Obsahuje:
  • všechny e-ziny od 9/1999
  • celou databázi NEWS
  • soutěže 2000-2011
  • další články a BONUSY

Security - News

http://crypto-world.info

Crypto - News | Security - News

08 / 2005
Vybrali pro vás: TR - Tomáš Rosa, JP - Jaroslav Pinkava, PV - Pavel Vondruška, VK - Vlastimil Klíma

Pozor na DSA!

30.08.2005
Přiložený odkaz vede na stránku příspěvků z Rump Session letošní konference CRYPTO 2005, která už zde uvedena byla. Nicméně stojí za zmínku, že kromě výsledků v oblasti hašovacích funkcí si pozornost jistě zaslouží i příspěvek Daniela Bleichenbachera o útocích na chybné implementace DSA. DSA je podpisové schéma, které je hojně využíváno zejména v USA, kde je vydáno v rámci standardu FIPS PUB 186-2. Ačkoliv zatím nebyl publikován výsledek oslabující DSA jako takové, stále více pozornosti kryptologů poutá jeho až enormní náchylnost k útokům založeným na implementačních slabinách. Jedná se zejména o únik postranní informace o číslech označovaných jako NONCE (Number Used Once). Více se o této slabině můžete dozvědět například z přehledového článku, který jsme napsali s kolegou Vlastimilem Klímou v rámci společného seriálu v časopisu Sdělovací technika.

Úspěšnost útoků diskutovaného typu se posuzuje zejména podle množství informace, které musí útočník o jednotlivých NONCE znát, aby byl schopen s využitím rozumného počtu podpisů schéma prolomit, tj. získat hodnotu privátního klíče. Za hranici byly považovány zhruba 3 bity na jednu NONCE. Už to činilo řadu ledabyle napsaných aplikací zranitelnými v důsledku degenerovaného rozdělení použitých generátorů náhodných čísel. Daniel Bleichenbacher ovšem tvrdí, že tuto hranici posunul až na jediný bit! To už by mohlo dělat vážné problémy všem aplikacím, u kterých nebyla problematice náhodného generování NONCE věnována skutečně velká pozornost. Některé z nich dr. Bleichenbacher uvádí přímo ve své prezentaci. A to přitom stále ještě nemluvíme o „skutečných“ postranních kanálech, tj. o získání užitečné informace sledováním nejrůznějších fyzikálních veličin, jako je spotřeba elektrické energie, atp. Je tak docela dobře možné, že opravdu bezpečných implementací DSA bude nakonec jako šafránu.

Ačkoliv v prezentaci ani přiloženém audiovizuálním záznamu není příliš mnoho podrobností o použité metodě, dr. Bleichenbacher naznačuje, že se nejedná o přístup založený na mřížových algoritmech, které dosud této oblasti dominovaly. Díky jistým aproximačním koeficientům však tyto algoritmy vykazují určitou poměrně ostrou hranici v počtu známých bitů o jednotlivých NONCE, pod kterou se zdá být velmi obtížné jít. Osobně se domnívám, že to je pouze otázka nalezení vhodného zadání luštící úlohy, nicméně kolega Bleichenbacher se zřejmě rozhodl jít jinou cestou. Z toho, co uvedl, lze tušit, že jeho přístup bude založen na nějakém rafinovaném prohledávacím algoritmu podobného druhu, jaký použil pro luštění RSA s formátováním podle PKCS#1 verze 1.5 v roce 1998 (viz také jeho akcelerace pro SSL/TLS). Už se těším, až bude dostupný podrobnější příspěvek s jeho popisem…

Zdroj: http://www.iacr.org/conferences/crypto2005/rumpSchedule.html
Autor: TR


<<- novější - Bezpečnost a spolehlivost informačních systémů - IT SECURITY GigaCon
Nové technologie mají napomoci k větší bezpečnosti Wi-Fi - starší ->>
Design: Webdesign