Последние новости

Добавить новость...

06.11 // В протоколах SSL/TLS найдена критическая уязвимость

Марш Рэй (Marsh Ray) и Стив Диспенса (Steve Dispensa) из компании PhoneFactor обнаружили критическую уязвимость в протоколах SSL/TLS, позволяющую злоумышленнику организовать подстановку своих данных в устанавливаемое между двумя точками защищенное соединение. Для успешного проведения атаки злоумышленник должен иметь возможность вклинится в проходящий защищенный трафик, например, получить контроль над промежуточным шлюзом, прокси сервером или установить свое оборудование в разрыв сетевого кабеля (man-in-the-middle атака).

Удачно проведенная атака позволяет незаметно добавить свой текст в начало SSL/TLS сессии. Так как часто сеанс работы с сайтом состоит из множества разных SSL/TLS сессий, теоретически злоумышленник может под прикрытием обычной активности пользователя совершить угодные атакующему действия на сервере, при этом пользователь будет уверен, что совершает легитимные операции в рамках защищенного соединения. Успешно проведенные примеры атак были продемонстрированы при работе различных типов клиентского ПО с web-серверами Apache и Microsoft IIS, также подобная атака возможна и при использовании TLS в IMAP.

Основная проблема обнаруженной уязвимости состоит в том, что уязвимость связана с недоработками дизайна протокола TLS, а именно методом организации согласования параметров в установленных соединениях, и не зависит от конкретных реализаций протокола. Для OpenSSL уже выпущен временный патч, суть которого сводится к полному отключению операции согласования (negotiation). Так как без изменения протокола решить проблему невозможно, в экстренном порядке ведущими производителями и стандартизирующими организациями отрасли был сформирован проект Project Mogul, задачей которого является разработка и принятие необходимых расширений стандарта TLS.

Сценарий атаки выглядит примерно так: Атакующий вклинивается между клиентом и сервером, устанавливает HTTPS соединение с сервером. Соединение со стороны клиента временно замораживается на незавершенной стадии. Далее серверу отправляется запрос в защищенную область, сервер инициирует полностью новое соединение и запрашивает клиентский сертификат. Атакующий перенаправляет не данной стадии все пакеты между клиентом и сервером в неизменном виде. После завершения фазы проверки сертификата злоумышленник формирует свой HTTP запрос к защищенной области и выполняет его от имени клиента.

Источник: http://www.opennet.ru/opennews/art.shtml?num=24132

05.11 // Криптоанализ на супер-S-блоках отвоёвывает ещё один раунд теоретической стойкости у AES

Проходящий конкурс НИСТ на новый стандарт хэш-функции SHA-3 в качестве побочного результата привлёк внимание исследователей и к блочным шифрам. Это связано с тем, что обычный блочный шифр может быть компонентом хэш-функции, входящим в раундовое преобразование. Также методы анализа раундовых преобразований в хэш-функциях, не являющихся в явном виде блочными шифрами, являются схожими.

Ранее блочный шифр обобщённо рассматривался как некий чёрный ящик (у которого известно только устройство, но скрыто внутреннее состояние), по отношению к которому противник может манипулировать входом и выходом, пытаясь вычислить неизвестный ключ или найти различитель между тем, что выдаёт шифр от идеальной псевдослучайной перестановки. В модели атак со связанными ключами противник, не зная самих ключей, может задавать функцию-соотношение, посредством которой каждый последующий ключ связан с предыдущим, при этом также пытаясь найти различитель от идеальной псевдослучайной перестановки между всеми вариантами открытых и шифртекстов, задаваемой ключом.

Но при создании хэш-функций эта модель была расширена ещё больше. При работе хэш-функции противник может видеть не только вход и выход, а всё внутреннее состояние — на каждом раунде преобразования. Если перенести эту модель обратно на блочный шифр, то получается, что противник может знать и выбирать и открытый текст, и шифртекст и даже ключ. Эта модель получила название модель известного ключа. Криптоаналитическим взломом в такой модели считается нахождение любого различителя между идеальной псевдослучайной перестановкой при любых манипуляциях не только с текстами, но и с ключом. Такая модель делает шифр всё более похожим не на "чёрный", а на "стеклянный" ящик. Шифр, который удовлетворяет условиям такой модели, называется идеальный шифр.

Поскольку эта модель возникла относительно недавно из-за исследований в области хэш-функций, то широкораспространённые шифры не проектировались под модель идеального шифра. Исследователи Henri Gilbert и Thomas Peyrin в работе Super-Sbox Cryptanalysis: Improved Attacks for AES-like permutations исследовали AES в рамках модели идеального шифра и нашли новые доказательства его несоответствия этой модели. Эта модель позволяет применить новые виды криптоанализа — например криптоанализ на S-блоках, когда объединяются функции от двух раундов и вместо рассмотрения 8-битного S-блока используется комбинированный 32-битный с предшествующим и последующим афинным преобразованием. Поскольку ключ известен, то результат ключевого расписания на каждом раунде не имеет значения. Зато сочетание этих двух факторов увеличивает количество степеней свободы. Это позволило получить различитель в рамках данной модели для 8 раундов AES-128 за 2⁴⁸ вычислительных шагов и 2³² затрат памяти. Ранее аналогичная атака работала только против семи из десяти раундов AES-128.

Конечно, данная атака никак не угрожает обычным пользователям алгоритма AES — во-первых она действует только на сокращённую версию из 8 раундов, во-вторых она позволяет только построить различитель, в третьих — и это самое важное — противник должен знать и выбирать на своё усмотрение не только тексты для шифрования, но и ключ.

Однако, данное исследование имеет значение для конструирования на основе AES протоколов и других примитивов, например хэш-функций. Как предполагалось ранее, на основе предыдущих атак на AES, доказывающих его несоответствие модели идеального шифра, AES не стоит использовать в дизайне хэш-функций, что выяснилось уже в самом разгаре конкурса SHA-3. Авторы данной работы провели на основе полученного результата успешный криптоанализ двух кандидатов на SHA-3 — Grost (хэш-функция, основанная на AES) и ECHO (функция, основанная на аналоге AES).

К сожалению, авторами не исследовалась близкая по дизайну к AES и получившая временное распространение хэш-функция Whirlpool от одного из создателей AES, вероятно потому, что она не участвует в конкурсе.

Интересно, что блочный шифр Threefish (лучшие атаки на который действуют против 33 раундов из 72 согласно данным на начало ноября 2009 и требуют неимоверно больших вычислительных затрат — 2³⁵² ) от комманды Брюса Шнайера, положенный в основу хэш-функции Skein, предусмотрительно создан с критерием соответствия модели идеального шифра и его создателями приведены доказательства необходимости такого дизайна.

Источник: Cryptology ePrint Archive

Текущие опросы

Добавить опрос...

Активная разработка

1. Понимание множества измерений приватности (Библиотека)
   редакций: 1, 100% от всех правок

Новые документы и обсуждения

1. Статистический анализ современных блочных шифров (Форум)
   создана: 07/11/2009 14:13
2. Поточный шифр, Какой тип шифрования здесь используется? (Форум)
   создана: 07/11/2009 09:14
3. алгоритм Twofish в OpenPGP (Форум)
   создана: 06/11/2009 14:12
4. поделитесь мануалом установки Тor в Ubuntu 9.10 (Форум)
   создана: 06/11/2009 04:30
5. помогите расшифровать загадку (Форум)
   создана: 04/11/2009 22:53
6. шифрование системного раздела в linux (Форум)
   создана: 04/11/2009 21:31
7. Ещё одна ступенька на пути к просветлению (Форум)
   создана: 04/11/2009 19:42
8. Cracking Passwords in the Cloud: Breaking PGP on EC2 with EDPR (Форум)
   создана: 04/11/2009 13:27
9. Хочется странного. Сотовый телефон в качестве eToken (Форум)
   создана: 04/11/2009 00:19
10. TORlivecd в VirtualBox, минусы?плюсы? критикуем конструктивно (Форум)
    создана: 02/11/2009 19:59
11. установка TOR в Ubuntu 9.10 64 bit (Форум)
    создана: 02/11/2009 13:35
12. Основное назначение опции монтирования noexec (Форум)
    создана: 01/11/2009 20:07

Самые обсуждаемые

1. TORlivecd в VirtualBox, минусы?плюсы? критикуем конструктивно (Форум)
   комментариев: 22, 24% от всех обсуждений
2. Нужны британские стандарты шифрования (Форум)
   комментариев: 12, 13% от всех обсуждений
3. Основное назначение опции монтирования noexec (Форум)
   комментариев: 11, 12% от всех обсуждений
4. В протоколах SSL/TLS найдена критическая уязвимость (Новости)
   комментариев: 10, 11% от всех обсуждений
5. шифрование системного раздела в linux (Форум)
   комментариев: 9, 10% от всех обсуждений
6. особенности использования коммуникаторов BlackBerry в России (Форум)
   комментариев: 6, 7% от всех обсуждений
7. MacOS - это безопасно? (Форум)
   комментариев: 6, 7% от всех обсуждений
8. Новые правила требуют лицензировать открытые проекты, использующие криптографию (Новости)
   комментариев: 5, 5% от всех обсуждений
9. Криптоанализ на супер S-блоках отвоёвывает ещё один раунд теоретической стойкости у AES (Новости)
   комментариев: 5, 5% от всех обсуждений
10. Посоветуйте как удобно защитить конфиденциальную информацию на флешке (Форум)
    комментариев: 5, 5% от всех обсуждений