Атака оракула - Padding oracle attack - Wikipedia

В криптографии атака оракула это атака, которая использует набивка проверка криптографического сообщения для расшифровки зашифрованного текста. В криптографии сообщения открытого текста переменной длины часто должны дополняться (расширяться), чтобы быть совместимыми с лежащими в основе криптографический примитив. Атака полагается на наличие «оракула заполнения», который свободно отвечает на запросы о том, правильно ли заполнено сообщение. Атаки оракула заполнения в основном связаны с Расшифровка режима CBC используется в блочные шифры. Режимы заполнения для асимметричных алгоритмов, таких как OAEP также может быть уязвим для атак оракула.^[1]

Симметричная криптография

В симметричной криптографии заполнение атака оракула может применяться к CBC режим работы, где "оракул "(обычно сервер) утечка данных о том, набивка зашифрованного сообщения верен или нет. Такие данные могут позволить злоумышленникам расшифровать (а иногда и зашифровать) сообщения через оракул, используя ключ оракула, не зная ключа шифрования.

Заполнение атаки Oracle на шифрование CBC

Стандартная реализация расшифровки CBC в блочных шифрах заключается в расшифровке всех блоков зашифрованного текста, проверке заполнения, удалении PKCS7 набивка, и вернуть открытый текст сообщения. Если сервер возвращает ошибку «недопустимое заполнение» вместо общей ошибки «сбой дешифрования», злоумышленник может использовать сервер в качестве оракула заполнения для дешифрования (а иногда и шифрования) сообщений.

Математическая формула для расшифровки CBC:

${ displaystyle P_ {i} = D_ {K} (C_ {i}) oplus C_ {i-1},}$

${ displaystyle C_ {0} = IV.}$

Как показано выше, расшифровка CBC выполняет XOR каждого блока открытого текста с предыдущим блоком зашифрованного текста. В результате однобайтовая модификация в блоке ${ displaystyle C_ {1}}$ внесет соответствующее изменение в один байт в ${ displaystyle P_ {2}}$.

Предположим, у злоумышленника есть два блока зашифрованного текста. ${ displaystyle C_ {1}, C_ {2}}$ и они хотят расшифровать второй блок, чтобы получить открытый текст ${ displaystyle P_ {2}}$.Злоумышленник изменяет последний байт ${ displaystyle C_ {1}}$ (создание ${ displaystyle C_ {1} '}$) и отправляет ${ displaystyle (IV, C_ {1} ', C_ {2})}$ Затем сервер возвращает, указывает ли заполнение последнего расшифрованного блока (${ Displaystyle P_ {2} '}$) верен (равен 0x01). Если заполнение верное, злоумышленник теперь знает, что последний байт ${ Displaystyle D_ {K} (C_ {2}) oplus C_ {1} '}$ является ${ displaystyle mathrm {0x01}}$. Следовательно, ${ Displaystyle D_ {K} (C_ {2}) = C_ {1} ' oplus mathrm {0x01}}$.Если заполнение неверно, злоумышленник может изменить последний байт ${ displaystyle C_ {1} '}$ до следующего возможного значения. В большинстве случаев злоумышленнику потребуется сделать 256 попыток (одно предположение для каждого возможного байта), чтобы найти последний байт ${ displaystyle P_ {2}}$. Если расшифрованный блок содержит информацию о заполнении или байты, используемые для заполнения, тогда потребуется дополнительная попытка для устранения этой неоднозначности.^[2]

После определения последнего байта ${ displaystyle P_ {2}}$, злоумышленник может использовать тот же метод для получения предпоследнего байта ${ displaystyle P_ {2}}$. Атакующий устанавливает последний байт ${ displaystyle P_ {2}}$ к ${ displaystyle mathrm {0x02}}$ установив последний байт ${ displaystyle C_ {1}}$ к ${ Displaystyle D_ {K} (C_ {2}) oplus mathrm {0x02}}$Затем злоумышленник использует тот же подход, описанный выше, на этот раз изменяя предпоследний байт до тех пор, пока заполнение не станет правильным (0x02, 0x02).

Если блок состоит из 128 бит (AES, например), который составляет 16 байт, злоумышленник получит открытый текст ${ displaystyle P_ {2}}$ не более чем за 255⋅16 = 4080 попыток. Это значительно быстрее, чем ${ displaystyle 2 ^ {128}}$ попытки, необходимые для перебора 128-битного ключа.

Шифрование сообщений с помощью атаки оракула Padding (CBC-R)

CBC-R^[3] превращает оракул дешифрования в оракул шифрования, и в первую очередь демонстрируется против оракулов заполнения.

Используя атаку оракула с заполнением, CBC-R может создать вектор инициализации и блок зашифрованного текста для любого открытого текста:

• расшифровать любой зашифрованный текст п_я = PODecrypt (C_я ) XOR C_я-1,
• выбрать предыдущий шифроблок C_{х − 1} свободно,
• создать действительную пару зашифрованный / открытый текст C_х-1 = P_Икс XOR PODecrypt (C_я ).

Чтобы создать зашифрованный текст, N блоки длинные, злоумышленник должен выполнить N количество дополнительных атак оракула. Эти атаки связаны вместе, так что правильный открытый текст создается в обратном порядке, начиная с конца сообщения (C_N) в начало сообщения (C₀, IV). На каждом шаге используется атака оракула с заполнением для построения IV к ранее выбранному зашифрованному тексту.

Атака CBC-R не будет работать против схемы шифрования, которая аутентифицирует зашифрованный текст (используя код аутентификации сообщения или аналогичный) перед расшифровкой.

Атаки с использованием дополнительных оракулов

Первоначальная атака была опубликована в 2002 г. Серж Воденэ.^[4] Конкретные экземпляры атаки были позже реализованы против SSL.^[5] и IPSec.^[6][7] Он также был применен к нескольким веб-фреймворки, включая JavaServer Faces, Рубин на рельсах^[8] и ASP.NET^[9][10][11] а также другое программное обеспечение, такое как Пар игровой клиент.^[12] В 2012 году было показано, что он эффективен против некоторых устройств повышенной безопасности.^[13]

Хотя эти более ранние атаки были устранены большинством TLS разработчики после его публичного объявления, новый вариант, Счастливая тринадцатая атака, опубликованная в 2013 году, использовала побочный канал синхронизации для повторного открытия уязвимости даже в реализациях, которые ранее были исправлены. По состоянию на начало 2014 года атака больше не считается угрозой в реальной жизни, хотя теоретически все еще работает (см. соотношение сигнал шум ) против определенного класса машин. По состоянию на 2015 год^{[Обновить]}, наиболее активной областью разработки атак на криптографические протоколы, используемые для защиты интернет-трафика, являются атака на понижение версии, например Logjam^[14] и экспорт RSA / FREAK^[15] атаки, которые заставляют клиентов использовать менее безопасные криптографические операции, обеспечиваемые для совместимости с устаревшими клиентами, когда доступны более безопасные. Атака называется ПУДЕЛЬ^[16] (конец 2014 г.) сочетает в себе атаку перехода на более раннюю версию (до SSL 3.0) и атаку оракула с заполнением старого небезопасного протокола, чтобы обеспечить компрометацию передаваемых данных. В мае 2016 года это было обнаружено в CVE -2016-2107 что исправление Lucky Thirteen в OpenSSL представило еще один оракул заполнения.^[17][18]

Рекомендации