| 0 |
|
Уперше дослідники продемонстрували, що значна частина криптографічних ключів, які використовуються для захисту даних у SSH-трафіку між комп'ютерами та серверами, є вразливою до повної компрометації за умови виникнення природних обчислювальних помилок під час процесу встановлення з'єднання.
Підкреслюючи важливість свого відкриття, дослідники використовували отримані дані для обчислення приватної частини майже 200 унікальних SSH-ключів, які вони спостерігали під час публічного сканування Інтернету, проведеного за останні сім років. На думку дослідників, така сама доля може спіткати й ключі, що використовуються в з'єднаннях IPsec. SSH - це криптографічний протокол, який використовують у захищених shell-з'єднаннях, що дають змогу комп'ютерам отримувати віддалений доступ до серверів, зазвичай у чутливих до безпеки корпоративних середовищах. IPsec - протокол, який використовується у віртуальних приватних мережах, які направляють трафік зашифрованим тунелем.
Уразливість проявляється в помилках під час генерації підпису, що виникають під час встановлення з'єднання між клієнтом і сервером. Вона зачіпає тільки ключі, що використовують криптографічний алгоритм RSA, який дослідники виявили приблизно в третині вивчених ними підписів SSH. Це становить приблизно 1 млрд підписів із 3,2 млрд розглянутих підписів. З приблизно 1 млрд RSA-підписів приблизно один із мільйона розкривав закритий ключ хоста.
Попри те, що цей відсоток нескінченно малий, цей результат дивовижний з кількох причин, насамперед тому, що в більшості використовуваних програм SSH, включно з OpenSSH, уже кілька десятиліть застосовують контрзахід, який перевіряє наявність помилок у підписі перед надсиланням підпису через Інтернет. Інша причина несподіванки полягає в тому, що досі дослідники вважали, що дефекти підпису можуть бути виявлені тільки в ключах RSA, які використовуються в протоколі TLS (Transport Layer Security), що шифрує з'єднання Web і електронної пошти. Вони вважали, що трафік SSH захищений від таких атак, оскільки противники, які просто спостерігають за трафіком, що проходить, не можуть побачити частину необхідної інформації в момент виникнення помилок.
Дослідники зазначають, що починаючи з версії TLS 1.3, випущеної 2018 року, протокол шифрує повідомлення квітування, які відбуваються в процесі узгодження вебсеансу або сеансу електронної пошти. Це стало додатковим контрзаходом, що захищає від компрометації ключа в разі обчислювальної помилки. Кіган Раян, науковий співробітник Каліфорнійського університету в Сан-Дієго і один з авторів дослідження, вважає, що, можливо, настав час і іншим протоколам включити такий самий додатковий захист.
Нові результати викладено в опублікованій роботі під назвою "Passive SSH Key Compromise via Lattices". Вона заснована на серії відкриттів, які тривають понад два десятиліття. У 1996 і 1997 роках дослідники опублікували результати, які в сукупності дали змогу зробити висновок про те, що в разі природних обчислювальних помилок, які призводять до появи одного неправильного підпису RSA, противник може використовувати його для обчислення закритої частини базової пари ключів.
Порівнюючи спотворений підпис із правильним, противник міг виконати математичну операцію GCD (найбільший спільний знаменник), яка, своєю чергою, призводила до отримання одного з простих чисел, що лежать в основі безпеки ключа. Це призвело до появи серії атак, заснованих на активному ініціюванні збоїв у процесі узгодження сеансу, перехопленні отриманого помилкового підпису і, зрештою, компрометації ключа. Для ініціювання помилок використовувалися такі заходи, як підміна джерела живлення комп'ютера або вплив лазером на смарткарту.
Потім, у 2015 році, дослідник уперше показав, що атаки на ключі, які використовуються в сесіях TLS, можливі навіть у тому разі, якщо у противника немає фізичного доступу до обчислювального пристрою. Натомість зловмисник міг просто під'єднатися до пристрою та опортуністично дочекатися помилки в підписі. Минулого року дослідники виявили, що навіть з урахуванням контрзаходів, доданих до більшості реалізацій TLS ще два десятиліття тому, вони все одно змогли пасивно спостерігати помилкові сигнатури, що дало їм змогу скомпрометувати RSA-ключі невеликої групи VPN, мережевих пристроїв і сайтів, зокрема, Baidu.com, який входить до топ-10 рейтингу Alexa.
Як уже зазначалося раніше, дослідники не отримали доказів того, що пасивні атаки, які використовують помилки в підписі, можливі під час передання трафіку за протоколами, які не належать до TLS, як-от SSH або IPsec. Причина полягає в тому, що криптографічний хеш підпису в останніх протоколах містить загальний секрет, генерований унаслідок обміну ключами Діффі-Хеллмана. Безпека, що забезпечується цим обміном, означає, що пасивне спостереження за несправним підписом не дає змоги виявити достатньо ключового матеріалу для відновлення закритого ключа за допомогою GCD-атаки.
Атака, описана в опублікованій статті, дає змогу усунути проблему відсутності ключового матеріалу в несправних підписах SSH завдяки використанню передової криптоаналітичної техніки, що ґрунтується на математиці, застосованій у криптографії на основі ґраток. Уперше ця методика була описана у 2009 році, але в тій роботі була продемонстрована лише теоретична можливість відновлення ключа за неповною інформацією, що міститься в дефектному підписі. У представленій статті цю техніку реалізовано в реальній атаці, яка використовує природний пошкоджений підпис SSH для відновлення базового ключа RSA, на основі якого його було створено.
Заволодівши секретним ключем шляхом пасивного спостереження за трафіком, зловмисники можуть провести активну атаку Mallory-in-the-middle на SSH-сервер, під час якої вони використовують ключ, щоб видати себе за сервер і відповісти на вхідний SSH-трафік від клієнтів. Після цього зловмисники можуть, наприклад, відновити облікові дані клієнта. Подібні post-exploit атаки можливі й на IPsec-сервери, якщо внаслідок несправності розкриваються їхні закриті ключі.
Причина виникнення несправностей до кінця не зрозуміла. Деякі дослідники пов'язують її з недоліками в криптографічних прискорювачах компаній Zyxel і Hillstone - двох виробників, виявлених у дослідженні цього місяця.
Важливо, що для виникнення помилки, яка розкриває секретний ключ RSA, достатньо одного перевертання біта, коли 0, що знаходиться в регістрі мікросхеми пам'яті, перетворюється на 1 або навпаки. Тому дуже важливо, щоб заходи протидії, які виявляють і пригнічують такі помилки, працювали з точністю, близькою до 100%. Зазначається, що секретні ключі в постквантових алгоритмах можуть бути аналогічним чином уразливі до розкриття внаслідок обчислювальних помилок.
Ready, set, buy! Посібник для початківців - як придбати Copilot для Microsoft 365
| 0 |
|
