli b'dan il-mod sakemm il-cookie file jiġi kompletament restawrat. Tissejjaħ POODLE: Padding Oracle fuq Encryption Legacy Degradat.

GĦHERQA

Kif semmejna, SSLv3 kellu d-difetti tiegħu, iżda kien fundamentalment differenti mill-predeċessur tiegħu, peress li l-SSLv2 leaky kien prodott ta 'era differenti. Hemmhekk tista' tinterrompi l-messaġġ fin-nofs: соглашусь на это только через мой труп inbidel fi соглашусь на это; il-klijent u s-server jistgħu jiltaqgħu onlajn, jistabbilixxu fiduċja u jiskambjaw sigrieti quddiem l-attakkant, li mbagħad jista 'faċilment jippersona t-tnejn. Hemm ukoll il-problema bil-kriptografija tal-esportazzjoni, li semmejna meta kkunsidraw FREAK. Dawn kienu Sodoma u Gomorra kriptografiċi.

F'Marzu 2016, tim ta' riċerkaturi minn oqsma tekniċi differenti ltaqgħu flimkien u għamlu skoperta tal-iskantament: SSLv2 għadu jintuża fis-sistemi tas-sigurtà. Iva, l-attakkanti ma setgħux jibqgħu jiddegradaw is-sessjonijiet TLS moderni għal SSLv2 peress li dik it-toqba kienet magħluqa wara FREAK u POODLE, iżda xorta jistgħu jgħaqqdu mas-servers u jibdew sessjonijiet SSLv2 huma stess.

Tista’ tistaqsi, għaliex jimpurtana x’jagħmlu hemmhekk? Għandhom sessjoni vulnerabbli, iżda m'għandhiex taffettwa sessjonijiet oħra jew is-sigurtà tas-server - hux? Ukoll, mhux pjuttost. Iva, hekk għandu jkun fit-teorija. Imma le - għax il-ġenerazzjoni ta' ċertifikati SSL timponi ċertu piż, li jirriżulta f'ħafna servers li jużaw l-istess ċertifikati u, bħala riżultat, l-istess ċwievet RSA għal konnessjonijiet TLS u SSLv2. Biex tgħaxxaq, minħabba bug tal-OpenSSL, l-għażla "Itfi SSLv2" f'din l-implimentazzjoni SSL popolari fil-fatt ma ħadmitx.

Dan għamel possibbli attakk trans-protokoll fuq TLS, imsejħa GĦHERQA (Decrypting RSA b'Encryption Obsolet u Mdgħajjef, decrypting RSA b'encryption obsolet u mdgħajjef). Ifakkar li dan mhux l-istess bħal attakk qasir; l-attakkant m'għandux għalfejn jaġixxi bħala "raġel fin-nofs" u m'għandux għalfejn jinvolvi lill-klijent biex jipparteċipa f'sessjoni mhux sigura. L-attakkanti sempliċement jibdew sessjoni SSLv2 mhux sigura mas-server huma stess, jattakkaw il-protokoll dgħajjef, u jirkupraw iċ-ċavetta privata RSA tas-server. Din iċ-ċavetta hija valida wkoll għal konnessjonijiet TLS, u minn dan il-punt 'l quddiem, l-ebda ammont ta' sigurtà TLS ma jipprevjeni li tiġi kompromessa.

Iżda biex tixxaqqaqha, għandek bżonn attakk ta 'ħidma kontra SSLv2, li jippermettilek tirkupra mhux biss traffiku speċifiku, iżda wkoll iċ-ċavetta sigrieta tas-server RSA. Għalkemm din hija setup kumpless, ir-riċerkaturi setgħu jagħżlu kwalunkwe vulnerabbiltà li kienet magħluqa kompletament wara SSLv2. Eventwalment sabu għażla xierqa: l-attakk Bleichenbacher, li semmejna qabel u li se nispjegaw fid-dettall fl-artiklu li jmiss. SSL u TLS huma protetti minn dan l-attakk, iżda xi karatteristiċi każwali ta 'SSL, flimkien ma' ċwievet qosra fil-kriptografija ta 'grad ta' esportazzjoni, għamluha possibbli implimentazzjoni speċifika ta' DROWN.

Fiż-żmien tal-pubblikazzjoni, 25% tas-siti ewlenin tal-Internet kienu affettwati mill-vulnerabbiltà DROWN, u l-attakk jista 'jsir b'riżorsi modesti disponibbli anke għal hackers waħedhom mischievous. L-irkupru taċ-ċavetta RSA tas-server kien jeħtieġ tmien sigħat ta 'komputazzjoni u $440, u SSLv2 marru minn skaduti għal radjuattiv.

Stenna, xi ngħidu dwar Heartbleed?

Dan mhuwiex attakk kriptografiku fis-sens deskritt hawn fuq; Dan huwa buffer overflow.

Ejja nieħdu pawża

Bdejna b'xi tekniki bażiċi: forza bruta, interpolazzjoni, downgrading, cross-protocol, u precomputation. Imbagħad ħares lejn teknika waħda avvanzata, forsi l-komponent ewlieni tal-attakki kriptografiċi moderni: l-attakk tal-oraklu. Għaddejna żmien mhux ħażin nifhmuh - u fhimna mhux biss il-prinċipju sottostanti, iżda wkoll id-dettalji tekniċi ta 'żewġ implimentazzjonijiet speċifiċi: l-attakk Vaudenay fuq il-mod ta' encryption CBC u l-attakk Kelsey fuq protokolli ta 'encryption ta' qabel il-kompressjoni.

Fir-reviżjoni tal-attakki ta' downgrade u ta' prekomputazzjoni, aħna ddeskrijna fil-qosor l-attakk FREAK, li juża ż-żewġ metodi billi s-siti fil-mira jiddegradaw għal ċwievet dgħajfa u mbagħad jerġgħu jużaw l-istess ċwievet. Għall-artiklu li jmiss, aħna ser insalvaw l-attakk Logjam (simili ħafna), li jimmira algoritmi ewlenin pubbliċi.

Imbagħad ħares lejn tliet eżempji oħra tal-applikazzjoni ta’ dawn il-prinċipji. L-ewwel, KRIMINALITÀ u POODLE: żewġ attakki li kienu jiddependu fuq l-abbiltà tal-attakkant li jinjetta test sempliċi arbitrarju ħdejn it-test sempliċi fil-mira, imbagħad eżamina r-risposti tas-server u allura,bl-użu tal-metodoloġija tal-attakk tal-oracle, jisfrutta din l-informazzjoni skarsa biex,parzjalment, tirkupra t-test sempliċi. IL-KRIMINALITA’ marret ir-rotta tal-attakk ta’ Kelsey fuq il-kompressjoni SSL, filwaqt li POODLE minflok uża varjant tal-attakk ta’ Vaudenay fuq is-CBC bl-istess effett.

Imbagħad dawwarna l-attenzjoni tagħna għall-attakk cross-protocol DROWN, li jistabbilixxi konnessjoni mas-server bl-użu tal-protokoll SSLv2 tal-legat u mbagħad jirkupra ċ-ċwievet sigrieti tas-server bl-użu tal-attakk Bleichenbacher. Aħna naqbeż id-dettalji tekniċi ta 'dan l-attakk għalissa; bħal Logjam, se jkollu jistenna sakemm ikollna fehim tajjeb tal-kriptosistemi taċ-ċavetta pubblika u l-vulnerabbiltajiet tagħhom.

Fl-artiklu li jmiss se nitkellmu dwar attakki avvanzati bħal meet-in-the-middle, kriptoanaliżi differenzjali u attakki ta 'għeluq. Ejja nieħdu ħarsa ta 'malajr f'attakki fuq il-kanal tal-ġenb, u mbagħad nimxu għall-parti divertenti: kriptosistemi taċ-ċavetta pubblika.

Sors: www.habr.com

Attakki kriptografiċi: spjegazzjoni għal imħuħ konfużi