Aplikovaná kryptoanalýza. Dr. Tomáš Rosa,

Rozměr: px

Začít zobrazení ze stránky:

Download "Aplikovaná kryptoanalýza. Dr. Tomáš Rosa,"

Dalibor Vaněk
před 7 lety
Počet zobrazení:

1 Aplikovaná kryptoanalýza Dr. Tomáš Rosa,

2 Agenda Současný stav aplikované kryptografie Fenomény aplikované kryptoanalýzy Postranní kanály Přískoky vědy Sociální inženýrství Nepopiratelnost skrytá hrozba Exemplární slabiny vybraných schémat Možnosti odhalování slabin 2

3 Přístup kryptoanalytika Věříme, že bezpečné schéma existuje. Pokud lze něco prolomit, tak musel někdo udělat chybu. Chybovat je lidské 3

4 Aplikovaná kryptografie dneška Přístup typu black-box Autonomní, snadno aplikovatelné moduly. Nízké povědomí až aktivní nezájem o vnitřní uspořádání. Zřetelný rozdíl mezi zpravodajským a komerčním pojetím kryptografie. Neznalost až vědomá ignorace elementárních principů. Chybí použitelný standard kvality. 4

5 Jak vypadá dnešní hacker Naštěstí je to často stejný, ne-li větší, ignorant jako dnešní vývojář Máme na mysli běžného útočníka a vývojáře, kteří svéřemeslo berou čistě jako prostředek obživy. 5

6 Co můžeme očekávat Finanční přitažlivost počítačových útoků stoupá. S tím bude stoupat snaha útočníků zdokonalovat své metody. 6

7 Aplikovaná kryptoanalýza Překvapivé útoky v neočekávaných místech systému Obvykle velmi efektivní a těžko odhalitelné postupy. Postranní kanály Podcenění fyzikálních projevů zařízení. Přískoky vědy Podcenění heuristické povahy kryptografie. Sociální techniky Podcenění lidského faktoru. 7

8 Postranní kanál Každý nežádoucí způsob výměny informací mezi kryptografickým modulem a jeho okolím. Časový Napěťově - proudový Elektromagnetický Chybový Kleptografický Postranní kanál 8

9 Ilustrace úniku informací postranním kanálem Hammingova vzdálenost datových bloků přesouvaných vybranou instrukcí analyzovaného kódu. 9

10 1 0

11 Jiná ilustrace chybový kanál klienti ClientKeyExchange RSA, Finished C = [ϕ(premaster-secret)] e mod N Chybový postranní kanál server computation: try { P C d mod N } try { premaster-secret ϕ -1 (P) } if (exception in ϕ -1 ) premaster-secret RAND(48) else if(bad version of premaster-secret) Alert-version Finished/Alert 1 1

12 Kryptoanalýza dříve Analytik měl k dispozici zachycený šifrový text. V lepším případě měl i popis použité metody. 1 2

13 Kryptoanalýza nyní Analytik komunikuje přímo s napadeným systémem - dává mu povolené příkazy. Útok připomíná herní partii výhrou analytika je prolomení systému. 1 3

14 Přískoky vědy Prokazatelná bezpečnost je zatím iluzí. Myslíme si, že systém je tak bezpečný, jak složitý je problém, o kterém si myslíme, že je neschůdný. Místo myslíme si zde ovšem má být umíme dokázat. 1 4

15 Oslabení ze dne na den bychom měli očekávat u každého algoritmu. Realita je ovšem zcela jiná: Aplikace nejsou technicky schopny přejít rychle na jiný algoritmus. Některé to nedokážou vůbec. Změna algoritmu není procesně podchycena (krizové scénáře, atp.). 1 5

16 Sociální inženýrství (SI) Zneužíváno jako platforma pro velmi efektivní útoky. Útoky založeny na slabinách ve vzorcích běžného lidského chování. Zmatení uživatelů podvrženými informacemi. Predikovatelnost reakcí skupiny uživatelů na definované vnější podněty. 1 6

17 Nepopiratelnost Cíl Nezávislá třetí strana je schopna rozhodovat spory o tom, zda se nějaká údajná událost stala či nestala. Prostředek Důvěryhodný digitální důkaz (nosič nazýváme token, srv. informace vs. data). Útoky Kombinované přístupy s významným podílem sociálního inženýrství. 1 7

18 Podstata digitálního podpisu Událost vytvoření podpisu musí být nepopiratelná. Nezávislá třetí strana je schopna rozhodnout, zda se událost vytvoření podpisu skutečně stala či nikoliv. Požadavek nepadělatelnosti podpisu je v požadavku nepopiratelnosti události vytvoření podpisu zahrnut implicitně. 1 8

19 Meze striktně logických důkazů Triviálně lze ukázat, že {s Sig Priv (m)} {Ver Pub (m, s) = ANO}. My bychom však rádi ukázali, že také {Ver Pub (m, s) = ANO} {s (!) Sig Priv (m)}, zde jsme odkázáni na heuristiku... (viz ovšem rozdílné chápání logického a právního důkazu) 1 9

20 Potenciální slabiny Kolize hašovacích funkcí Neproběhlo s Sig Priv (m 1 ),ale s Sig Priv (m 2 ), kde h(m 1 ) = h(m 2 ), ale m 1 m 2. Vnitřní kolize podpisových schémat Obdobný efekt jako kolize hašovacích funkcí. Kolize klíčů Neproběhlo s Sig Priv1 (m), ale s Sig Priv2 (m), kde Priv 1 Priv 2. Sémantické kolize Zpráva se má dekódovat jako ϕ 2 (m), nikoliv jako ϕ 1 (m), kde ϕ 1 ϕ

21 Varování Útočit může sám oprávněný majitel podepisovacího klíče - signatář. Ani jemu nesmí být například umožněno generovat hodnoty klíčů zcela podle jeho vůle. Úloha pro důvěryhodné autonomní kryptografické moduly. Jednoznačné formáty dokumentů. 2 1

22 RSA exemplární slabiny 2 2

23 RSA praktické útoky Připomeňme: ověřovací transformace: (m e mod N) = c, podepisovací transformace: (c d mod N) = m. Základní kryptoanalytické úlohy: podvržení podpisu a luštění, inverze ověřovací transformace, nalezení soukromého klíče (N, d). pak už triviálně pak už triviálně 2 3

24 RSA podvržení podpisu Jde o chyby v ověřovací proceduře. Buď s podpis dle RSASSA-PKCS-v1_5. Pro s e mod N má být ověřeno, že: modul N s e mod N dle EMSA-PKCS1-v1_ FF... FF ID h h(m) 2 4

25 Chyba á-la OpenSSL Je tolerován výskyt neprázdného řetězce GRB připojeného zprava, viz níže. modul N s e mod N dle EMSA-PKCS1-v1_ FF... FF ID h h(m) GRB 2 5

26 Chyba á-la neznámý umělec Je kontrolována jen hodnota a pozice prvku h(m), viz níže. modul N s e mod N dle EMSA-PKCS1-v1_ h(m) 2 6

27 Důsledky zmíněných chyb (!) Pro nízké veřejné exponenty (typicky 3, 5, 7, 17) lze bez znalosti soukromého klíče vytvořit podpis, který je procedurou považován za platný. Úspěch závisí ještě na délce modulu. Čím delší je, tím lepší šance útočník má. Pro vyšší exponenty (65537, atp.) je to zatím jen významná certifikační slabina. 2 7

28 DSA exemplární slabiny 2 8

29 DSA praktické útoky Připomeňme: podpis: r = (g k mod p) mod q, s = (h(m) + xr)k -1 mod q, podpisem je dvojice (r, s), k je tajné číslo, 0 < k < q, tzv. NONCE, x je soukromý klíč, 0 < x < q. 2 9

30 DSA praktické útoky Základní kryptoanalytické úlohy: kolize, padělání podpisu, nalezení soukromého klíče. pak už triviálně 3 0

31 DSA - kolize Kolize hašovací funkce. Kolize ve vzorci pro s: ať q h(m 1 ) h(m 2 ), potom s = (h(m 1 ) + xr)k -1 mod q = = (h(m 2 ) + zq + xr)k -1 mod q = = [(h(m 2 ) + xr)k -1 + zqk -1 ] mod q = = (h(m 2 ) + xr)k -1 mod q. 3 1

32 DSA soukromý klíč Velmi citlivým místem je NONCE k. Závislosti mezi jednotlivými NONCE. Parciální informace o NONCE. Chybové útoky změnou veřejných parametrů. 3 2

33 K využití znalosti NONCE Vycházíme ze soustavy kongruencí získaných pro d podpisů. A = { k i s i xr i h(m i ) (mod q) } i = 1 d Heuristicky: Znalost nějakého netriviálního bitu nějakého k i podává zhruba 1b informaci o soukromém klíči x, která se přes soustavu A kumuluje. Problém skrytého čísla, úspěšné metody řešení vycházejí z algoritmu LLL. 3 3

34 Metody odhalování slabin Penetrační testování Slabiny odhalitelné ověřováním hypotéz o zařízení typu black box. Příklad: Ověřovací procedura RSA. Revize zdrojových kódů Aneb když počet ověřovaných hypotéz značně roste. Příklad: Degenerované NONCE u DSA. 3 4

35 Závěr Vedle aplikované kryptografie existuje aplikovaná kryptoanalýza. Kryptografické algoritmy nejsou nedotknutelné mohou být napadeny a prolomeny. Řízení informační bezpečnosti musí tyto skutečnosti reflektovat. 3 5

36 Další zdroje Klíma, V. a Rosa, T.: Kryptologie pro praxi, seriál časopisu Sdělovací technika, Menezes, A.-J., van Oorschot, P.-C., and Vanstone, S.-A.: Handbook of Applied Cryptography, CRC Press,

37 Děkuji za pozornost... dr. Tomáš Rosa, divize Informační bezpečnost ebanka, a.s., a Katedra algebry UK MFF, 3 7

Podobné dokumenty

(Ne)popiratelnost digitálních podpisů. Cíl přednášky. Jazyková vsuvka

(Ne)popiratelnost digitálních podpisů Tomáš Rosa, trosa@ebanka.cz divize Informační bezpečnost Cíl přednášky. Ukázat specifické problémy spojené se zajišťováním nepopiratelnosti digitálních podpisů. 2.