The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Воссоздание RSA-ключей через анализ SSH-соединений к сбойным серверам

14.11.2023 17:11

Группа исследователей из Калифорнийского университета в Сан-Диего продемонстрировала возможность воссоздания закрытых хостовых RSA-ключей SSH-сервера, используя пассивный анализ трафика SSH. Атака может быть совершена на серверы, на которых в силу стечения обстоятельств или действий атакующего возникают сбои во время вычисления цифровой подписи при установке SSH-соединения. Сбои могут быть как программными (некорректное выполнение математических операций, повреждение памяти), так и аппаратными (ошибки при работе NVRAM и DRAM или сбои при перебоях с питанием).

Одним из вариантов стимулирования сбоев могут стать атаки класса RowHammer, среди прочего позволяющие удалённо или при обработке JavaScript-кода в браузере добиться искажения содержимого отдельных битов памяти при интенсивном цикличном чтении данных из соседних ячеек памяти. Ещё одним вариантом вызова сбоев может стать эксплуатация уязвимостей, приводящих к переполнению буфера и повреждению данных с ключами в памяти.

В опубликованном исследовании показано, что при использовании в SSH цифровых подписей на базе алгоритма RSA, к параметрам цифровой подписи применимы атаки по воссозданию закрытых ключей RSA методом Lattice (Fault Attack), в случае возникновения программных или аппаратных сбоев во время процесса вычисления подписи. Суть метода в том, что сравнивая корректную и сбойную цифровые подписи RSA можно определить наибольший общий делитель для вывода одного из простых чисел, использованных при формирования ключа.

В основе шифрования RSA лежит операция возведения в степень по модулю большого числа. В открытом ключе содержится модуль и степень. Модуль формируется на основании двух случайных простых чисел, которые известны только владельцу закрытого ключа. Атака может быть применена к реализациям RSA, использующим Китайскую теорему об остатках и детерминированные схемы добавочного заполнения, такие как PKCS#1 v1.5.

Для совершения атаки достаточно пассивного отслеживания легитимных соединений к SSH-серверу до выявления в трафике сбойной цифровой подписи, которую можно использовать в качестве источника информации для воссоздания закрытого RSA-ключа. После воссоздания хостового RSA-ключа атакующий может в ходе MITM-атаки незаметно перенаправить запросы на подставной хост, выдающий себя за скомпрометированный SSH-сервер и организовать перехват передаваемых на этот сервер данных.

В результате изучения коллекции перехваченных сетевых данных, включающей примерно 5.2 миллиардов записей, связанных с использованием протокола SSH, исследователи выявили примерно 3.2 млрд открытых хостовых ключей и цифровых подписей, применяемых во время согласования сеанса SSH. Из них 1.2 млрд (39.1%) были сформированы при помощи алгоритма RSA. В 593671 случаях (0.048%) RSA-подпись была повреждена и не проходила проверку. Для 4962 сбойных подписей удалось применить метод факторизации Lattice для определения закрытого ключа по известному открытому ключу, что в итоге позволило воссоздать 189 уникальных пар ключей RSA (во многих случаях для генерации разных повреждённых подписей использовались одни и те же ключи и сбойные устройства). На воссоздание ключей потребовалось около 26 часов процессорного времени.

Проблема затрагивает только специфичные реализации протокола SSH, используемые в основном на встраиваемых устройствах. В качестве примеров устройств с проблемными реализациями SSH упомянуты продукты Zyxel, Cisco, Mocana и Hillstone Networks. OpenSSH проблеме не подвержен, так как использует для генерации ключей библиотеку OpenSSL (или LibreSSL), в которой защита от атак на основе анализа сбоев (Fault Attack) присутствует с 2001 года. Более того, в OpenSSH схема цифровых подписей ssh-rsa (на базе sha1) с 2020 года объявлена устаревшей и отключена в версии 8.8 (поддержка схем rsa-sha2-256 и rsa-sha2-512 сохраняется). Потенциально атака может оказаться применима и для протокола IPsec, но у исследователей не было достаточных экспериментальных данных для подтверждения подобной атаки на практике.

  1. Главная ссылка к новости (https://arstechnica.com/securi...)
  2. OpenNews: Реализация DDIO в чипах Intel допускает сетевую атаку по определению нажатий клавиш в сеансе SSH
  3. OpenNews: Новая атака SLOTH, затрагивающая протоколы TLS 1.2, SSH и IKE/IPsec с MD5 и SHA-1
  4. OpenNews: В Libgcrypt/GnuPG выявлена уязвимость, позволяющая воссоздать RSA-ключи
  5. OpenNews: Предложен метод взлома ключей RSA-2048 на современном квантовом компьютере
  6. OpenNews: Атака Marvin для расшифровки RSA на основе измерения времени операций
Лицензия: CC BY 3.0
Наводку на новость прислал Artem S. Tashkinov
Короткая ссылка: https://opennet.ru/60106-ssh
Ключевые слова: ssh, rsa, attack
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (37) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (1), 17:24, 14/11/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Многие пользуются чем-то кроме OpenSSH?
     
     
  • 2.5, dullish (ok), 17:38, 14/11/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Ну... Есть ещё Dropbear, но там всё что касается ключей, кажется, тоже напрямую из OpenSSH стянуто. Так что, наверное, как всегда, будут страдать только добровольные или вынужденные любители древнющего тивоизированного барахла.
     
     
  • 3.7, Аноним (7), 18:02, 14/11/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Навряд ли.
    Насколько я знаю, он не поддерживает OpenSSL, в отличие от OpenSSH.
     
  • 3.22, Аноним (22), 21:53, 14/11/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Ну сходите в гитхаб да посмотрите, из openssh там или ещё откуда (второе).
     
  • 2.6, Пряник (?), 17:39, 14/11/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Подозреваю много где стоит dropbear.
     
     
  • 3.17, Ivan_83 (ok), 20:38, 14/11/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Стоит то да, но используется сильно реже, ИМХО.
    Как минимум я на свои железки с опенврт обычно хожу по вебгую, а вот в х86 по ссш.
     
  • 3.29, Аноним (29), 23:29, 14/11/2023 [^] [^^] [^^^] [ответить]  
  • +/
    То, где оно стоит, малоинтересно для такой дорогостоящей атаки, требующей пассивного mitm. Неуловимый Джо, в общем
     
     
  • 4.39, Аноним (7), 14:27, 15/11/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Ну, если у вас нет навороченных сетевых железок, то конечно.
     
     
  • 5.47, Ivan_83 (ok), 15:51, 16/11/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Это зухел то навороченный?)
     
     
  • 6.48, Аноним (7), 01:17, 19/11/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Не тот вопрос.
    Правильный вопрос: в цисках и джунях openssh?
     
  • 2.10, pin (??), 19:13, 14/11/2023 [^] [^^] [^^^] [ответить]  
  • +/
    telnet
     
  • 2.16, nebularia (ok), 20:29, 14/11/2023 [^] [^^] [^^^] [ответить]  
  • +/
    В чём-то, кроме компов (серверов, виртуалок) - практически всегда.
     

  • 1.4, Пряник (?), 17:38, 14/11/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > Более того, в OpenSSH схема цифровых подписей ssh-rsa с 2020 года объявлена устаревшей и отключена в версии 8.8.

    Только для алгоритма хэширования ключа SHA-1.

     
     
  • 2.13, Аноним (13), 19:34, 14/11/2023 [^] [^^] [^^^] [ответить]  
  • +/
    А как включить другую sha?

    Я в мане этого не вижу. Вижу ecdsa, ed25519.

    ssh-rsa256 не вижу.

     
     
  • 3.18, Ivan_83 (ok), 20:40, 14/11/2023 [^] [^^] [^^^] [ответить]  
  • +/
    HostKeyAlgorithms rsa-sha2-256,rsa-sha2-512,rsa-sha2-256-cert-v01@openssh.com,rsa-sha2-512-cert-v01@openssh.com

    Но это для таких как я, которым ECDSA, ED25519 нафиг не нужны.

     
     
  • 4.20, pfg21 (ok), 20:56, 14/11/2023 [^] [^^] [^^^] [ответить]  
  • +/
    ССЗБ. зачем намеренно не использовать наиболее криптостойкий ключ, если он такой есть ??    
    учитывая что скорость канала от него не зависит.
     
     
  • 5.33, Ivan_83 (ok), 06:12, 15/11/2023 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Криптостойкий он только по вашим оценкам, по моим личным RSA сильно надёжнее и предсказуемее.
     
     
  • 6.36, anonymous (??), 09:13, 15/11/2023 [^] [^^] [^^^] [ответить]  
  • +/
    будут какие-либо доказательства?
     
     
  • 7.37, Массоны Рептилоиды (?), 11:06, 15/11/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Ну как же, в криптографии у кого ключ длиннее тот и круче. Какие ещё доказательства?
     
     
  • 8.38, pfg21 (ok), 12:49, 15/11/2023 [^] [^^] [^^^] [ответить]  
  • +/
    тут еще присутствует коэффициент сложности математики у ed25519 она мудренее, п... текст свёрнут, показать
     
     
  • 9.40, Массоны Рептилоиды (?), 14:44, 15/11/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Это был сарказм... текст свёрнут, показать
     
  • 8.42, freehck (ok), 17:01, 15/11/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Сделал мой день Спасибо, мужик ... текст свёрнут, показать
     
  • 7.45, Ivan_83 (ok), 15:48, 16/11/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Вычислительные затраты на RSA сильно выше, особенно на длинных ключах.
    Кубитов тоже надо сильно больше.
     
  • 4.23, Аноним (22), 21:55, 14/11/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Кстати, а почему? Мне как стороннику Уd25519 это очень интересно.

    PS: EcDSA это полумера, если клиент/сервер не поддерживают Ed25519 (пламенный привет старым версиям dropbear).

     
     
  • 5.34, Ivan_83 (ok), 06:15, 15/11/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Потому что:
    - rsa 16384 ломать сильно дольше при любом раскладе
    - подобный конфиг отшибает часть ботов просто из за отсутствия совместимости
    - если даже бот совместим то ему несколько напряжно это обсчитывать

    И потому что возможно вся эллиптика не слишком надёжна, даже если отбросить слухи что нашли как на обычном железе, то квантовое первым поломает всё на что надо мало кубитов.

     
     
  • 6.44, Аноним (7), 02:45, 16/11/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Наоборот, в силу специфики алгоритма, RSA даже с очень длинными ключами куда проще ломануть, чем Ed.
     
     
  • 7.46, Ivan_83 (ok), 15:49, 16/11/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Ну да, ну да...
     
  • 4.27, Аноним (27), 22:13, 14/11/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Почему не нужны?
     

  • 1.21, Аноним (21), 20:56, 14/11/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Сделайте SSH как стандарт l3 VPN во всех роутерах. Идеальная защита
     
     
  • 2.25, Аноним (7), 22:11, 14/11/2023 [^] [^^] [^^^] [ответить]  
  • +/
    И чем оно идеальнее по сравнению с wg?
     
     
  • 3.28, Tron is Whistling (?), 22:42, 14/11/2023 [^] [^^] [^^^] [ответить]  
  • –2 +/
    wg вообще мрачный отстой, прибитый гвоздями к полутора шифрам.
    Как только эти шифры крякнутся - будет wgv2, wgv3 и прочие полтора землекопа.
     
     
  • 4.30, Аноним (30), 01:49, 15/11/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Согласен. Кто-то меняет ключи раз в год, но лично я чувствую себя неуютно если прошла уже целая неделя, а я так и не поменял протокол шифрования.
     

  • 1.31, Аноним (31), 03:39, 15/11/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >пассивный анализ трафика SSH
    >RowHammer

    /0

     
  • 1.32, Аноним (31), 03:41, 15/11/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >В результате изучения коллекции перехваченных сетевых данных, включающей примерно 5.2 миллиардов записей, связанных с использованием протокола SSH, исследователи выявили примерно 3.2 млрд открытых хостовых ключей и цифровых подписей, применяемых во время согласования сеанса SSH.

    АНБ доступ к своим архивам предоставило? Или Яровая?

     
     
  • 2.35, Аноним (35), 08:39, 15/11/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    всё слито до них
     

  • 1.41, freehck (ok), 16:59, 15/11/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    189 ключей из 5.2 миллиардов перехваченных пакетов. Ложка в супе с такого улова явно стоять не будет.
     
     
  • 2.43, Аноним (7), 21:39, 15/11/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Смотря кому. Если государство богатое, то оно может себе позволить и такой фигнёй заниматься.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру