Tak to pojmenovali: Český
útok (Czech attack)
(3) The
New York Times, March 21, 2001
(4) The
New York Times, March 23, 2001
(6) Řekli
o útoku - Bruce Schneier
(7) Řekli
o útoku - Dorothy Denning
20. 3. 2001, Tisková konference ICZ, 20. 3. 2001, Praha: Kryptologové společnosti ICZ zjistili závažnou bezpečnostní slabinu mezinárodního významu, tisková zpráva: http://www.i.cz/onas/tisk4.html
Tisková zpráva ICZ ze dne 20.3.2001
Kryptologové české
společnosti ICZ zjistili závažnou bezpečnostní slabinu mezinárodního
významu
Ve světově používaném formátu OpenPGP byla nalezena chyba, která vede k odhalení privátních klíčů uživatelů, používaných v systémech elektronického podpisu. Formát OpenPGP je intenzivně využíván v řadě celosvětově rozšířených aplikací, včetně masově používaných programů PGP(TM), GNU Privacy Guard a dalších. Odhalení chyby přichází právě včas, protože Philip Zimmermann, původní tvůrce programu PGP, odešel od Network Associates, Inc. a chce OpenPGP prosazovat v dalších produktech pro ochranu soukromí na Internetu. Z vědeckého hlediska jde však tato chyba daleko za rámec konkrétních programů a má širší teoretický i praktický význam.
Kryptologové RNDr. Vlastimil Klíma
a Ing. Tomáš Rosa ze společnosti Decros s.r.o., člena skupiny ICZ
a.s., si v rámci výzkumně vývojových prací na projektech pro český
Národní bezpečnostní úřad povšimli nedostatečného zajištění
tzv. privátních podpisových klíčů. Zdůrazněme, že privátní
podpisové klíče představují nejcitlivější, a proto
nejutajovanější informaci ve všech systémech elektronického podpisu. Oba
autoři útok popsali v rozsáhlé výzkumné zprávě, která bude v
nejbližších dnech v plném znění volně k dispozici odborné i laické
veřejnosti na Internetu v českém a v anglickém jazyce
(http://www.i.cz).
Ve výzkumné zprávě je
přesně popsán útok na formát OpenPGP, který vede k odhalení
privátních podpisových klíčů algoritmů DSA a RSA. Formát OpenPGP
je navrhovaným internetovým standardem, který přesně definuje obsah a
význam ukládaných dat v souvislosti s jejich šifrováním a elektronickým
podpisem.
Tento formát je použit nejen ve
skupině programů PGPTM, ale i v řadě dalších
aplikací, včetně GNU Privacy Guard. Seznam produktů, založených
na OpenPGP je uveden na internetové adrese http://www.pgpi.org/products.
Stejně jako sám formát OpenPGP, musí i všechny tyto aplikace projít stejnou
revizí jako program PGPTM.
Úspěšnost útoku byla prakticky
ověřena a demonstrována na programu PGPTM verze 7.0.3 s
kombinací algoritmů AES a DH/DSS, které jsou právem považovány za zcela
bezpečné.
Příčinou chyby, vedoucí k
velmi závažným důsledkům, je špatné použití těchto
(nejsilnějších) kryptografických technik. Privátní podpisový klíč je
základní utajovanou informací celého systému, kterou uživatel používá k
elektronickému podpisu. Ve všech systémech, i v OpenPGP, je proto zašifrován
silnou šifrou. Při praktickém útoku byl dokonce použit AES, jeden z
nejnovějších silných algoritmů. Ukazuje se však, že tato ochrana je
iluzorní.
Autoři ukázali, že
útočník může tuto šifru obejít a nemusí útočit ani proti ní, ani
proti tajnému přístupovému heslu
uživatele. Místo toho postačuje určitým způsobem modifikovat
soubor s privátním klíčem a následně zachytit jednu podepsanou
zprávu. Jsou to úkony, které mohou být provedeny bez znalosti uživatelova hesla
a za jeho zády. Poté může útočník za pomoci běžného kancelářského PC spustit speciální program,
který na základě zachycené zprávy v průměru za půl
vteřiny vypočítá hledaný privátní klíč uživatele. Útočník
pak může za uživatele neoprávněně podepisovat libovolné zprávy.
Přestože výpočet je velmi rychlý, je za ním skryto speciální
kryptologické know-how.
Nedostatečné zajištění
integrity veřejných i privátních částí podepisovacích klíčů
ve formátu OpenPGP je analyzováno u algoritmů DSA a RSA a na základě
toho je ukázán postup útoků na oba privátní podpisové klíče. Útoky se
týkají všech délek parametrů (modulů, klíčů) RSA a DSA.
Předvedené typy útoků
mají značný dopad na bezpečnost zmiňovaných programů. K
provedení popsaného útoku není přitom vždy nezbytné navštívit přímo
pracovní stanici napadeného uživatele. Citlivým místem systému jsou také
soubory s exportovanými privátními klíči, které uživatel používá
k přenosu svých klíčů mezi různými stanicemi. Fakt, že
privátní klíč je v těchto souborech uložen v zašifrovaném
tvaru, může vzbuzovat falešný pocit bezpečí. Dostane-li se však
k takovému souboru nebo disketě během přepravy
(přenosu) útočník, je
bezpečnost uživatelova privátního klíče vážně ohrožena.
Jiný v praxi velmi častý
případ je, že uživatel ukládá soubor s privátním klíčem (s
ohledem na snadnou dostupnost) na sdílené zařízení v počítačové
síti. Protože privátní klíč je chráněn silnou šifrou, uživatel se
tohoto způsobu uložení nijak neobává. Autoři však ukazují, že se
jedná o falešný pocit bezpečí. Typicky zde může být útočníkem
například správce serveru.
Samotného uživatele programů
na bázi OpenPGP staví existence popsaného útoku do nelehké situace
v okamžiku, kdy zjistí, že byla vygenerována chybná hodnota podpisu.
V takové situaci může být právem na rozpacích, zda se jedná o důsledek
záměrného útoku nebo „jen“ o technické selhání. Prakticky je zřejmé,
že každý soubor s neplatným podpisem si zasluhuje stejnou pozornost, jako
by se jednalo o soubor obsahující privátní klíč v otevřeném
tvaru! To zahrnuje zejména odpovídající péči věnovanou jeho neobnovitelnému
odstranění z příslušné stanice nebo dokonce serveru.
Provedená analýza vycházela
z formátu OpenPGP, v němž byly odhaleny závažné nedostatky, které
mohou vyústit ve snadnou zranitelnost aplikací vytvořených na jeho
základě. Praktickým příkladem je program PGPTM, který není
odolný proti útoku na algoritmus DSA, ale je odolný proti útoku na RSA, díky
dodatečným ochranám nad rámec formátu OpenPGP.
Ačkoliv se útok týká algoritmů RSA a DSA v OpenPGP, lze očekávat obdobnou zranitelnost i u dalších asymetrických kryptosystémů, včetně systémů na bázi eliptických křivek. Rovněžtak formát OpenPGP a s ním program PGPTM nebudou patrně jediným případem, kdy díky nesprávné ochraně zmíněných parametrů může dojít k napadení daného systému. Autoři v závěru výzkumné zprávy navrhují kryptografická opatření pro opravu formátu OpenPGP i programu PGPTM a chtěli by důrazně apelovat na pozornost při návrhu kryptografických systémů.
Fotogalerie zde
By JAMES GLANZ
Two cryptologists announced yesterday that they had found a flaw in the most
widely used program for sending encrypted, or coded, e-mail messages. If confirmed,
the flaw would allow a determined adversary to obtain secret codes used by
senders of encrypted e-mail.
The program, called P.G.P. for Pretty Good Privacy, is used by human rights
organizations to protect vulnerable sources, by corporations to ensure secure
communications and by millions of individual users. American security experts
cautioned that they could not fully judge the accuracy of the claim, which was
issued in Prague, before more technical details become available. The experts
also noted that some sort of access to the sender's computer — either directly
or via the Internet — would be needed to exploit any such flaw.
According to a statement issued yesterday by ICZ, an information technology
company in Prague with about 500 employees, the cryptologists, Vlastimil Klima
and Tomas Rosa, found the problem while doing research on secure communications
for the Czech government.
"It is very serious," said Kriz Zdenek, general manager of ICZ,
adding that a technical paper on the finding would be made available by Friday
on the company's Web site (www.icz.cz/).
Mark McArdle, vice president of P.G.P. engineering at Network Associates in
Santa Clara, Calif., which licenses the encryption program to corporate and
individual users, said he had already assigned a team of engineers to check out
the claim, which he learned of yesterday from a journalist.
"We are very eager to both analyze this and respond to it," Mr.
McArdle said. "We want to make sure that our systems are completely
robust."
He expressed surprise that the Czech company did not inform him of the problem
so that a software fix, often called a patch, could be made available with the
announcement of any bug. But Miroslav Votruba, marketing director at ICZ, said
several e- mail messages informing Network Associates of the problem more than
a week ago received no response.
"We are willing to cooperate before the algorithm or description of the
problem will be released on the Web," Mr. Votruba said.
P.G.P. relies on a type of cryptography that uses two separate keys, one to
encode a message and one to decode it. The flaw claimed by the cryptographers
does not involve cracking the code itself, which is considered virtually
invulnerable, but would work around it by allowing an intruder to steal one of
the keys held privately by a user.
Without such a flaw or bug, the private key would be unavailable even to an
intruder who gained access to a computer, because it exists there only in
scrambled form. The ICZ announcement says there is a way to unscramble it but
gives few details. Mr. McArdle said such a bug would mainly affect the coded
electronic "signatures" that allow the recipient to verify the
sender's identity. In effect, it would allow the intruder to impersonate the sender
in future communications.
"This is probably real," said Bruce Schneier, founder and chief
technology officer of Counterpane Internet Security in San Jose, Calif.,
referring to the bug. But he said it showed that e-mail security involved more
than simply protecting the message in transit on the Internet.
Dr. Michael A. Caloyannides, a senior fellow at Mitretek Systems in McLean,
Va., said the bug would be "a bit of a shock," since P.G.P. had been
considered essentially invulnerable. And Matthew Zimmerman, project coordinator
for the Science and Human Rights Program of the American Association for the
Advancement of Science, confirmed that his organization routinely used P.G.P.
to protect dissidents and informers around the world.
But even if the problem does turn out to be serious, said Jonathan Zuck,
president of the Association for Competitive Technology in Washington, an
industry group involving information technology, security-conscious Internet
users should not panic.
"This kind of technology arms race is always a factor in any new
technology standard," Mr. Zuck said, adding that the eventual result
should be an improved encryption program.
By JAMES GLANZ
Security experts have confirmed that the most widely used program for sending
encrypted e-mail messages has an obscure vulnerability that could allow a
determined intruder to obtain secret codes, as two Czech cryptologists
announced on Tuesday.
But some experts differ sharply with the cryptologists on the practical
importance of the vulnerability, which is now believed to have existed in the
program since it was invented a decade ago. The program — called P.G.P., for
Pretty Good Privacy — is used by millions of people around the world.
The cryptologists, Dr. Vlastimil Klima and Tomas Rosa of ICZ, an information
technology company in Prague, said the flaw could allow an intruder to forge
the "digital signature" that senders of encrypted e- mail use to
identify themselves in secret communications or financial transactions.
Mark McArdle, vice president for P.G.P. engineering at Network Associates in
Santa Clara, Calif., which licenses the program to corporate, organizational
and individual users, agreed that Dr. Klima and Mr. Rosa were correct. But Mr.
McArdle said their technique was impractical, since it required access to
digital files that should exist only on the sender's computer or on a secure
floppy disk.
The cryptologists strongly disagree, saying the files are often floating about
in shared computer networks or in computers with open links to the Internet.
Everyone seems to agree that the episode reveals how elusive privacy has become
in the age of electronic communication, when only multiple precautions designed
by security professionals have a chance — and even then sometimes fall short.
"It is a very practical attack," Dr. Klima said of the method he and
Mr. Rosa developed. Since workers on computer networks often wish to use P.G.P.
at multiple workstations, a scrambled form of their signature code — which they
can unscramble using a phrase known only to them — may exist in a central
repository accessible to system administrators and others. Only the file
containing the scrambled code is required for the attack, Dr. Klima said.
But Mr. McArdle said his company specifically recommended
that the file be kept in a secure location and not on a network. He said
exceptions to this practice were so rare that his company might not even offer
software to patch the vulnerability until a new version of P.G.P. becomes
available, perhaps next summer.
Philip Zimmermann, P.G.P.'s inventor, who is no longer affiliated with Network
Associates, refused even to call the discovery a flaw, saying it was merely an
interesting "mathematical observation," since any hacker who gained
access to a secure computer — where the codes should be kept — could do far
more damage than simply forge e-mail messages. For example, in 1999 federal
agents planted a so-called sniffer in the keyboard of an organized- crime
suspect to obtain all his passwords.
Because encrypted digital signatures gained legal standing last year, however,
in a bill signed by President Bill Clinton, the P.G.P. vulnerability has caught
the attention of the online security community.
Some security experts said the episode illustrated that as a practical matter,
ordinary users of the Internet had little hope of maintaining privacy in the
face of a sophisticated adversary.
"The reality of life is that, in fact, the majority of people do not
diligently guard their keys," said Dr. Michael A. Caloyannides, a senior
fellow at Mitretek Systems in McLean, Va. Against a determined intruder, he
said, "it's kind of like locking the front door and leaving the back door
wide open."
28. 3. 2001, ČESKÁ TELEVIZE, zpravodajská relace Tady a teď, Záznam pořadu zde: (RealPlayer, 3.7MB), záběry z natáčení pořadu v sídle ICZ zde.
"A vulnerability was found in the OpenPGP standard. If an attacker can modify the victim's encrypted private key file, he can intercept a signed message and then figure out the victim's signing key. This is a problem with the data format, and not with the cryptographic algorithms. I don't think it's a major problem, since someone who can access the victim's hard drive is more likely to simply install a keyboard sniffer. But it is a flaw, and shows how hard it is to get everything right. Excellent cryptanalysis work here."
Bruce Schneier
CTO, Counterpane Internet Security
http://www.counterpane.com/crypto-gram.html
"Your report on the vulnerabilities of PGP signatures is most interesting. Congratulations on your fine work."
Prof. Dorothy E. Denning
Georgetown University
http://www.cs.georgetown.edu/~denning
Pozn.: Profesorka Dorothy E. Denningová později zařadila téma
"Czech atack" do své pravidelné přednášky o kryptologii na
Georgetownské Univerzitě.
Další zpravodajství o události přinesly všechny české televizní stanice, český rozhlas a jeho zahraniční vysílání, všechny hlavní české deníky a další periodika a řada českých a zahraničních internetových zpravodajských portálů (ZDNet, CNET, ACM, CNN, TheRegister a další).
Malá poznámka na závěr:
Poznamenávám, že já i kolega Rosa jsme kryptologové a neneseme žádnou odpovědnost za to, jak si náš příspěvek kdo vyloží. Jediné, pod čím jsme podepsáni, je naše práce.