Tak to pojmenovali ve
světě: Klima-Pokorny-Rosa attack
(1) Tisková
zpráva ICZ a.s., 18. března 2003
(2) Technická
příloha tiskové zprávy
(3) Tisková
zpráva ICZ a.s., 21. března 2003
http://www.i.cz/onas/tisk14.html
Čeští kryptologové objevují slabinu v šifrované internetové
komunikaci a navrhují její řešení
V Praze, dne 18. 3. 2003. Přední čeští kryptologové - RNDr.
Vlastimil Klíma a Ing. Tomáš Rosa, pracovníci společnosti ICZ a.s.,
společně s kolegou Ing. Ondřejem Pokorným odhalili významnou
chybu v bezpečnosti šifrované internetové komunikace a zároveň
navrhli způsob obrany proti útoku využívajícímu tuto chybu.
Nalezená slabina umožňuje realizovat úspěšný útok, zaměřený na protokoly SSL/TLS (Secure Sockets Layer a Transport Layer Security), používané jako kryptografická ochrana většiny elektronických transakcí jako jsou například on-line nákupy a e-bankovnictví a v určitých případech i zabezpečený přenos poštovních zpráv.
Útok na uvedené protokoly, popsaný týmem českých kryptologů, umožňuje tuto ochranu zcela prolomit a rozšifrovat chráněnou komunikaci. Pro klienty, využívající aplikace, jejichž bezpečnost se o protokoly SSL/TLS opírá, to znamená, že případný útočník může získat čísla jejich kreditních karet, citlivé informace o jejich bankovním účtu, či čerpat důvěrné informace z jejich elektronické pošty.
Zabezpečení klienta a poskytovatele
Z hlediska protokolů SSL/TLS vystupuje v každém jimi chráněném přenosu informací právě jeden subjekt označovaný jako server (nejčastěji poskytovatel dané služby, tj. obchodní portál, banka, server s poštovní schránkou) a právě jeden subjekt označovaný jako klient (nejčastěji nakupující, majitel bankovního účtu, či příjemce došlé pošty).
Cílem útoku je vyluštění uskutečněné zašifrované komunikace mezi klientem a serverem. Podstatou útoku jsou tzv. postranní kanály (nový trend v luštění šifer), kterými útočník získává citlivé informace od poskytovatele služby (serveru) bez jakékoliv účasti samotného uživatele (klienta služby). Postupné získávání citlivých informací probíhá na pozadí běžných spojení útočníka se serverem a je založeno na matematických algoritmech. Z tohoto důvodu se opatření na zvýšení ochrany netýká přímo jednotlivých uživatelů. Naopak zvýšené opatrnosti by měli dbát administrátoři těch serverů, u kterých se chyba může projevit. Z náhodně vybraného vzorku několika set internetových serverů, používajících uvedené protokoly, jich byly podle kryptologů z ICZ prostřednictvím objevené slabiny zranitelné dvě třetiny.
K tomu, aby bylo možné u poskytovatelů realizovat příslušné bezpečnostní záplaty a chybu tak odstranit, čeští kryptologové navrhují ve své zprávě několik protiopatření, která jsou zcela kompatibilní se stávajícími aplikacemi na stranách klientů. Zákazníci proto přechod na bezpečnější verze SSL/TLS nijak negativně nepocítí.
Vzhledem k tomu, že tato bezpečnostní chyba se týká nejpoužívanějších protokolů chránících přenos informací na Internetu, je nejen samotné objevení chyby, ale především vypracování detailní metodiky k jejímu odstranění důležitým českým počinem pro bezpečnost internetu.
Další podrobnosti lze nalézt ve výzkumné kryptologické zprávě na adrese http://eprint.iacr.org/2003/052/ či na stránkách společnosti ICZ - http://www.i.cz.
Jak útočník postupuje
Primárním cílem útočníka bude většinou odšifrování zachycené důvěrné komunikace mezi klientem a serverem, proto význam odhalení prezentujeme právě na takovém případě.
První fáze útoku spočívá v tom, že útočník zachytí a uloží šifrovanou komunikaci, která proběhla mezi klientem a serverem. S ohledem na různorodost prostředí, kterými se informace v internetu šíří (včetně šíření vzduchem), se dnes takový krok obecně považuje sice za netriviální, nicméně pro přiměřeně fundovaného útočníka schůdný.
Ve druhé fázi útočník na základě zachycené zašifrované transakce podle matematického algoritmu postupně sestavuje vlastní výzvy, které jako "řadový" klient zasílá serveru, s nímž byla napadená transakce uskutečněna. Na každou takovou výzvu server reaguje, čímž útočníkovi poskytuje tzv. postranní informaci. Složení mnoha postranních informací dává dostatek podkladů, aby hacker dokázal rozluštit hodnotu hlavního symetrického klíče daného spojení (tzv. premastrer-secret). Poté jednoduše dešifruje zachycenou komunikaci.
Náročnost útoku
Kromě fáze zachycení zašifrované cílové transakce popisovaný útok neklade žádné speciální požadavky na výpočetní či jiné materiální vybavení útočníka. Vetřelci postačí běžný kancelářský počítač s kvalitní přípojkou k internetu. Náročnost vlastního provedení útoku je dána téměř výhradně pouze časem, který spotřebuje jeho druhá fáze. Ten je dán počtem výzev, které musí útočník vyslat a přijmout na ně odpovědi.
Typický internetový server, který používá 1024bitovou šifru RSA, podlehne útoku v polovině případů po méně než 13.34 milionech výzev. V testovacím prostředí bylo dosaženo rychlosti zpracování 67.7 výzev za vteřinu. V takovém případě by každý druhý útok skončil do 55 hodin, nicméně při testech se zdařil i útok trvající jen 14 hodin a 23 minuty.
V praxi by bylo pravděpodobné, že by útočník - aby minimalizoval možnost svého odhalení - volil rozprostření této zátěže jak v čase, tak v prostoru, neboť útok nemusí probíhat ani kontinuálně, ani z jednoho místa. Jde jen o získání potřebného počtu odpovědí serveru.
Prakticky by tak útok mohl být veden v různých libovolně dlouhých a libovolně rozprostřených časových intervalech z libovolného počtu počítačů. Omezujícím faktorem je tak ve skutečnosti pouze server, který musí na výzvy těchto počítačů odpovídat. Časoprostorové rozprostření může útok významně prodloužit, avšak například vzhledem k běžné době platnosti kreditních karet si hacker může "dovolit" vyčkat na vyluštění čísla karty i několik měsíců.
Praktická zranitelnost a protiopatření
S ohledem na vedení konkrétních útoků je nutné zjištěnou zranitelnost jednotlivých serverů chápat jako hrozbu s poměrně vysokým rizikem. Není ovšem na místě propadat panickým obavám z každé elektronické transakce, neboť dostatečně fundovaná a vybavená provozní obsluha napadeného serveru by měla popisovaný útok včas rozpoznat a zastavit zablokováním směru, odkud útok pochází.
V případě sofistikovaného distribuovaného útoku pak lze doporučit zrušit současný (RSA) klíč serveru a vygenerovat nový. Útočník takto nebude schopen útok dokončit. Zároveň je ovšem nutné upozornit, že pro nesprávně administrovaný server je riziko úspěšného útoku velmi vysoké. Proto je vhodné do té doby, než budou k dispozici příslušné bezpečnostní záplaty, věnovat administraci serverů zvýšenou péči.
Výše uvedená protiopatření jsou administrativně-technického rázu a měla by umožnit překlenout období, než dojde k zavedení protiopatření navržených kryptology. Ta jsou velmi jednoduše realizovatelná a přitom účinná. Jsou popsána v technické zprávě autorů a spočívají v aktualizaci softwarového vybavení serverů.
http://www.i.cz/onas/tisk15.html
Skupiny Open SSL, OpenBSD a FreeBSD opravily chybu objevenou
českými kryptology
Skupina "Open SSL", která vydává na světě
nejpoužívanější software pro realizaci protokolů SSL/TLS, vydala
opravu chyby, která umožňovala realizovat úspěšný útok na
nejpoužívanější způsob šifrované komunikace v prostředí
internetu.
Na slabinu upozornili před několika dny významní čeští kryptologové ze společnosti ICZ, RNDr. Vlastimil Klíma a Ing. Tomáš Rosa, společně s kolegou Ing. Ondřejem Pokorným a zároveň navrhli i způsob obrany.
V případě úspěšného útoku hackerů na servery, mající tuto chybu, by byla ohrožena bezpečnost dat například u on-line nákupů, elektronického bankovnictví a v určitých případech i u zabezpečeného přenosu poštovních zpráv. Dle vyjádření kryptologů navíc není naprogramování tohoto typu útoku pro zkušené hackery nijak obtížné a SSL/TLS serverů k této chybě náchylných jsou na internetu v celosvětovém měřítku zhruba dvě třetiny.
Administrátoři serverů SSL/TLS si nyní mohou tuto veřejně dostupnou aktualizaci bezpečnostních programů nahrát, což zabrání hackerům odhalenou slabinu využít. Záplaty byly vydány i pro OpenBSD a FreeBSD, operační systémy, které jsou volně dostupné jako Linux, ale jsou zaměřeny více na bezpečnost.
Správci bankovních, obchodních a jiných SSL/TLS serverů, kteří nemají možnost aktualizace (používají například jiný software), by se v první fázi měli seznámit s kryptology popsanými protiopatřeními nebo aplikovat doporučené administrativně-technické pokyny, dostupné na níže uvedených internetových adresách.
Další informace:
první tisková zpráva s technickou přílohou:http://www.i.cz/onas/tisk14.html
Domovská stránka OpenSSL: http://www.openssl.org/news/secadv_20030319.txt
Aktualizovaný software OpenSSL:http://www.openssl.org/source/repos.html
Domovská stránka OpenBSD: http://www.openbsd.org/
Aktualizovaný software openbsd: http://www.openbsd.org/kpr
Domovská stránka FreeBSD: http://www.freebsd.org/
Aktualizace FreeBSD: ftp://ftp.freebsd.org/pub/FreeBSD/CERT/advisories/FreeBSD-SA-03:06.openssl.asc
Výzkumná zpráva: http://eprint.iacr.org/2003/052/
Zpravodajství ČTK
Čeští kryptologové objevili chybu v zabezpečení dat na internetu
PRAHA 23. března (ČTK) - Skupina českých kryptologů upozornila před několika dny na chybu v jednom z nejpoužívanějších protokolů SSL/TLS pro internetovou komunikaci. V případě hackerského útoku tak mohly být ohroženy datové přenosy při elektronickém bankovnictví či on-line nákupech, uvedla společnost ICZ v tiskové zprávě.Na slabinu upozornili kryptologové ze společnosti ICZ a zároveň navrhli i způsob obrany. Skupina Open SSL, která software vydává, chybu v pátek opravila.Dle vyjádření kryptologů nebylo naprogramování tohoto typu útoku pro zkušené hackery nijak obtížné. SSL/TLS serverů, které jsou k této chybě náchylné, jsou na internetu v celosvětovém měřítku zhruba dvě třetiny.
ČT1, Události, 21.4., 19:15,
Radio Praha ČRo 7, 23.3.2003
TV Markíza
Hospodářské noviny, 24.3.. str. 23,
České noviny, 22.4.,
Právo, 22.4., str.3,
a další periodika
25.3. David Wagner, cryptologist, University of California Berkeley:
......But then, the recent Klima-Pokorny-Rosa paper shows how even just a tiny crack can lead to subtle, totally unexpected attacks. Who would have thought that SSL's version rollback check (two bytes in the input to the modular exponentiation) could enable such a devastating attack? Not me. ......
http://www.openssl.org/news/secadv_20030319.txt
http://www.theregister.co.uk/content/55/29868.html
http://www.securityfocus.com/advisories/5151
http://linuxtoday.com/security/
http://www.bsdtoday.com/2003/March/Security804.html
http://sources.redhat.com/ml/cygwin-announce/2003-03/msg00030.html
http://www.security.nnov.ru/search/document.asp?docid=4245
http://www.apacheweek.com/issues/03-03-21
http://www.help-desk.ca/
http://www.krypta.cz/articles.php?ID=247
http://lists.netsys.com/pipermail/full-disclosure/2003-March/004570.html
http://www.twm.cz/
http://www.iss.net/security_center/static/11586.php
http://www.root.cz/clanek/1561
http://www.linuxsecurity.com/advisories/engarde_advisory-3009.html
http://www.swnet.cz/index.php?ID=18877
http://pes.eunet.cz/clanky/2003/03/29218_0_0_0.html
http://www.ipsec.pl/
http://www.altlinux.com/index.php?module=sisyphus&package=openssl
http://www.netsys.com/cgi-bin/displaynews?a=530
http://www.deadly.org/
http://openwiki.com/ow.asp?BSD%2FAggregation
http://www.uinc.ru/scripts/news/news.pl?list=0
http://neworder.box.sk/showme.php3?id=7804
http://telebot.dk/security/all_exploits.asp
http://www.zive.cz/h/Uzivatel/Ar.asp?ARI=109956&CAI=2114
http://www.ceskenoviny.cz/view-id.php4?id=20030323E01270
http://www.technet.cz/zprava.html?zprava=21861
http://www.sme.sk/clanok.asp?vyd=20030324&cl=850380
http://www.einstein.cz/aktuality/?id=61
http://www.inside.cz/index.php?ID=383
http://www.svetsiti.cz/
http://www.reboot.cz/info.phtml
http://www.istrategie.cz/detail.htm?id=35772