RSS

Paweł Goleń, blog

Zrzędzenie starego zgreda

Thursday, March 29. 2012

Trochę o kryptografii

Kryptografia jest ważna, ale to nie jest magic dust, którym wystarczy posypać system, by stał się on automatycznie bezpieczny. Z kryptografii należy korzystać, ale trzeba znać jej ograniczenia. Niestety, w trakcie testów często spotykam się z sytuacją, w której kryptografia jest użyta w sposób nieprawidłowy. Dziś trochę na ten temat.

Szyfrowanie nie gwarantuje integralności i autentyczności danych

Wspominałem o tym problemie kilkukrotnie. Wykorzystałem go między innymi w ramach tego przykładu w bootcamp (patrz też: Bootcamp IIa: rozwiązanie (prawie)), ale błąd ten jest na tyle powszechny, że napiszę to jeszcze raz: szyfrowanie nie chroni integralności danych, a sam fakt poprawnego zaszyfrowania danych nie jest potwierdzeniem źródła ich pochodzenia.

W wielu aplikacjach spotkałem się z próbą wykorzystania kryptografii do uniemożliwienia atakującemu manipulacji pewnymi parametrami, które do tej aplikacji są przekazywane. Ewentualnie jeśli aplikacja składa się z różnych rozłącznych modułów, a dane między nimi przekazywane są za pośrednictwem klienta (np. przez przekierowanie z modułu A do modułu B), to fakt przekazania prawidłowych, zaszyfrowanych danych na wejściu modułu B jest uznawany za potwierdzenie tego, że pochodzą one z modułu A. Problem w tym, że takie założenie jest kompletnie nieuzasadnione.

Pierwszą możliwą ścieżką ataku jest sprawdzenie przez atakującego wszystkich możliwych wartości zaszyfrowanego parametru. Atakujący może liczyć na to, że uda mu się przekazać takie losowe dane, które po rozszyfrowaniu będą sensowne. Umówmy się jednak, że prawdopodobieństwo takiego zdarzenia jest znikome (zakładam, że użyty został właściwy algorytm szyfrowania i został on użyty w sposób prawidłowy).

Ciekawą ścieżką ataku na takie "rozwiązanie" jest również atak padding oracle. Jeśli moduł B będzie informował atakującego (w jakikolwiek sposób), czy dane rozszyfrowały się prawidłowo, czy też przy rozszyfrowaniu napotkano nieprawidłowy padding, atakujący może być w stanie nie tylko rozszyfrować dane przekazywane między modułami, ale również zaszyfrować dowolne, wybrane przez siebie dane i przekazać je do modułu B, który w końcu prawidłowo je rozszyfruje i potraktuje z pełnym zaufaniem, bo naiwnie wierzy, że pochodzą z modułu A.

Można oczywiście mieć nadzieję, że takich błędów nie będzie. Lepiej jednak oprócz szyfrowania zastosować mechanizmy, które integralność i autentyczność danych potwierdzą.

Hash nie jest potwierdzeniem integralności danych

Skoro hash nie jest potwierdzeniem integralności danych, to dlaczego jest do tego wykorzystywany? Dlatego, że hash może służyć do potwierdzenia integralności danych, ale tylko w pewnych specyficznych scenariuszach. Nadaje się on do sprawdzenia, czy plik pobrał się prawidłowo, lub czy nie został on zmodyfikowany od czasu wyliczenia sumy kontrolnej (hasha), w omawianym przypadku jest on jednak niewystarczający.

Wyobraźmy sobie, że mamy do czynienia z ową hipotetyczną aplikacją składającą się z modułów A i B. Moduł A w tej chwili przekazuje do modułu B dane postaci:

sha1(enc(msg))||enc(msg)

Czyli:

  • hash zaszyfrowanej wiadomości (w sensie hash z ciphertext tej wiadomości),
  • zaszyfrowaną wiadomość,

Problem w tym, że to nic nie daje. Moduł B może co prawda sprawdzić, czy hash zaszyfrowana wiadomość odpowiada przesłanemu z nią hashowi, ale atakujący nie ma żadnego problemu w wyliczeniu prawidłowej wartości sha1(enc(msg)). Hash w tym scenariuszu użycia w żaden sposób nie gwarantuje tego, że przesłane między modułem A i B dane nie zostały zmodyfikowane przez atakującego. Ups...

Kiedy hashe mogą być potwierdzeniem integralności? Wtedy, gdy atakujący nie ma możliwości modyfikacji wyliczonych hashy, jeśli na przykład istnieje jakieś publiczne repozytorium informacji o hashach. Wówczas każdy może weryfikować integralność (na przykład integralność plików, czy pakietów oprogramowania), ale jedynie uprawnione osoby mają prawo dodawać/zmieniać elementy w tym repozytorium. To jest jednak inna sytuacja, niż przesłanie danych i hasha mającego potwierdzać ich integralność przez niezaufane środowisko (co pokazywał inny przykład w moim bootcamp).

Jeśli potrzebujesz integralności i autentyczności, użyj MAC

Dobrym rozwiązaniem wspominanego tutaj problemu jest użycie MAC (patrz: Message Authentication Code). W tym przypadku moduł A do modułu B może przesłać komunikat następującej postaci:

MAC(enc(msg))||enc(msg)

Do wyliczenia wartości MAC potrzebny jest oczywiście współdzielony klucz, który musi znać zarówno moduł A, jak i moduł B. Nie zna go natomiast atakujący i o ile nie ma dodatkowych błędów w implementacji (Ataki czasowe na OpenID i OAuth (Twitter, Digg i Wikipedia podatne na atak)), jedyne co może zrobić, to próbować odgadnąć właściwą wartość MAC.

Spotykam się również czasem z następującą konstrukcją:

sha1(enc(msg)||klucz)||enc(msg)

W tym przypadku teoretycznie atakujący nie jest w stanie uzyskać prawidłowej wartości pierwszej części komunikatu, bo nie zna właściwej wartości klucza. Ta konstrukcja nie jest jednak prawidłowa, zamiast niej należy stosować na przykład HMAC (Hash-based Message Authentication Code). HMAC oczywiście nie jest jedynym dostępnym algorytmem (tu więcej informacji), jego niewątpliwą zaletą jest natomiast to, że zwykle jego implementacja jest dostępna w ramach frameworku, z którego użyciem aplikacja jest tworzona.

I w tym miejscu, skoro znamy mechanizm, który potwierdza integralność i autentyczność danych, warto się zastanowić, czy aby na pewno potrzebujemy je jeszcze szyfrować.

Oczywiście do potwierdzenia autentyczności tych danych można wykorzystać również podpisy cyfrowe, nie zawsze jest to jednak niezbędne. A jeśli już używasz podpisów cyfrowych, upewnij się, czy prawidłowo je weryfikujesz i czy przypadkiem nie posyłasz wyników tej weryfikacji do /dev/null...

Ślady
Hash Length Extension Attacks
No cóż za zbieg okoliczności. Pojawił się dobry artykuł mówiący o tym, dlaczego należy używać HMAC. Ostatnio o tym wspominałem. Przy okazji akurat dzisiaj na WhiteHat Security Blog wygasł certyfikat. I z tego wszystkiego aż dodałem kolejne zadanie do m
Weblog: Wampiryczny blog
Przesłany: Mar 31, 16:49
Komentarze
Brak komentarzy
Dodaj komentarz
Zamknięcie tekstu w znakach gwiazdki spowoduje jego wytłuszczenie (*tekst*), podkreślenia są tworzone przez zastosowanie _tekst_.
Standardowe emotikony jak :-) lub ;-) będą zmieniane na ich graficzną wersję.
Adresy e-mail nie będą pokazywane i będą używane tylko do celów wysyłania powiadomień drogą e-mailową
 
 

UWAGA: uprzedzam, że wszelki spam komentarzowy będzie cięty bez litości.

 

RSS dla komentarzy: ten artykuł | wszystkie komentarze

Najnowsze wpisy

Jak powstaje elektrozłom
Sunday, 21 July 2024
Cluster
Monday, 15 July 2024
Sponsorem przebudowy placu zabaw jest...
Sunday, 30 June 2024
Po lewej stronie drogi
Sunday, 19 May 2024
Nie lubię, gdy jest płasko
Sunday, 18 February 2024
Nowy iPad - wrażenia z przesiadki
Wednesday, 24 January 2024
Jak nie wiesz, to nie wiesz
Sunday, 14 January 2024
Z microk8s na k3s
Wednesday, 8 November 2023
Rajesh Penetrator
Saturday, 2 September 2023
random(random())
Tuesday, 1 August 2023

Losowe wpisy

Niewykrywalny wirus czyta hasła w komputerach
Friday, 13 February 2009
Wycieczka
Thursday, 15 June 2006
Slowloris w drugą stronę
Saturday, 20 June 2009
SQL Injection w ORDER BY i GROUP BY
Saturday, 2 August 2008
Bootcamp VIII: wyzwanie
Sunday, 17 May 2009
Jaka piękna katastrofa
Tuesday, 4 August 2020
Jakoś nie układa mi się z tym rowerem...
Wednesday, 26 August 2009
Zgadywanka: czy ta gra ma sens II
Thursday, 19 January 2012
Wild, wild net
Saturday, 1 August 2015
To jak z tą kontrolą dostępu do funkcji?
Tuesday, 4 May 2010