Există protocoale moderne (post al Doilea Război Mondial) și celebre care s-au dovedit sigure (în orice model: bazat pe joc, UC...) dar a căror dovadă a fost greșită și ar fi putut duce la atacuri în lumea reală?

Rețineți că:

• Nu sunt cu adevărat preocupat de atacurile asupra ipotezelor matematice în sine (care par să fie în centrul atenției acest fir, și nu pot fi considerate drept greșeli în dovadă: sunt „doar” presupuneri nefericite). Dar, desigur, mi-ar plăcea să aud despre protocoale care pretindeau a fi sigure de îndată ce presupunerea X a fost adevărată, în timp ce, de fapt, sunt rupte în ciuda faptului că X nu este rupt.
• Prin „atac din lumea reală”, aș prefera atacurile care au încălcat protocoalele folosite în practică de utilizatorii finali nespecializați, dar sunt bine și cu protocoale bine cunoscute care sunt cunoscute și utilizate în mare parte în lumea academică.

În mod ideal, mi-ar plăcea să aflu dacă „greșeala” din dovadă a fost într-adevăr o greșeală sau este posibil să fie creată intenționat (numărul NSA...).

EDITAȚI | ×

Ați putea fi și precis, ori de câte ori este posibil, dacă atacul se datorează unei greșeli în proba în sine, sau dacă modelul de securitate nu este ales corespunzător?

Poate că"Atacurile de recuperare în text simplu împotriva SSH" se califică?

Unii cititori s-ar putea întreba în acest moment cum am fi capabili să atacăm o variantă de SSH care sa dovedit deja sigură în [1]. Motivul de bază este că, în timp ce autorii lui [1] recunosc că operația de decriptare în SSH nu este „atomică” și ar putea eșua în diferite moduri, modelul lor de securitate nu face distincție între diferitele moduri de eșec atunci când raportează erori. la adversar. Mai mult, modelul lor nu ține cont în mod explicit de faptul că cantitatea de date necesară pentru a finaliza operația de decriptare este ea însăși determinată de datele care trebuie decriptate (câmpul lungime). Din păcate, se pare că implementările criptografice din lumea reală sunt mai complexe decât modelele actuale de securitate pentru mânerul SSH.

Atunci vezi "Un exces de SSH Cipher Suites" pentru o continuare.

Poate că putem număra primul standard internațional privind semnătura digitală, ISO/IEC 9796:1991, care a specificat RSA și semnătura Rabin folosind o umplutură redundantă a mesajului de semnat. Securitatea era justificată de atunci rațiune de ultimă generație, publicat în procedurile Eurocrypt 1990. Aceasta indică proprietățile umpluturii de semnătură a standardului necesar pentru securitate în ciuda proprietății multiplicative a funcției RSA brute $x\mapsto x^d\bmod n$, cum ar fi:

• Schimbarea sau completarea elementelor reprezentative nu are ca rezultat altele.
• Produsul natural al oricărui element reprezentativ prin orice altă constantă decât 1 nu este un element reprezentativ.

Aceste proprietăți sunt adevărate. Dar ele nu formează o dovadă de securitate în sensul modern al acesteia. Ele dovedesc doar imposibilitatea de niste atacuri, mai degrabă decât de orice atac.

Și a fost găsită în 1999 o metodă ieftină din punct de vedere computațional, care prezintă clase mari de mesaje, astfel încât semnătura unuia este găsită prin trimiterea altuia (uneori trei la început) pentru semnătura RSA; sau cheia privată este găsită (o pauză totală) prin trimiterea a două mesaje pentru semnătura Rabin. Standardul a fost retras un an mai târziu.

În ciuda faptului că acel standard este folosit în practică, atacul nu a degenerat niciodată la exploatare din câte știu eu, deoarece aplicațiile nu permit obținerea semnăturii măcar a câtorva mesaje care îndeplinesc constrângeri precise.

Un exemplu similar este ISO/IEC 9796-2:1997 semnătură (dar a venit cu și mai puține pretenții de securitate). Este rupt de un atac: Jean-Sébastien Coron, David Naccache, Mehdi Tibouchi, Ralf-Philipp Weinmann Criptanaliză practică a semnăturilor ISO 9796-2 și EMV, în Jurnalul de Criptologie (2015), iar înainte în procedurile Crypto 2009. Schema este utilizată pe scară largă în cardurile inteligente bancare, cu parametri care permit un calcul fezabil a câteva sute de mii de mesaje astfel încât, ar trebui să un adversar reușește să obțină semnăturile tuturor cu excepția unuia, care permite găsirea semnăturii ultimului mesaj. Dar nu poate degenera la exploatare practică.

¹ Lucrarea de referință despre atacuri este Don Coppersmith, Jean-Sébastien Coron, François Grieu, Shai Halevi, Charanjit Jutla, David Naccache, Julien P. Stern: Criptanaliză ISO/IEC 9796-1, în Jurnalul de Criptologie (2007). Regrupează atacurile anterioare:

• O nouă strategie de falsificare a semnăturii aplicabilă ISO 9796â1/2, ECASHâ¢, PKCS#1 V2.0, ANSI X9.31, SSL-3.02, contribuția expertului ISO/IEC JTC1/SC27 (1999) care a arătat o cale de atac, care sa dovedit a nu se aplica direct standardului din cauza unui detaliu de un bit.
• ISO 9796-1 și noua strategie de falsificare (proiect de lucru) îmbunătățește această strategie pentru a aborda standardul complet, dar necesită multe mesaje alese.
• Un atac de mesaje alese asupra schemei de semnătură ISO/IEC 9796-1 (diapozitive) folosește o altă strategie, care funcționează cu puține mesaje și face ca găsirea acestora să fie ieftină.

Recent, WPA2 a fost găsit vulnerabil la atacurile de reinstalare a cheilor, în ciuda faptului că strângerea de mână în 4 căi WPA2 sa dovedit sigură.

• Atacurile de reinstalare cheie: Forțarea reutilizarii Nonce în WPA de Mathy Vanhoef și Frank Piessens

De pe site-ul lor

Strângerea de mână în 4 direcții a fost dovedită matematic ca fiind sigură. Cum este posibil atacul tău?

Răspunsul scurt este că dovada formală nu asigură că o cheie este instalată o singură dată. În schimb, asigură doar că cheia negociată rămâne secretă și că mesajele de strângere de mână nu pot fi falsificate.

Răspunsul mai lung este menționat în introducerea lucrării noastre de cercetare: atacurile noastre nu încalcă proprietățile de securitate dovedite în analiza formală a strângerii de mână în 4 căi. În special, aceste dovezi afirmă că cheia de criptare negociată rămâne privată și că identitatea clientului și a punctului de acces (AP) este confirmată. Atacurile noastre nu scurg cheia de criptare. În plus, deși cadrele de date normale pot fi falsificate dacă se utilizează TKIP sau GCMP, un atacator nu poate falsifica mesaje de strângere de mână și, prin urmare, nu poate uzurpa identitatea clientului sau AP în timpul strângerii de mână. Prin urmare, proprietățile care au fost dovedite în analiza formală a strângerii de mână în 4 direcții rămân adevărate. Cu toate acestea, problema este că dovezile nu modelează instalarea cheii. Cu alte cuvinte, modelele formale nu defineau când trebuie instalată o cheie negociată. În practică, aceasta înseamnă că aceeași cheie poate fi instalată de mai multe ori, resetând astfel non-urile și contoarele de reluare utilizate de protocolul de criptare (de exemplu, prin WPA-TKIP sau AES-CCMP).

The Clipper Chip cu Cifrul Skipjack

Acesta ar putea fi un fruct mai jos decât v-ați propus, deoarece „vectorul de atac în lumea reală” poate să nu fie foarte util pentru a ataca, deoarece doar AT&T TSD-3600-E Se știa că dispozitivul a implementat acest lucru și majoritatea celorlalte dispozitive păreau să fi fost cumpărate doar de Departamentul de Justiție al Statelor Unite. Acestea fiind spuse, ar putea ajuta la elaborarea comentariului lui @Kevin cu privire la modul în care canalele laterale sunt mai frecvente ca vectori de atac pentru algoritmii menționați, având în vedere cel mai cunoscut motiv pentru care nu mai este utilizat.

Cipul Clipper și câmpul de acces pentru aplicarea legii (LEAF)

LEAF a fost conceput ca o modalitate de a permite guvernului să citească informațiile necesare pentru a putea determina cheia de criptare și pentru a putea decripta mesajul atunci când aveau un mandat pentru a face acest lucru.

Aceasta a avut 2 probleme majore descoperite mai târziu:

1.) Matt Blaze, în 1994, a descoperit că este posibil să se folosească faptul că Sistemul LEAF necesită un hash de 16 biți pentru o cheie de criptare pentru a verifica dacă a fost un mesaj valid de criptat (Astfel încât să poată fi decriptat), a fost posibilă forța brută timp de ~30-50 de minute o nouă sumă de control pe 16 biți pentru o cheie de criptare diferită de cea folosită pentru a cripta mesajul, ocolind efectiv pasul „Decriptabil dacă este necesar”. .

2.) Yair Frankel și Moti Yung în 1995 au descoperit că este posibil să se folosească unul Dispozitiv compatibil LEAF pentru a genera validarea atașată pentru mesajele criptate pe alt dispozitiv, ocolind astfel pasul „Decriptabil dacă este necesar” în timp real.

În cele din urmă, aceste probleme sunt cele care duc cel mai probabil la neutilizarea acestei metode, guvernul SUA fiind cel mai mare client al AT&T TSD-3600-E. Nu știu câte dintre acestea au fost de fapt folosite ca rezultat, deoarece se spune că majoritatea cutiilor au fost lăsate nedeschise. Ceea ce ne lasă cu referire la cifra reală Skipjack.

Skipjack

Aceasta a fost criptarea care, după cum am înțeles, a fost folosită de Clipper Chip astfel încât, fără acel LEAF valid din hashe-urile de mai sus, ar fi securizat împotriva decriptării de către cineva a ceea ce era în mesaj.

Acest lucru este mai greu de demonstrat că s-a dovedit sigur, având în vedere că inițial, a fost clasificat, dar... Cercetători academicieni au fost aduși să evalueze Skipjack și au descoperit că „Astfel, nu există niciun risc semnificativ ca SKIPJACK să fie spart prin căutare exhaustivă în următorii 30-40 de ani”.

25 iunie 1998, când Skipjack a fost declasificat, Eli Biham și Adi Shamir au avut a descoperit că atunci când Skipjack este redus la 16 în loc de 32 de runde, a fost spart cu un vector de atac descoperit la acel moment. Mai târziu, în 1999, cu Alex Biryukov, au reușit să-l extindă la 31 din 32 de runde.

Aparent, din 2009, o descoperire completă a tuturor celor 32 de runde nu a fost complet întreruptă, dar acestea par să indice că dovada originală ar fi putut fi greșită, având în vedere că se pare că primele 31 de runde de Skipjack cu 32 de runde s-au bazat în principal pe clasificarea algoritmului la momentul respectiv.

După cum a spus @Kevin în comentariul său la întrebarea de mai sus, în primul rând canalele laterale ar fi modalitatea de a o rupe - și în acest caz, Clipper Chip și protocolul său LEAF însuși s-au dovedit a fi veriga mai slabă - rupând protocolul care ar fi a fost folosit pentru a decripta mesajele criptate subiacente atunci când este justificat.

În 2019 a fost descoperită o vulnerabilitate de contrafacere în Zcash [vezi Aici].

Înainte de remedierea sa, un atacator ar fi putut crea Zcash fals fără a fi detectat!

Cu o capitalizare actuală de piață de 1,7 miliarde de dolari, se pare că Zcash este, cel puțin astăzi, bucurându-se de o adoptare pe scară largă dincolo de câțiva utilizatori specialiști. Vulnerabilitatea provine dintr-un defect criptografic subtil în [BCTV14] lucrare care descrie construcția zk-SNARK utilizată la lansarea inițială a Zcash. Vulnerabilitatea este atât de subtilă, încât a scăpat de ani de analiză a experților în criptografie. În plus, unele lucrări ulterioare ale unor cercetători renumiți au moștenit și ele același defect.

Important este că [BCTV14] construcția nu a avut o dovadă de securitate dedicată, așa cum se menționează în [Parno15] și sa bazat în principal pe [PGHR13] dovada de securitate și similitudinea dintre cele două scheme. Echipa Zcash Company a încercat să scrie o dovadă de securitate [BGG17], dar nu a descoperit această vulnerabilitate. Zcash are de atunci actualizat la un nou sistem de probă [Creșterea16] care are multiple dovezi independente și analize semnificativ mai bune.

Pentru cea mai mare parte a algoritmilor criptografici moderni nu există nicio dovadă matematică strictă că aceștia sunt siguri. Cel mai adesea atunci când o astfel de dovadă este publicată sau discutată, se bazează pe ipoteze despre care doar se crede că sunt adevărate. Dacă aceste presupuneri nu sunt valabile, dovada se destramă chiar dacă nu există greșeli în ea. De exemplu, securitatea triple-DES s-a bazat pe presupunerea că DES obișnuit este sigur (deși cu o dimensiune a cheii insuficientă pentru a preveni atacurile cu forță brută). Dacă s-ar fi descoperit un defect grav în DES, probabil că ar fi compromis și securitatea 3DES.

Al doilea tip de ipoteze în dovezile de securitate provine din faptul că acestea încearcă dovedesc negativ. Deci, în loc să demonstreze că un algoritm nu poate fi spart, cercetările evaluează securitatea lui w.r.t. atacuri cunoscute. Dacă un algoritm este cunoscut pe scară largă de câteva decenii, se crede că este „dovedit în practică”, ceea ce este de fapt o presupunere că nu pot fi proiectate noi atacuri împotriva lui.

Cele două puncte de mai sus vin pe lângă greșelile banale din logica unei dovezi.

Deci, în funcție de nivelul de probă pe care îl considerați adecvat, puteți fie să spuneți asta nici unul dintre celebrele protocoale din lumea reală s-au dovedit vreodată sigure sau că acele protocoale care au fost sparte ulterior s-au „dovedit” sigure la un moment dat (altfel nu ar fi fost folosite), dar dovada nu a ținut.