Учёные специализируюшиеся на вопросах безопасности обнаружили критическую уязвимость в криптографической библиотеке GnuPG, которая позволила исследователям полностью сломать защиту RSA-1024 и успешно извлечь секретный ключ RSA для дешифрования данных.
Gnu Privacy Guard (GnuPG или GPG) - популярное программное обеспечение для шифрования с открытым исходным кодом, используемое многими операционными системами начиная с Linux и FreeBSD и до Windows и MacOS X.
Это то же самое программное обеспечение, используемое бывшим подрядчиком NSA и осведомителем Эдвардом Сноуденом, которым он пользовался чтобы обеспечить безопасность своих сообщений.
Уязвимость, маркированная CVE-2017-7526, находится в криптографической библиотеке Libgcrypt, используемой GnuPG, которая подвержена FLUSH + RELOAD side-channel attack.
Группа исследователей из Технического университета Эйндховена, Университета штата Иллинойс, Университета Пенсильвании, Университета штата Мэриленд и Университета Аделаиды, обнаружила, что метод «скользящего окна слева направо», используемый библиотекой libgcrypt для выполнения математики криптографии даёт утечку значительно большей информации о битах экспоненты, чем "справа налево", что позволяет полностью восстановить ключ RSA.
«В этой статье мы демонстрируем полный слом RSA-1024, реализованный в Libgcrypt. Наша атака существенно использует тот факт, что Libgcrypt использует метод «слева направо» для вычисления расширения скользящего окна», - пишут исследователи в отчёте.
«Структура квадратов и умножений в скользящих окнах "слева направо" допускает утечку значительно большей информации об экспоненте, чем "справа налево". Мы покажем, как расширить алгоритм Хенингера-Шахама для частичной реконструкции ключа, чтобы использовать эту информацию и получить эффективное полное восстановление ключей для RSA-1024 ».
L3 Cache Side-Channel Attack требует, чтобы злоумышленник запускал произвольное программное обеспечение на аппаратном обеспечении, где используется приватный ключ RSA.
Атака позволяет злоумышленнику извлечь секретный ключ криптографии из системы, проанализировав схему использования памяти или сигналы на электромагнитных выходах устройства, которые испускаются во время процесса дешифрования.
«Таким образом, на практике есть более простые способы доступа к закрытым ключам, чем монтирование стороннего канала для этой атаки. Однако на хостах с виртуальными машинами эта атака может использоваться одной виртуальной машиной для кражи секретных ключей от другой виртуальной машины», говорится в сообщении сопровождающем описание уязвимости Libgcrypt.
Исследователи также предоставили доказательства того, что одна и та же атака стороннего канала также работает против RSA-2048, которые требуют умеренно большего количества вычислений, чем RSA-1024.
Исследовательская работа под названием «Sliding right into disaster: Left-to-right sliding windows leak» была написана Даниэлем Дж. Бернстайном, Йоахимом Брейтнером, Даниэлем Генкином, Леон Гротом Бруиндинком, Нади Хиннингер, Кристиной ван Вредендалем, Таня Ланге и Ювалем Яромом.
Libgcrypt выпустил исправление для проблемы в Libgcrypt версии 1.7.8. Debian и Ubuntu уже обновили свою библиотеку с последней версией Libgcrypt.
Поэтому читателям настоятельно рекомендуется проверить, работает ли в вашем дистрибутиве Linux последняя версия библиотеки Libgcrypt.
Комментарии
Это не ученые, это диверсанты какие-то!
ну то такое, тонкая грань ;-)
Кто знает, может быть сейчас где-то горько плачет товарищ майор.
Есть мнение, что во всяких там "алгоритмах шифрования" некоторые "учОные" специально оставляют "бекдоры", а потом топят лошью про невозможность взлома, ага. ещё более конспирологическая версия гласит что эти самые "алгоритмы шифрования" создаются на деньги спецслужб - для упрощения и ускорения их работы. Хе-хе...
почему версия? правила сертификации и использования гражданской криптографии в РФ и США, а также правила их экспорта прямо об этом говорят.
А если к этому приплюсовать, что у нас, как и во многих других странах, разработка и распространения средств шифрования является лицензируемым видом деятельности, то получается, что обычным смертным дозволено пользоваться только тем, что им предоставляет "государство". Если захочешь что-нибудь зашифровать своим собственным способом, и уж, тем более, поделиться этим способом с кем то другим, то можно очень легко присесть на некоторое время.
Всё это наталкивает на мысли, что в общественное пользование предоставляется только то, что изначально подразумевает беспрепятственное вскрытие компетентными службами.
В свое время писал собственную реализацию по нескольким алгоритмам программы шифровки/дешифровки в рамках лабораторных работ в универе... если поискать, то исходники найду... и наверняка не один я выполнял подобное задание во время обучения... так нас всех можно посадить? интересно, на основании чего?.. что-то не помню таких нормативных актов...
В организация да, там есть требования к сертификации криптосредств.. а дома шифруй чем хочешь...
"Отсутствие у Вас судимости не Ваша заслуга, а наша недоработка!" (с) Очень много вещей, которые миллиметр туда или сюда и будет состав правонарушения/преступления... Пока вы топориком по деревяхе в сарае тюкаете всё пучком, а если там же по соседу или в парке по живому дереву, то начнутся проблемы...
Вас, конечно, не затруднит привести соответствующую статью УК РФ.
Статью прокурор озвучит :-)
Законодательством Российской Федерации ответственность за разработку, производство и применение шифровальных средств была возложена на Федеральное агентство правительственной связи и информации (ФАПСИ) при Президенте РФ, преобразованное в 2003 г. в Службу специальной связи и информации при Федеральной службе охраны РФ. В соответствии с «Положением о Федеральной службе безопасности Российской Федерации», утвержденным Указом Президента РФ № 960 от 11 августа 2003 г., значительная часть функций по обеспечению защиты информации, обрабатываемой и передаваемой с помощью криптографических и технических средств, передана Центру безопасности связи ФСБ.
Таким образом, все вопросы, связанные с разработкой, производством, закупкой и применением шифровальных средств, независимо от области их использования, должны координироваться с ФСБ РФ.
В соответствии с Федеральным законом № 128-ФЗ «О лицензировании отдельных видов деятельности» от 8 августа 2001 г. обязательному лицензированию подлежат следующие виды деятельности:
1) распространение шифровальных (криптографических) средств;
2) техническое обслуживание шифровальных (криптографических) средств;
3) предоставление услуг в области шифрования информации;
4) разработка и производство шифровальных (криптографических) средств, а также информационных и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств;
5) выдача сертификатов ключей ЭЦП, регистрация владельцев ЭЦП, оказание услуг, связанных с использованием ЭЦП, подтверждение подлинности электронных цифровых подписей.
Да, статья "Новостей хакеров" отдаёт элeкромагнитным колдунством. Надо читать сам пэйпер.
ссылка в списке источников статьи.
Да, спасибо, я заметил. Да и каментом своим тоже промазал. В отпуск пора :'(
[I] dev-libs/libgcrypt (1.7.8@03.07.2017)
А для чего нужно восстанавливать ключ через задницу, а именно:
если мы имеем полный доступ к железу и можем взять приватный ключ просто с файловой системы?
внимательно прочти, а особенно оригинал отчёта, если интересны детали.
прочитал. еще раз прочитал. увидел слова про виртуальные машины. разницы в организации атаки с обычным хостом нет - если мы фактически повысили привилегии процесса в своей виртуальной машине до уровня гипервизора (а это требуется для получения доступа к памяти чужой виртуалки) то и чужая файловая система для нас станет доступной.
В приличных системах приватный ключ должен хранится в зашифрованном виде и использоваться только внутри доверенного криптомодуля.
ssh берет ключи из обычных файлов.
SSH не является юридически значимым. А вот квалифицированная усиленная ЭЦП на токене - является.
А ключ на токене для этой атаки и не доступен. Процесс подписи осуществляется внутри токена и на выходе имеем уже подписанный документ. Уязвимая библиотека не используется.
идея в том, что ты получаешь доступ к ключу с возможность полностью симулировать поведение аутентичного владельца. доступ к ключу в secured store на FS в смысле его копирования/удаления тебе мало поможет, для того давно RBAC придумали, чтобы руты не лазали куда не надо.
вот именно этой идеи я и не понял. ключ вне токена не появляется. документ отправляется в токен и в нем же и подписывается. уязвимая библиотека с документом не работает. что атаковать то?
смело предположу, если токен имеет сходную имплементацию внутри, то получив возможность сканировать спектр его ЭМИ возможно узнать и ключ.
Спектр ЭМИ? Владельца токена паяльником подогреть не проще будет?
нет. важные ключи никода не доставляются и не передаются целостно. т.н. key custodian везут каждый свою часть, и вводят в систему только свою часть. полного ключа не видит и не знает никто, он реконструируется внутри системы и никогда её не покидает, это если мы говорим о HSM. администратор HSM также не имеет к ключам никакого доступа в смысле использования, но может их удалить, к примеру, или переключить на другой авторизованный ключ. HSM так получает т.к. Мастер ключ, с него создают КЕК (key encryption key) а также многочисленные временные дериваты под каждый поддерживаемый алгоритм шифрования.
Термо-ректальный крипто анализ наше всё.
Не везде подходит. Есть масса задач, когда ключ надо узнать без ведома его владельца.
Это не уязвимость RSA, иначе кипиш был бы иного уровня. Очередная криво написанная в Linux системная библиотека, толпы их.
Обратите внимание на оперативность фикса. Открытость и оперативность - единственное лекарство в таких случаях, используется успешно.
так в заголовке прямо сказано, имплементация RSA 1024 в GPG как следствие использования Libgrypt.
Среагировал на это. Да и регулярно находят аналогичные дыры в том же tls. Так что напрягаться надо не больше, чем обычно.
ну как сказать, посмотрим на продолжение истории. сейчас они подобранным инструментарием понюхают остальные имплементации, возможно и кое-что другое, там видно будет. будет обидно, если окажется, к примеру, что все имплементации имеют косяки, которые можно успешно использовать. и кстати о патчах, если линукс коммьюнити в качестве патча переключили направление движения окна, то я бы так не торопился называть это фиксом.
Вот же блин! У пресловутых "русских хакеров" хлеб отнимают!
я так понимаю, взлом построен на использовании мусора из памяти?
нет, совсем нет. посмотри оригинал отчёта.
Перспективный чат детектед! Сим повелеваю - внести запись в реестр самых обсуждаемых за последние 4 часа.
Давно пора менять систему шифрования на более надёжную... расслабились... некоторые используют мощности биткоин-майнеров, для взлома, так-что... Думать надо, камрады.
Как можно использовать генератор SHA-256 (не RSA-xxx, это важно) для взлома чего бы то ни было?
Биткоин должен упасть и не отжаться!!!
Громкое название, а сама атака так себе. Просто имея доступ к зашифрованным данным не вскроешь, нужно иметь доступ к машине на которой крутится эта библиотека.
Сделать себе мойшинку с этой библиотекой так сложно? Вопрос в том, должен ли на ней быть валидный зашифрованый ключ, и этот вопрос много сложнее.
Сделать машинку просто, только ключ нужен, а если он есть зачем машинка?
точно нужен? мне не очевидно. а во-вторых, ты прав, если у тебя ключ есть в открытой форме, который достать практически нереально, а если промежуточный вариант, который тоже очень тяжело получить - ключ криптованый? т.е. ты теоретически можешь его получить, но его надо дешифровать, прежде чем использовать.
Таким же образом вскрывают ключи на SIM картах. Сканируют ЭМИ чипа, что значительно сокращает количество оставшихся комбинаций.
"Есть многое на свете, друг Гораций..."
Вспомнилась незабываемая история, как друг-системщик, увлекшийся тайнами Ассемблера на уровне студента в рамках 4го курса, решил на папином компе проверить, что получается, если заиметь доступ к определенной ячейке памяти на физ уровне. Получил. Комп - сгорел. Парень потом еще раз получил, но уже от отца.
Оказывается, даже при полной алгоритмизации работы компа человеком, в нем есть неизведанные места
просто вбил в поиск и первое что нашёл было аж за 2013 год - http://www.securitylab.ru/analytics/445481.php
об этих методах давно знают и как-то работают.... странно это
как я понял там теория разобрана, а тут они уже получили ключ. я потом тщательнее перечитаю, кстати некто Юваль Яром в авторах обоих исследований, что любопытно.