Aplikovaná kryptoanalýza Dr. Tomáš Rosa,
[email protected]
Agenda • Současný stav aplikované kryptografie • Fenomény aplikované kryptoanalýzy • Postranní kanály • Přískoky vědy • Sociální inženýrství
• Nepopiratelnost – skrytá hrozba • Exemplární slabiny vybraných schémat • Možnosti odhalování slabin Quality & Security 2007 – Aplikovaná kryptoanalýza
2
Přístup kryptoanalytika • Věříme, že bezpečné schéma existuje. • Pokud lze něco prolomit, tak musel někdo udělat chybu.
• Chybovat je lidské…
Quality & Security 2007 – Aplikovaná kryptoanalýza
3
Aplikovaná kryptografie dneška • Přístup typu „black-box“ • Autonomní, snadno aplikovatelné moduly. • Nízké povědomí až aktivní nezájem o vnitřní uspořádání. • Zřetelný rozdíl mezi „zpravodajským“ a komerčním pojetím kryptografie. • Neznalost až vědomá ignorace elementárních principů. • Chybí použitelný standard kvality. Quality & Security 2007 – Aplikovaná kryptoanalýza
4
Jak vypadá dnešní „hacker“ • Naštěstí je to často stejný, ne-li větší, ignorant jako dnešní vývojář… • Máme na mysli běžného útočníka a vývojáře, kteří své řemeslo berou čistě jako prostředek obživy.
Quality & Security 2007 – Aplikovaná kryptoanalýza
5
Co můžeme očekávat • Finanční přitažlivost počítačových útoků stoupá. • S tím bude stoupat snaha útočníků zdokonalovat své metody.
Quality & Security 2007 – Aplikovaná kryptoanalýza
6
Aplikovaná kryptoanalýza • Překvapivé útoky v neočekávaných místech systému • Obvykle velmi efektivní a těžko odhalitelné postupy.
• Postranní kanály • Podcenění fyzikálních projevů zařízení.
• Přískoky vědy • Podcenění heuristické povahy kryptografie.
• Sociální techniky • Podcenění lidského faktoru. Quality & Security 2007 – Aplikovaná kryptoanalýza
7
Postranní kanál • Každý nežádoucí způsob výměny informací mezi kryptografickým modulem a jeho okolím. • • • • •
Časový Napěťově - proudový Elektromagnetický Chybový Kleptografický
Postranní kanál
Quality & Security 2007 – Aplikovaná kryptoanalýza
8
Ilustrace úniku informací postranním kanálem • Hammingova vzdálenost datových bloků přesouvaných vybranou instrukcí analyzovaného kódu.
Quality & Security 2007 – Aplikovaná kryptoanalýza
9
Quality & Security 2007 – Aplikovaná kryptoanalýza
1 0
Jiná ilustrace – chybový kanál server
klienti
ClientKeyExchangeRSA, Finished C = [ϕ(premaster-secret)]e mod N
Chybový postranní kanál
computation: try { P ← Cd mod N } try { premaster-secret ← ϕ-1(P) } if (exception in ϕ-1) premaster-secret ← RAND(48) else if(bad version of premaster-secret) “Alert-version”
Finished/Alert
Quality & Security 2007 – Aplikovaná kryptoanalýza
1 1
Kryptoanalýza dříve • Analytik měl k dispozici zachycený šifrový text. • V lepším případě měl i popis použité metody.
Quality & Security 2007 – Aplikovaná kryptoanalýza
1 2
Kryptoanalýza nyní • Analytik komunikuje přímo s napadeným systémem - dává mu povolené příkazy. • Útok připomíná herní partii – výhrou analytika je prolomení systému.
Quality & Security 2007 – Aplikovaná kryptoanalýza
1 3
Přískoky vědy • Prokazatelná bezpečnost je zatím iluzí. • Myslíme si, že systém je tak bezpečný, jak složitý je problém, o kterém si myslíme, že je neschůdný. • Místo myslíme si zde ovšem má být umíme dokázat.
Quality & Security 2007 – Aplikovaná kryptoanalýza
1 4
Oslabení ze dne na den… • …bychom měli očekávat u každého algoritmu. • Realita je ovšem zcela jiná: • Aplikace nejsou technicky schopny přejít rychle na jiný algoritmus. Některé to nedokážou vůbec. • Změna algoritmu není procesně podchycena (krizové scénáře, atp.). Quality & Security 2007 – Aplikovaná kryptoanalýza
1 5
Sociální inženýrství (SI) • Zneužíváno jako platforma pro velmi efektivní útoky. • Útoky založeny na slabinách ve vzorcích běžného lidského chování. • Zmatení uživatelů podvrženými informacemi. • Predikovatelnost reakcí skupiny uživatelů na definované vnější podněty. Quality & Security 2007 – Aplikovaná kryptoanalýza
1 6
Nepopiratelnost • Cíl • Nezávislá třetí strana je schopna rozhodovat spory o tom, zda se nějaká údajná událost stala či nestala.
• Prostředek • Důvěryhodný digitální důkaz (nosič nazýváme token, srv. informace vs. data).
• Útoky • Kombinované přístupy s významným podílem sociálního inženýrství. Quality & Security 2007 – Aplikovaná kryptoanalýza
1 7
Podstata digitálního podpisu • Událost vytvoření podpisu musí být nepopiratelná. • Nezávislá třetí strana je schopna rozhodnout, zda se událost vytvoření podpisu skutečně stala či nikoliv. • Požadavek nepadělatelnosti podpisu je v požadavku nepopiratelnosti události vytvoření podpisu zahrnut implicitně. Quality & Security 2007 – Aplikovaná kryptoanalýza
1 8
Meze striktně logických důkazů
• Triviálně lze ukázat, že
• {s ← SigPriv(m)} ⇒ {VerPub(m, s) = ANO}.
• My bychom však rádi ukázali, že také
• {VerPub(m, s) = ANO} ⇒ {s ←(!) SigPriv(m)}, • zde jsme odkázáni na heuristiku... (viz ovšem rozdílné chápání logického a právního důkazu) Quality & Security 2007 – Aplikovaná kryptoanalýza
1 9
Potenciální slabiny • Kolize hašovacích funkcí
• Neproběhlo s ← SigPriv(m1), ale s ← SigPriv(m2), kde h(m1) = h(m2), ale m1 ≠ m2.
• Vnitřní kolize podpisových schémat
• Obdobný efekt jako kolize hašovacích funkcí.
• Kolize klíčů
• Neproběhlo s ← SigPriv1(m), ale s ← SigPriv2(m), kde Priv1 ≠ Priv2.
• Sémantické kolize
• Zpráva se má dekódovat jako ϕ2(m), nikoliv jako ϕ1(m), kde ϕ1 ≠ ϕ2. Quality & Security 2007 – Aplikovaná kryptoanalýza
2 0
Varování • Útočit může sám oprávněný majitel podepisovacího klíče - signatář. • Ani jemu nesmí být například umožněno generovat hodnoty klíčů zcela podle jeho vůle. • Úloha pro důvěryhodné autonomní kryptografické moduly. • Jednoznačné formáty dokumentů. Quality & Security 2007 – Aplikovaná kryptoanalýza
2 1
RSA exemplární slabiny
Quality & Security 2007 – Aplikovaná kryptoanalýza
2 2
RSA – praktické útoky • Připomeňme: • ověřovací transformace: (me mod N) = c, • podepisovací transformace: (cd mod N) = m.
• Základní kryptoanalytické úlohy: • podvržení podpisu a luštění, • inverze ověřovací transformace, • nalezení soukromého klíče (N, d). Quality & Security 2007 – Aplikovaná kryptoanalýza
pak už triviálně pak už triviálně
2 3
RSA – podvržení podpisu • Jde o chyby v ověřovací proceduře. • Buď s podpis dle RSASSA-PKCS-v1_5. • Pro se mod N má být ověřeno, že: modul N ≠0
........
........ … ……..
........
…….. … .......1
se mod N dle EMSA-PKCS1-v1_5 00000000
00000001
FF ... FF
00000000
Quality & Security 2007 – Aplikovaná kryptoanalýza
IDh||h(m) 2 4
Chyba á-la OpenSSL • Je tolerován výskyt neprázdného řetězce GRB připojeného zprava, viz níže. modul N ≠0
........
........ … ……..
........
…….. … .......1
se mod N dle EMSA-PKCS1-v1_5 00000000
00000001
FF ... FF
00000000
IDh||h(m)||GRB
Quality & Security 2007 – Aplikovaná kryptoanalýza
2 5
Chyba á-la neznámý umělec • Je kontrolována jen hodnota a pozice prvku h(m), viz níže. modul N ≠0
........
........ … ……..
........
…….. … .......1
se mod N dle EMSA-PKCS1-v1_5 ........
........
........ … ……..
........
Quality & Security 2007 – Aplikovaná kryptoanalýza
… || h(m) 2 6
Důsledky zmíněných chyb • (!) Pro nízké veřejné exponenty (typicky 3, 5, 7, 17) lze bez znalosti soukromého klíče vytvořit podpis, který je procedurou považován za platný. • Úspěch závisí ještě na délce modulu. Čím delší je, tím lepší šance útočník má.
• Pro vyšší exponenty (65537, atp.) je to zatím „jen“ významná certifikační slabina. Quality & Security 2007 – Aplikovaná kryptoanalýza
2 7
DSA exemplární slabiny
Quality & Security 2007 – Aplikovaná kryptoanalýza
2 8
DSA – praktické útoky • Připomeňme: • podpis: • • • • •
r = (gk mod p) mod q, s = (h(m) + xr)k-1 mod q, podpisem je dvojice (r, s), k je tajné číslo, 0 < k < q, tzv. NONCE, x je soukromý klíč, 0 < x < q.
Quality & Security 2007 – Aplikovaná kryptoanalýza
2 9
DSA – praktické útoky • Základní kryptoanalytické úlohy: • kolize, • padělání podpisu, • nalezení soukromého klíče.
Quality & Security 2007 – Aplikovaná kryptoanalýza
pak už triviálně
3 0
DSA - kolize • Kolize hašovací funkce. • Kolize ve vzorci pro s: • ať q | h(m1) – h(m2), potom s = (h(m1) + xr)k-1 mod q = = (h(m2) + zq + xr)k-1 mod q = = [(h(m2) + xr)k-1 + zqk-1] mod q = = (h(m2) + xr)k-1 mod q. Quality & Security 2007 – Aplikovaná kryptoanalýza
3 1
DSA – soukromý klíč • Velmi citlivým místem je NONCE k. • Závislosti mezi jednotlivými NONCE. • Parciální informace o NONCE.
• Chybové útoky změnou veřejných parametrů.
Quality & Security 2007 – Aplikovaná kryptoanalýza
3 2
K využití znalosti NONCE • Vycházíme ze soustavy kongruencí získaných pro d podpisů. • A = { kisi – xri ≡ h(mi) (mod q) }i = 1d
• Heuristicky: Znalost nějakého netriviálního bitu nějakého ki podává zhruba 1b informaci o soukromém klíči x, která se přes soustavu A kumuluje. • Problém skrytého čísla, úspěšné metody řešení vycházejí z algoritmu LLL. Quality & Security 2007 – Aplikovaná kryptoanalýza
3 3
Metody odhalování slabin • Penetrační testování • Slabiny odhalitelné ověřováním hypotéz o zařízení typu „black box“. • Příklad: Ověřovací procedura RSA.
• Revize zdrojových kódů • Aneb když počet ověřovaných hypotéz značně roste. • Příklad: Degenerované NONCE u DSA. Quality & Security 2007 – Aplikovaná kryptoanalýza
3 4
Závěr • Vedle aplikované kryptografie existuje aplikovaná kryptoanalýza. • Kryptografické algoritmy nejsou nedotknutelné – mohou být napadeny a prolomeny. • Řízení informační bezpečnosti musí tyto skutečnosti reflektovat. Quality & Security 2007 – Aplikovaná kryptoanalýza
3 5
Další zdroje • Klíma, V. a Rosa, T.: Kryptologie pro praxi, seriál časopisu Sdělovací technika, 2003 – 2007 • http://crypto.hyperlink.cz/cryptoprax.htm
• Menezes, A.-J., van Oorschot, P.-C., and Vanstone, S.-A.: Handbook of Applied Cryptography, CRC Press, 1996 • http://www.cacr.math.uwaterloo.ca/hac/ Quality & Security 2007 – Aplikovaná kryptoanalýza
3 6
Děkuji za pozornost...
dr. Tomáš Rosa,
[email protected] divize Informační bezpečnost eBanka, a.s., http://www.ebanka.cz a Katedra algebry UK MFF, http://www.mff.cuni.cz Quality & Security 2007 – Aplikovaná kryptoanalýza
3 7
