Hyökkäys PRNG:tä vastaan

Kokeneet kirjoittajat eivät ole vielä tarkistaneet sivun nykyistä versiota, ja se voi poiketa merkittävästi 1. tammikuuta 2021 tarkistetusta versiosta . tarkastukset vaativat 2 muokkausta .

Hyökkäys pseudosatunnaislukugeneraattoriin on hyökkäys, jonka tarkoituksena on paljastaa pseudosatunnaislukugeneraattorin ( PRNG ) parametrit, jotta voidaan ennustaa pseudosatunnaislukuja.

Relevanssi

Salausjärjestelmien turvallisuus riippuu usein tiedoista, joiden pitäisi olla vain valtuutettujen käyttäjien tiedossa ja joita hyökkääjän on vaikea arvata. Esimerkkejä tällaisista tiedoista voivat olla istuntoavaimet, jotka alustavat vektoreita, suola , ainutlaatuiset parametrit EDS -funktioissa ja monet muut objektit. Vaaditun arvaamattomuuden tason saavuttamiseksi, koska satunnaislukuja syntyy usein, tarvitaan luotettava satunnaislukujen lähde. Valitettavasti monilla salaussovelluksilla ei ole luotettavaa lähdettä satunnaisille arvosarjoille, kuten lämpökohinalle sähköpiireissä tai tarkkalle ajalle Geiger-laskuriparin välillä. Sen sijaan sinun on käytettävä pseudosatunnaislukugeneraattoreita (PRNG). PRNG vastaanottaa syötteenä tietovirran lähteestä, jolla on pieni entropia , ja yrittää muuntaa sen arvosarjaksi, joka on käytännössä mahdoton erottaa todellisesta satunnaissekvenssistä. Onnistunut hyökkäys PRNG:tä vastaan voi rikkoa monia salausjärjestelmiä riippumatta siitä, kuinka huolellisesti ne on suunniteltu. Jotkut järjestelmät käyttävät kuitenkin huonosti suunniteltuja PRNG:itä tai tekevät niin tavalla, joka vähentää hyökkäysten monimutkaisuutta. Lisäksi koko järjestelmän vaarantumiseen tarvitaan vain yksi onnistunut tunkeutuminen.

PRNG-hyökkäystyypit

Sen mukaan, mitä PRNG-dataa on helpompi seurata (lähtöarvot, syöttöarvot tai sisäinen tila), seuraavan tyyppisiä hyökkäyksiä voidaan toteuttaa.

Suora kryptanalyyttinen hyökkäys

Jos hyökkääjä pystyy suoraan tarkkailemaan PRNG-tulostusta ja tutkimaan sen esiintymismallia, kyseessä on suora kryptanalyyttinen hyökkäys. Tämäntyyppinen hyökkäys ulottuu useimpiin PRNG:tä käyttäviin algoritmeihin. Kuitenkin, jos esimerkiksi PRNG:tä käytetään vain avainten luomiseen, kuten tehdään Triple DES :ssä , se ei voi olla alttiina tällaiselle hyökkäykselle, koska PRNG:n ulostulot eivät ole koskaan suoraan näkyvissä.

Syöttöihin perustuvat hyökkäykset

Tämäntyyppinen hyökkäys on mahdollinen tapauksissa, joissa hyökkääjä voi käyttää PRNG-tulosignaalien tuntemusta tai hallita niitä. Syöttöihin perustuvat hyökkäykset voidaan jakaa hyökkäyksiin tunnetuilla tuloilla, hyökkäyksiin toistettavissa olevilla syötteillä ja hyökkäyksiin valittuja syötteitä vastaan.

Tunnetut syöttöhyökkäykset ovat käytännöllisiä tilanteissa, joissa jokin syöte, jonka järjestelmän suunnittelija odottaa olevan vaikea ennustaa, osoittautuu joissakin erityistapauksissa helposti arvattavaksi.

Toistettavia syötehyökkäyksiä voidaan käyttää samoissa tilanteissa, mutta ne vaativat vähemmän kehittyneitä hakkerointijärjestelmiä ja hyökkääjän vähemmän kehittyneitä analyyseja.

Valitut syöttöhyökkäykset voidaan käytännössä toteuttaa järjestelmissä, joissa käytetään älykortteja tai tokeneita. Tällainen hyökkäys voi myös olla vaarallinen sovelluksille, jotka käyttävät PRNG:n tulosignaaleina tekstiviestejä, käyttäjän määrittämiä salasanoja, verkkotilastoja, aikaa jne.

Hyökkäykset perustuvat sisäisen tilan paljastamiseen

Suorittaessaan tämäntyyppistä hyökkäystä hyökkääjä yrittää käyttää aiemmin onnistuneita hyökkäyksiä PRNG:tä vastaan, joka paljasti sen sisäisen tilan, ennustaakseen PRNG:n tulevien tai aikaisempien tilojen tilan mahdollisimman pitkälle. Tällaiset hyökkäykset voivat onnistua, kun PRNG alkaa tunnetusta tai ennustettavasta tilasta. Käytännössä on erittäin vaikeaa määrittää, että sisäinen tila on vaarantunut. Siksi PRNG:iden on vastustettava sisäisen tilan vaarantamista. Tällaiselle hyökkäykselle on vähintään 4 vaihtoehtoa:

Peruutushyökkäys käyttää PRNG:n avattua tilaa tiettynä ajankohtana palauttaakseen PRNG:n tilat ja vastaavasti sen ulostulot aikaisempiin ajankohtiin. $S$ $t_0$

Pysyvä tilan kompromissi on mahdollista järjestelmissä, joissa tila paljastumisen jälkeen kaikki aikaisemmat ja myöhemmät tilat ovat alttiina myöhemmille hyökkäyksille. $S$ $t_0$

Iteratiivinen arvaushyökkäys käyttää tietoa tilasta ajanhetkellä t ja PRNG:n välitulosteita selvittääkseen hetkellä t , milloin kyseisen ajanjakson aikana kerätyt syötteet ovat hyökkääjän arvattavissa (mutta tuntemattomia). $S$ $t_0$ $S$ $t_{0}+\Delta t$

Keskellä oleva tapaaminen on pohjimmiltaan yhdistelmä iteratiivista arvaushyökkäystä ja peruutushyökkäystä. Tietoa ajankohtana ja antaa hyökkääjälle mahdollisuuden palauttaa tila tiettynä ajankohtana sekä koko aikavälillä välillä - . $S$ $t_0$ $t_{0}+2\Delta t$ $S$ $t_{0}+\Delta t$ $t_0$ $t_{0}+2\Delta t$

Esimerkkejä epäluotettavista järjestelmistä

Netscapen SSL -salausprotokollan varhaiset versiot käyttivät PRNG:n luomia näennäissatunnaisia lukuja, joiden entropialähde oli kolmen muuttujan arvot: kellonaika, prosessitunnus ja pääprosessin tunnus. Nämä suuret ovat ennustettavissa ja niillä on suhteellisen alhainen entropia. Tämän vuoksi tätä SSL-versiota pidettiin suojaamattomana. Netscapelle ilmoitti ongelmasta Phillip Halam-Baker vuonna 1994, silloinen CERNin tutkija . Ongelma ei kuitenkaan ratkennut ennen ohjelmistotuotteen julkaisua. Myöhemmin, vuonna 1995, Ian Goldberg ja David A. Wagner [1] puhuivat ongelmasta uudelleen . Heidän oli käännettävä objektimoduulit takaisin , koska Netscape kieltäytyi paljastamasta satunnaislukujen luomisen yksityiskohtia. PRNG on korjattu myöhemmissä julkaisuissa (versio 2 ja uudemmat) muuttamalla entropialähdettä satunnaisemmaksi ja korkeammalla entropiatasolla.

Microsoft käyttää julkaisematonta algoritmia satunnaislukujen luomiseen Windows-käyttöjärjestelmissä . Tämä algoritmi on käyttäjän käytettävissä CryptGenRandom - apuohjelman kautta . Marraskuussa 2007 Leo Dorredorf julkaisi yhdessä Haifan yliopiston ja Jerusalemin heprealaisen yliopiston kirjoittajien kanssa artikkelin Cryptanalysis of the Random Number Generator of the Windows Operating System [2] . Artikkeli osoittaa Microsoftin esittämän algoritmin vakavat puutteet. Artikkelissa esitetyt johtopäätökset on muotoiltu Windows 2000 -järjestelmän puretun koodin tutkimisen tuloksena , mutta Microsoftin mukaan ne voivat päteä myös Windows XP:hen [3] .

National Institute of Standards and Technology (USA) julkaisi maaliskuussa 2007 suositellut "deterministiset pseudosatunnaislukugeneraattorit", jotka standardoitiin NIST:n erityisjulkaisussa 800-90 [4] . Yksi annetuista PRNG:istä, Dual EC DRBG , jonka National Security Agency on sisällyttänyt standardiin [5] , perustuu elliptiseen kryptografiaan ja sisältää tietyn joukon suositeltuja vakioita. Elokuussa 2007 Dan Shumov ja Nils Fergeson Microsoftista osoittivat, että vakiot voidaan valita siten, että algoritmissa voi esiintyä takaovi [6] .

Toukokuussa 2008 tutkija Luciano Bello julkaisi artikkelin, jossa todettiin, että vuonna 2006 tehdyt muutokset PRNG: hen Debian Linuxin ja muiden Debian-pohjaisten jakelujen kanssa jaetussa openssl -paketissa vähentävät merkittävästi luotujen arvojen entropiaa, jolloin avaimet ovat haavoittuvia hyökkäyksille. [1] [2] Ongelma johtui muutoksista, joita yksi Debian-kehittäjistä teki openssl-koodiin vastauksena kääntäjien varoituksiin näennäisesti ylimääräisestä koodista. Tämä haavoittuvuus korjattiin samana päivänä, kun se tuli tunnetuksi [7] .

Tapoja suojautua PRNG-hyökkäyksiltä

Käytä hash-funktioita piilottaaksesi todelliset PRNG-tulostusarvot. Käytä PRNG-tulostusarvoista saatuja hash-funktion tuloksia itse arvojen sijaan suoran kryptanalyyttisen hyökkäyksen estämiseksi. Tämä tekniikka, vaikka se ei takaa täydellistä turvallisuutta, tekee järjestelmästä luotettavamman.
Tiivistä entropialähde aikaleimoilla, laskuriarvoilla tai muilla jatkuvasti muuttuvilla arvoilla. Entropialähteen tiivistäminen jollakin jatkuvasti muuttuvalla arvolla ennen PRNG:n syöttämistä pystyy suojaamaan järjestelmää syötteisiin perustuvilta hyökkäyksiltä.
Muuta PRNG:n sisäistä tilaa ajoittain. Muuta PRNG:n sisäistä tilaa kokonaan ajoittain. Tämä auttaa puolustautumaan sisäisen tilan paljastamiseen perustuvia hyökkäyksiä vastaan tai ainakin vähentämään onnistuneen hyökkäyksen aiheuttamia vahinkoja.

Katso myös

Pseudosatunnaislukugeneraattori

Muistiinpanot

↑ Randomness ja Netscape-selain . Haettu 9. joulukuuta 2011. Arkistoitu alkuperäisestä 22. toukokuuta 2016. (määrätön)
↑ Windows-käyttöjärjestelmän satunnaislukugeneraattorin salausanalyysi, Leo Dorrendorf (linkki ei saatavilla) . Haettu 9. joulukuuta 2011. Arkistoitu alkuperäisestä 6. syyskuuta 2012. (määrätön)
↑ Microsoft vahvistaa, että XP sisältää satunnaislukugeneraattorivirheen Arkistoitu 22. kesäkuuta 2008.
↑ Suositus satunnaislukujen luomiseksi käyttämällä deterministisiä satunnaisbittigeneraattoreita, NIST-erikoisjulkaisu 800-90 Arkistoitu 26.09.2007 .
↑ Laittoiko NSA salaisen takaoven uuteen salausstandardiin?
↑ Takaoven mahdollisuudesta NIST SP800-90 Dual Ec Prng:ssä . Käyttöpäivä: 9. joulukuuta 2011. Arkistoitu alkuperäisestä 26. helmikuuta 2014. (määrätön)
↑ Debian OpenSSL -suojausvirhe . Haettu 9. joulukuuta 2011. Arkistoitu alkuperäisestä 6. syyskuuta 2018. (määrätön)

Kirjallisuus

Randomness and the Netscape Browser , Ian Goldberg ja David Wagner, Dr. Dobb's Journal , tammikuu 1996, s. 66-70.
Kelsey J. , Schneier B. , Wagner D. A. , Hall C. Salausanalyysit näennäissatunnaisten numerogeneraattoreiden kimppuun // Fast Software Encryption :, FSE' 98 Paris, Ranska , 23.–25. maaliskuuta 1998, Berliini Proceedings / S Vaudenay Heidelberg , New York, NY , Lontoo [jne.] : Springer Berlin Heidelberg , 1998. - P. 168-188. - ( Lecture Notes in Computer Science ; Vol. 1372) - ISBN 978-3-540-64265-7 - ISSN 0302-9743 ; 1611-3349 - doi:10.1007/3-540-69710-1_12
Linuxin satunnaislukugeneraattorin analyysi Zvi Gutterman, Benny Pinkas ja Tzachy Reinman, IEEE S&P (Oakland Conference), toukokuu 2006, s. 371-385.
Turvallisuuden satunnaisuusvaatimukset. D. Eastlake, J. Schiller, S. Crocker, RFC 4086 (vanhentunut RFC1750), 2006.
Suositus satunnaislukujen luomiseen käyttämällä deterministisiä satunnaisbittigeneraattoreita , Elaine Barker ja John Kelsey, NIST:n erikoisjulkaisu 800-90. Maaliskuu 2007