Атака оракула с заполнением

Криптографическая атака

В криптографии атака оракула-дополнения — это атака, которая использует проверку криптографического сообщения- дополнения для расшифровки зашифрованного текста. В криптографии сообщения открытого текста переменной длины часто приходится дополнять (расширять), чтобы они были совместимы с базовым криптографическим примитивом . Атака основана на наличии « оракула- дополнения », который свободно отвечает на запросы о том, правильно ли дополнено сообщение или нет. Информация может быть предоставлена ​​напрямую или просочиться через сторонний канал .

Самая ранняя известная атака, использующая оракул дополнения, — это атака Блейхенбахера 1998 года, которая атакует RSA с дополнением PKCS #1 v1.5 . ^[1] Термин «оракул дополнения» появился в литературе в 2002 году, ^[2] после атаки Сержа Воденай на режим дешифрования CBC , используемый в симметричных блочных шифрах . ^[3] Варианты обеих атак продолжают находить успех более десятилетия спустя после их первоначальной публикации. ^{[1] [4] [5]}

Асимметричная криптография

В 1998 году Дэниел Блейхенбахер опубликовал основополагающую статью о том, что стало известно как атака Блейхенбахера (также известная как «атака миллиона сообщений»). Атака использует оракул дополнения против RSA с PKCS #1 v1.5 дополнения, но она не включает этот термин. Более поздние авторы классифицировали его атаку как атаку оракула дополнения. ^[1]

Мангер (2001) сообщает об атаке на замену PKCS #1 v1.5 padding, PKCS #1 v2.0 "OAEP". ^[6]

Симметричная криптография

В симметричной криптографии атака padding oracle может быть применена к режиму работы CBC . Утечка данных о валидности padding может позволить злоумышленникам расшифровывать (а иногда и шифровать) сообщения через oracle, используя ключ oracle, не зная ключа шифрования.

По сравнению с атакой Блейхенбахера на RSA с PKCS #1 v1.5, атака Воденай на CBC гораздо более эффективна. ^[1] Обе атаки нацелены на криптосистемы, которые обычно использовались в то время: CBC — это исходный режим, используемый в Secure Sockets Layer (SSL), и он продолжал поддерживаться в TLS. ^[4]

Было предпринято несколько мер по смягчению последствий, чтобы программное обеспечение для расшифровки не действовало как оракул, но новые атаки, основанные на синхронизации, неоднократно возрождали этого оракула. ​​TLS 1.2 вводит ряд аутентифицированных шифрований с дополнительными режимами данных, которые не полагаются на CBC. ^[4]

Атака с использованием оракула-заполнителя на шифрование CBC

Стандартная реализация расшифровки CBC в блочных шифрах заключается в расшифровке всех блоков зашифрованного текста, проверке заполнения, удалении заполнения PKCS7 и возврате открытого текста сообщения. Если сервер возвращает ошибку «недопустимое заполнение» вместо общей ошибки «дешифрование не удалось», злоумышленник может использовать сервер в качестве оракула заполнения для расшифровки (а иногда и шифрования) сообщений.

Математическая формула для расшифровки CBC:

${\displaystyle P_{i}=D_{K}(C_{i})\oplus C_{i-1},}$

${\displaystyle C_{0}=IV.}$

Как показано выше, расшифровка CBC выполняет операцию XOR для каждого блока открытого текста с предыдущим блоком. В результате однобайтовая модификация в блоке внесет соответствующее изменение в один байт в . ${\displaystyle C_{1}}$ ${\displaystyle P_{2}}$

Предположим, что у злоумышленника есть два блока зашифрованного текста , и он хочет расшифровать второй блок, чтобы получить открытый текст . Злоумышленник изменяет последний байт (создавая ) и отправляет на сервер. Затем сервер возвращает, является ли заполнение последнего расшифрованного блока ( ) правильным (допустимое заполнение PKCS#7). Если заполнение правильное, злоумышленник теперь знает, что последний байт равен , последние два байта равны 0x02, последние три байта равны 0x03, … или последние восемь байтов равны 0x08. Злоумышленник может изменить предпоследний байт (перевернуть любой бит), чтобы гарантировать, что последний байт равен 0x01. (В качестве альтернативы злоумышленник может перевернуть предыдущие байты и выполнить двоичный поиск позиции для определения заполнения. Например, если изменение третьего с конца байта верно, но изменение второго с конца байта неверно, то последние два байта известны как 0x02, что позволяет расшифровать их оба.) Таким образом, последний байт равен . Если заполнение неверно, злоумышленник может изменить последний байт на следующее возможное значение. Максимум, злоумышленнику потребуется сделать 256 попыток, чтобы найти последний байт , 255 попыток для каждого возможного байта (256 возможных, минус один по принципу ящика ), плюс одна дополнительная попытка, чтобы устранить неоднозначное заполнение. ^[7] ${\displaystyle C_{1},C_{2}}$ ${\displaystyle P_{2}}$ ${\displaystyle C_{1}}$ ${\displaystyle C_{1}'}$ ${\displaystyle (IV,C_{1}',C_{2})}$ ${\displaystyle P_{2}'}$ ${\displaystyle D_{K}(C_{2})\oplus C_{1}'}$ ${\displaystyle \mathrm {0x01} }$ ${\displaystyle D_{K}(C_{2})}$ ${\displaystyle C_{1}'\oplus \mathrm {0x01} }$ ${\displaystyle C_{1}'}$ ${\displaystyle P_{2}}$

Определив последний байт , злоумышленник может использовать ту же технику для получения предпоследнего байта . Злоумышленник устанавливает последний байт в значение , установив последний байт в значение . Затем злоумышленник использует тот же подход, который описан выше, на этот раз изменяя предпоследний байт до тех пор, пока заполнение не станет правильным (0x02, 0x02). ${\displaystyle P_{2}}$ ${\displaystyle P_{2}}$ ${\displaystyle P_{2}}$ ${\displaystyle \mathrm {0x02} }$ ${\displaystyle C_{1}}$ ${\displaystyle D_{K}(C_{2})\oplus \mathrm {0x02} }$

Если блок состоит из 128 бит ( например, AES ), что составляет 16 байт, злоумышленник получит открытый текст не более чем за 256⋅16 = 4096 попыток. Это значительно быстрее, чем попытки, необходимые для подбора 128-битного ключа. ${\displaystyle P_{2}}$ ${\displaystyle 2^{128}}$

Шифрование сообщений с помощью атаки Padding Oracle (CBC-R)

CBC-R ^[8] превращает оракул дешифрования в оракул шифрования и в первую очередь демонстрируется против оракулов заполнения.

Используя атаку оракула-заполнения CBC-R может создать вектор инициализации и блок зашифрованного текста для любого открытого текста:

• расшифровать любой зашифрованный текст P _i = PODecrypt( C _i ) XOR C _i−1 ,
• свободно выбрать предыдущий блок шифрования C _x−1 ,
• создать допустимую пару зашифрованный текст/открытый текст C _x-1 = P _x XOR PODecrypt( C _i ) .

Чтобы сгенерировать шифротекст длиной N блоков, злоумышленник должен выполнить N атак оракула-заполнителя. Эти атаки связаны вместе так, что надлежащий открытый текст создается в обратном порядке, от конца сообщения ( C _N ) к началу сообщения ( C ₀ , IV). На каждом шаге атака оракула-заполнителя используется для создания IV к предыдущему выбранному шифротексту.

Атака CBC-R не будет работать против схемы шифрования, которая проверяет подлинность зашифрованного текста (используя код аутентификации сообщения или аналогичный) перед расшифровкой.

Атаки с использованием оракулов заполнения

Оригинальная атака против CBC была опубликована в 2002 году Сержем Воденаем . ^[3] Конкретные экземпляры атаки были позже реализованы против SSL ^[9] и IPSec. ^{[10] [11]} Она также применялась к нескольким веб-фреймворкам , включая JavaServer Faces , Ruby on Rails ^[12] и ASP.NET ^{[13] [14] [15],} а также к другому программному обеспечению, такому как игровой клиент Steam . ^[16] В 2012 году было показано, что она эффективна против криптографических токенов PKCS 11. ^[1]

Хотя эти более ранние атаки были исправлены большинством разработчиков TLS после его публичного объявления, новый вариант, атака Lucky Thirteen , опубликованная в 2013 году, использовала временной боковой канал для повторного открытия уязвимости даже в реализациях, которые ранее были исправлены. По состоянию на начало 2014 года атака больше не считается угрозой в реальной работе, хотя она все еще работоспособна в теории (см. отношение сигнал-шум ) против определенного класса машин. По состоянию на 2015 год ^{[обновлять]}наиболее активной областью разработки атак на криптографические протоколы, используемые для защиты интернет-трафика, являются атаки понижения версии , такие как атаки Logjam ^[17] и Export RSA/FREAK ^[18] , которые обманывают клиентов, заставляя их использовать менее безопасные криптографические операции, предусмотренные для совместимости с устаревшими клиентами, когда доступны более безопасные. Атака под названием POODLE ^[19] (конец 2014 г.) сочетает в себе как атаку понижения версии (до SSL 3.0), так и атаку оракула-заполнителя на старый, небезопасный протокол, чтобы позволить скомпрометировать передаваемые данные. В мае 2016 г. было обнаружено в CVE - 2016-2107, что исправление против Lucky Thirteen в OpenSSL представило еще один оракул-заполнитель на основе времени. ^{[20] [21]}

Ссылки

1. Ромен Барду; Риккардо Фокарди; Юсуке Кавамото; Лоренцо Симионато; Грэм Стил; Джо-Кай Цай (2012). Эффективные атаки Oracle с заполнением на криптографическое оборудование. Рр-7944 (отчет). ИНРИА . п. 19.
2. Блэк, Джон; Уртубия, Гектор (2002). Атаки по сторонним каналам на симметричные схемы шифрования: аргументы в пользу аутентифицированного шифрования. USENET Security '02.
3. Serge Vaudenay (2002). Security Flaws Induced by CBC Padding Applications to SSL, IPSEC, WTLS... (PDF) . EUROCRYPT 2002. Похожая модель атаки использовалась Блейхенбахером против PKCS#1 v1.5 [5] и Мангером против PKCS#1 v2.0 [13]. В этой статье показано, что подобные атаки возможны в мире симметричных ключей.
4. Салливан, Ник (12 февраля 2016 г.). «Оракулы заполнения и упадок наборов шифров в режиме CBC». Блог Cloudflare .
5. Ханно Бёк; Юрай Соморовски; Крейг Янг. «Атака РОБОТОВ: Возвращение угрозы Оракула Блейхенбахера» . Получено 27 февраля 2018 г.
6. Мангер, Джеймс (2001). «Атака с использованием выбранного шифротекста на оптимальное асимметричное шифрование RSA (OAEP), стандартизированное в PKCS #1 v2.0» (PDF) . Исследовательские лаборатории Telstra.
7. Является ли атака оракула с заполнением детерминированной?
8. Джулиано Риццо; Тай Дуонг (25 мая 2010 г.). Практические атаки с использованием оракула с заполнением (PDF) . USENIX WOOT 2010.
9. Брайс Канвель; Ален Хильтген; Серж Воденай; Мартин Вуанью (2003), Перехват пароля в канале SSL/TLS (PDF).
10. Жан Поль Дегабриэль; Кеннет Г. Патерсон (2007), Attacking the IPsec Standards in Encryption-only Configurations (PDF) , заархивировано из оригинала 19 декабря 2018 г. , извлечено 25 сентября 2018 г..
11. Жан Поль Дегабриель; Кеннет Г. Патерсон (2010), О (не)безопасности IPsec в конфигурациях MAC-then-Encrypt , CiteSeerX 10.1.1.185.1534 .
12. Джулиано Риццо; Тай Дуонг (25 мая 2010 г.). Практические атаки с использованием оракула с заполнением (PDF) . USENIX WOOT 2010.
13. Тай Дуонг; Джулиано Риццо (2011). Криптография в Интернете: случай криптографических недостатков проектирования в ASP.NET (PDF) . Симпозиум IEEE по безопасности и конфиденциальности 2011.
14. Деннис Фишер (13 сентября 2010 г.). «Криптоатака 'Padding Oracle' затрагивает миллионы приложений ASP.NET». Угроза . Архивировано из оригинала 13 октября 2010 г.
15. Влад Азархин (19 сентября 2010 г.). "Объяснение уязвимости ASP.NET "Padding Oracle". Архивировано из оригинала 23 октября 2010 г. Получено 11 октября 2010 г.
16. "Breaking Steam Client Cryptography". База данных Steam . Получено 1 мая 2016 г.
17. Мэтью Грин; Надя Хенингер ; Пол Циммерман и др. (2015), Несовершенная прямая секретность: как протокол Диффи-Хеллмана терпит неудачу на практике (PDF). Для получения дополнительной информации см. https://www.weakdh.org Архивировано 22 декабря 2019 г. на Wayback Machine .
18. Мэтью Грин (3 марта 2015 г.). «Атака недели: FREAK (или «факторинг АНБ ради забавы и прибыли»)».; для получения дополнительной информации см. https://www.freakattack.com, архив от 5 марта 2015 г. на Wayback Machine .
19. Мэтью Грин (14 октября 2014 г.). «Атака недели: ПУДЕЛЬ».; для получения дополнительной информации см. https://www.poodle.io
20. Рекомендации по безопасности OpenSSL [3 мая 2016 г.], 3 мая 2016 г.
21. Еще один оракул заполнения в OpenSSL CBC Ciphersuites, Cloudflare, 4 мая 2016 г.