Tim ta 'riċerkaturi mill-Università ta' Kalifornja, San Diego wera l-kapaċità li jirrikreaw iċ-ċwievet ospitanti RSA privati ta 'server SSH bl-użu ta' analiżi passiva tat-traffiku SSH. Attakk jista' jsir fuq servers li fuqhom, minħabba taħlita ta' ċirkostanzi jew azzjonijiet tal-attakkant, iseħħu fallimenti waqt il-kalkolu tal-firma diġitali meta tiġi stabbilita konnessjoni SSH. Il-ħsarat jistgħu jkunu jew softwer (eżekuzzjoni mhux korretta ta 'operazzjonijiet matematiċi, korruzzjoni tal-memorja) jew ħardwer (żbalji fit-tħaddim ta' NVRAM u DRAM jew fallimenti waqt qtugħ tad-dawl).
Waħda mill-għażliet għall-istimulazzjoni tal-fallimenti tista 'tkun attakki RowHammer, li, fost affarijiet oħra, jippermettu mill-bogħod jew meta jipproċessaw kodiċi JavaScript f'browser biex tinkiseb distorsjoni tal-kontenut ta' bits individwali tal-memorja waqt qari ċikliku intensiv ta 'dejta minn ċelloli tal-memorja ġirien. Għażla oħra biex tikkawża fallimenti tista' tkun l-isfruttament ta' vulnerabbiltajiet li jwasslu għal buffer overflows u korruzzjoni ta' data b'ċwievet fil-memorja.
L-istudju ppubblikat juri li meta firem diġitali bbażati fuq l-algoritmu RSA jintużaw fl-SSH, attakki biex jerġgħu jinħolqu ċwievet privati RSA bl-użu tal-metodu Lattice (Attakk tal-Ħtija) huma applikabbli għall-parametri tal-firma diġitali fil-każ ta’ fallimenti ta’ softwer jew hardware waqt il-firma. proċess ta’ kalkolu. L-essenza tal-metodu hija li billi tqabbel firem diġitali RSA korretti u difettużi, tista 'tiddetermina l-akbar diviżur komuni biex joħroġ wieħed min-numri ewlenin użati biex tiġġenera ċ-ċavetta.
Il-kriptaġġ RSA huwa bbażat fuq l-operazzjoni ta 'esponenzjazzjoni ta' numru kbir. Iċ-ċavetta pubblika fiha l-modulu u l-grad. Il-modulu huwa ffurmat ibbażat fuq żewġ numri primi każwali, li huma magħrufa biss mis-sid taċ-ċavetta privata. L-attakk jista 'jiġi applikat għal implimentazzjonijiet RSA bl-użu tat-Teorema tal-Fdal Ċiniż u skemi ta' padding deterministiċi bħal PKCS#1 v1.5.
Biex jitwettaq l-attakk, huwa biżżejjed li jiġu mmonitorjati b'mod passiv konnessjonijiet leġittimi mas-server SSH sakemm tiġi skoperta firma diġitali difettuża fit-traffiku, li tista' tintuża bħala sors ta' informazzjoni biex tiġi rikostruwita ċ-ċavetta RSA privata. Wara li tiġi rikostruwita ċ-ċavetta RSA tal-host, l-attakkant jista', waqt attakk man-in-the-middle, jidderieġi mill-ġdid bil-moħbi t-talbiet lejn host falz li jagħmel tabirruħu server SSH kompromess u jinterċetta t-traffiku trażmess lejh. server data.
Billi eżaminaw ġabra ta 'dejta tan-netwerk interċettata li kienet tinkludi madwar 5.2 biljun rekord assoċjati mal-użu tal-protokoll SSH, ir-riċerkaturi identifikaw madwar 3.2 biljun ċavetta ospitanti pubbliċi u firem diġitali użati waqt in-negozjati tas-sessjoni SSH. Minn dawn, 1.2 biljun (39.1%) ġew iġġenerati bl-użu tal-algoritmu RSA. F'593671 każ (0.048%) il-firma RSA kienet bil-ħsara u ma setgħetx tiġi vverifikata. Għal 4962 firma falluta, stajna nużaw il-metodu ta' fatturizzazzjoni tal-Kannizzata biex niddeterminaw iċ-ċavetta privata miċ-ċavetta pubblika magħrufa, li rriżultat fir-rikostruzzjoni ta' 189 par ta' ċwievet RSA uniċi (f'ħafna każijiet, l-istess ċwievet u apparati falluti ntużaw biex jiġġeneraw firem differenti bil-ħsara). Hija ħadet madwar 26 siegħa ta 'ħin CPU biex jerġgħu jinħolqu ċ-ċwievet.
Il-problema taffettwa biss implimentazzjonijiet speċifiċi tal-protokoll SSH, użat primarjament fuq apparati inkorporati. Eżempji ta' apparati b'implimentazzjonijiet SSH problematiċi jinkludu prodotti minn Zyxel, Cisco, Mocana u Hillstone Networks. OpenSSH mhuwiex affettwat minn din il-problema minħabba li juża l-librerija OpenSSL (jew LibreSSL) biex jiġġenera ċwievet, li ilha protetta kontra Attakkijiet Ħsarat mill-2001. Barra minn hekk, f'OpenSSH, l-iskema tal-firma diġitali ssh-rsa (ibbażata fuq sha1) ilha deprecata mill-2020 u ddiżattivata fil-verżjoni 8.8 (l-appoġġ għall-iskemi rsa-sha2-256 u rsa-sha2-512 jibqa'). L-attakk jista 'potenzjalment ikun applikabbli għall-protokoll IPsec, iżda r-riċerkaturi ma kellhomx biżżejjed dejta sperimentali biex jikkonfermaw tali attakk fil-prattika.
Sors: opennet.ru
