Μια ομάδα ακαδημαϊκών ερευνητών από πανεπιστήμια στην Καλιφόρνια και τη Μασαχουσέτη απέδειξε ό
τι
είναι δυνατό, υπό ορισμένες συνθήκες, για παθητικούς εισβολείς δικτύου να ανακτήσουν μυστικά κλειδιά RSA από φυσικά σφάλματα που οδηγούν σε αποτυχημένες προσπάθειες σύνδεσης SSH (ασφαλούς κελύφους).
Το SSH είναι ένα κρυπτογραφικό πρωτόκολλο δικτύου για ασφαλή επικοινωνία, που χρησιμοποιείται ευρέως σε απομακρυσμένη πρόσβαση συστήματος, μεταφορές αρχείων και εργασίες διαχείρισης συστήματος.
Το RSA είναι ένα κρυπτοσύστημα δημόσιου κλειδιού που χρησιμοποιείται στο SSH για έλεγχο ταυτότητας χρήστη. Χρησιμοποιεί ένα ιδιωτικό, μυστικό κλειδί για την αποκρυπτογράφηση της επικοινωνίας που είναι κρυπτογραφημένη με ένα δημόσιο κλειδί με δυνατότητα κοινής χρήσης.
Αποκάλυψη σφαλμάτων υλικού
Μια εργασία που δημοσιεύτηκε από τους πανεπιστημιακούς ερευνητές Keegan Ryan, Kaiwen He, Nadia Heninger και George Arnold Sullivan, δείχνει ότι είναι δυνατό για έναν παθητικό εισβολέα δικτύου να αποκτήσει ένα ιδιωτικό κλειδί RSA από διακομιστές SSH που αντιμετωπίζουν σφάλματα κατά τον υπολογισμό της υπογραφής.
“Εάν μια υλοποίηση υπογραφής χρησιμοποιώντας CRT-RSA έχει σφάλμα κατά τον υπολογισμό της υπογραφής, ένας εισβολέας που παρατηρεί αυτήν την υπογραφή μπορεί να είναι σε θέση να υπολογίσει το ιδιωτικό κλειδί του υπογράφοντος”, λένε οι ερευνητές στο
τεχνικό χαρτί
.
Το κινεζικό θεώρημα υπολοίπου (CRT) χρησιμοποιείται με τον αλγόριθμο RSA για τη μείωση του μεγέθους bit για το δημόσιο κλειδί και την επιτάχυνση του χρόνου αποκρυπτογράφησης.
«Αυτές οι επιθέσεις εκμεταλλεύονται το γεγονός ότι αν γίνει ένα σφάλμα κατά τον υπολογισμό του modulo one prime, ας πούμε q, τότε η προκύπτουσα μη έγκυρη υπογραφή «s» είναι ισοδύναμη με τη σωστή υπογραφή modulo ένας πρώτος παράγοντας p, αλλά όχι q», εξηγούν περαιτέρω οι ερευνητές. .
Αν και τα σφάλματα αυτού του είδους είναι σπάνια, είναι αναπόφευκτα λόγω ελαττωμάτων υλικού. Δεδομένης μιας αρκετά μεγάλης δεξαμενής δεδομένων, ένας εισβολέας μπορεί να βρει και να αξιοποιήσει πολλές ευκαιρίες για εκμετάλλευση.
Αυτό είναι ένα γνωστό πρόβλημα που επηρεάζει παλαιότερες εκδόσεις TLS. Αντιμετωπίστηκε στο TLS 1.3 κρυπτογραφώντας τη χειραψία που δημιουργεί τη σύνδεση, εμποδίζοντας έτσι τους παθητικούς κρυφακούς να διαβάσουν τις υπογραφές.
Το SSH θεωρείτο προηγουμένως ασφαλές από αυτήν την επίθεση, αλλά οι ερευνητές απέδειξαν ότι είναι δυνατή η ανάκτηση μυστικών RSA χρησιμοποιώντας επιθέσεις που βασίζονται σε πλέγμα που ανακτούν το ιδιωτικό κλειδί από μερικώς γνωστά nonces.
Οι ερευνητές σημειώνουν ότι οι δοκιμές τους δεν περιλαμβάνουν
αποτελέσματα
“για το RSA-1024, SHA512, επειδή ο αριθμός των άγνωστων δυαδικών ψηφίων στον κατακερματισμό είναι πολύ μεγαλύτερος από αυτόν που μπορούμε να λύσουμε με ωμή δύναμη ή να λύσουμε με πλέγματα”.
Ωστόσο, προσθέτουν ότι «η επίθεση πλέγματος είναι αρκετά αποτελεσματική» και ότι οι δοκιμές τους είχαν ποσοστό επιτυχίας 100%.
Χρόνοι ανάκτησης μυστικού κλειδιού στο
Intel Xeon
E5-2699
(eprint.iacr.org)
Χρησιμοποιώντας την επίθεση πλέγματος τους, οι ερευνητές κατάφεραν να βρουν 4.962 μη έγκυρες υπογραφές που αποκάλυψαν την παραγοντοποίηση του αντίστοιχου δημόσιου κλειδιού RSA, επιτρέποντας έτσι την ανάκτηση ιδιωτικών κλειδιών που αντιστοιχούν σε 189 μοναδικά δημόσια κλειδιά RSA.
Πολλά από τα μυστικά που ανακτήθηκαν προέρχονταν από συσκευές με ευάλωτες υλοποιήσεις, με τον μεγαλύτερο αριθμό υπογραφών να προέρχονται από συσκευές Zyxel.
Συσκευές που ταιριάζουν με τις δημιουργούμενες υπογραφές
(eprint.iacr.org)
Οι ερευνητές αποκάλυψαν το ζήτημα στη Cisco και τη Zyxel νωρίτερα αυτό το έτος και οι πωλητές ερεύνησαν την αιτία.
Η Cisco διαπίστωσε ότι ένας κατάλληλος μετριασμός εισήχθη πέρυσι στη Cisco ASA και στο λογισμικό FTD. Η εταιρεία είπε στους ερευνητές ότι εξετάζει μετριασμούς στο λογισμικό Cisco IOS και
IOS XE
.
Η Zyxel διαπίστωσε ότι η έκδοση υλικολογισμικού ZLD που χρησιμοποίησαν οι ερευνητές στο πείραμα είχε αλλάξει στη χρήση OpenSSL, γεγονός που εξαλείφει τον κίνδυνο.
Οι ερευνητές προειδοποιούν ότι εάν υπογράψουν υλοποιήσεις χρησιμοποιώντας το κινεζικό θεώρημα υπολοίπου (
CRT
) ο
αλγόριθμος
με RSA έχει σφάλμα κατά τον υπολογισμό της υπογραφής, ένας εισβολέας που παρατηρεί την υπογραφή μπορεί να είναι σε θέση να υπολογίσει το ιδιωτικό κλειδί του υπογράφοντος.
Για να αντιμετωπίσουν την ικανότητα ενός εισβολέα να ανακτήσει το μυστικό κλειδί, οι ερευνητές προτείνουν υλοποιήσεις που επικυρώνουν τις υπογραφές πριν από την αποστολή τους, όπως η σουίτα OpenSSH που βασίζεται στο OpenSSL για τη δημιουργία υπογραφών.
VIA:
bleepingcomputer.com