Gerard Frankowski, Błażej Miga Zespół Bezpieczeństwa PCSS. Konferencja SECURE 2008 Warszawa,

Transkrypt

1 Gerard Frankowski, Błażej Miga Zespół Bezpieczeństwa PCSS Konferencja SECURE 2008 Warszawa,

2 Agenda Kim jesteśmy i co robimy? Wprowadzenie Szyfrowanie danych PKI, algorytm RSA, rola losowości Błąd z dn Badania Metodyka Narzędzia Wyniki Podsumowanie, pytania, dyskusja 2

3 Kim jesteśmy i co robimy? 3

4 PCSS Poznańskie Centrum Superkomputerowo- Sieciowe Operator sieci PIONIER oraz POZMAN Uczestnik projektów naukowo-badawczych Główne obszary zainteresowań: Gridy,, sieci nowej generacji, portale Bezpieczeństwo sieci i systemów 4

5 Zespół Bezpieczeństwa PCSS Dedykowany zespół istnieje od 1996r. Podstawowy zakres prac Zespołu Zabezpieczanie infrastruktury PCSS Zadania bezpieczeństwa w projektach naukowo badawczych Szkolenia i transfer wiedzy Badania własne Audyty i doradztwo w zakresie bezpieczeństwa IT Wybrane badania z ostatnich lat Raport o bezpieczeństwie bankowości elektronicznej (2006) Bezpieczeństwo serwerów WWW Apache i MS IIS (2007) Bezpieczeństwo sklepów internetowych (2008) security.psnc.plpl 5

6 Centrum Innowacji Microsoft Centrum bezpieczeństwa i usług outsourcingowych Bezpieczeństwo w MIC : 2008: Szkolenia bezpieczeństwa Bezpieczeństwo IIS 7.0 Wewnętrzne i zewnętrzne audyty bezpieczeństwa Badania infrastruktury klucza publicznego 6

7 Wprowadzenie 7

8 Szyfrowanie danych Środek bezpieczeństwa liczący 2000 lat Algorytm a klucz Szyfrowanie niesymetryczne 2 komplementarne klucze: prywatny (tajny) oraz publiczny Dłuższe klucze, skomplikowane obliczenia Szyfrowanie symetryczne Ten sam (tajny) klucz do kodowania i dekodowania Szybsze ( x) w działaniu, krótsze klucze 8

9 PKI i szyfrowanie PKI = Infrastruktura klucza publicznego Dwie fazy bezpiecznej transmisji I faza: szyfrowanie niesymetryczne Możliwość wykorzystania klucza jawnego do uwierzytelnienia Niewiele operacji = mała strata na wydajności Uzgodnienie parametrów dalszej transmisji II faza: szyfrowanie symetryczne Stosuje się klucze bezpiecznie wymienione w I fazie Szybsza komunikacja 9

10 Struktura PKI Centrum certyfikacyjne (CA) Centra nadrzędne i podrzędne Centrum rejestrujące (RA) Proces uzyskania certyfikatu Żądanie certyfikatu Uwierzytelnienie subskrybenta Wydanie certyfikatu zgodnie z polityką certyfikacji Unieważnianie certyfikatu Utrata, upłynięcie okresu ważności, inny błąd Listy CRL / OCSP 10

11 Klasy certyfikatów Klasa I poziom testowy Klasa II poczta, WWW, SSL/TLS Brak gwarancji jednoznacznego określenia tożsamości Weryfikacja adresu /nazwy podmiotu Klasa III poczta, część transakcji, usługi, podpisywanie kodu i obiektów, WTLS Nazwa subskrybenta jest prawie(nie całkowicie) pewna Klasa IV osoby i instytucje Certyfikaty kwalifikowane Wymagane osobiste stawiennictwo dla uwierzytelnienia Całkowita pewność poświadczenia tożsamości 11

12 PKI od wewnątrz Przykłady zastosowań Zabezpieczanie transmisji SSL/TLS Uwierzytelnianie użytkowników (certyfikaty, klucze SSH) Cyfrowe podpisywanie dokumentów lub kodu Znakowanie czasem Wykorzystywane algorytmy (przykłady) Symetryczne: 3DES, DESX, IDEA Niesymetryczne: RSA, El Gamal Funkcje haszujące / funkcje skrótu: MD5, SHA 12

13 Działanie PKI idea Root CA ROOT CA CA CA CA Org. CA Org. User Wydanie certyfikatu Pytanie o certyfikat CA 13

14 Uwierzytelnienie Działanie PKI (1) CA Bob A03F Bob Alice CA CA Bob + = A03F831B... CA A03F831B...+ = Bob Wydanie certyfikatu Pytanie o certyfikat 14

15 Działanie PKI (2) Zabezpieczenie danych A A Alice A03F831B... Bob B B B WIADOMOŚĆ + = A03F831B... B A03F831B... + = WIADOMOŚĆ 15

16 Podpis cyfrowy Działanie PKI (3) A A Alice WIADOMOŚĆ, A03F831B... Bob B B A HASH (WIADOMOŚĆ) + = A03F831B... HASH (WIADOMOŚĆ) = X A A03F831B...+ = X 16

17 RSA -teoria RSA R.Rivest, A.Shamir, L.Adleman(1978) Szyfr blokowy opierający się na mechanizmie faktoryzacji kilkusetcyfrowych liczb pierwszych Rozmiar klucza = długość iloczynu liczb Względnie zrozumiały i łatwy w implementacji Jak dotąd oparł się znanym próbom kryptoanalizy Uzyskanie odkodowanej wiadomości z szyfrogramu przy znajomości tylko jednego z kluczy jest równoważne faktoryzacji iloczynu wybranych liczb pierwszych 17

18 Szyfrowanie RSA p, q liczby pierwsze n moduł d eksponent tajny e eksponent jawny (65537) M i i-ty blok wiadomości C i i-ty blok szyfrogramu Losowo dobieramy: p oraz q n= p q e: NWD[e, (p-1) (q-1)] = 1 e d 1 mod[(p-1) (q-1)] p q p q Klucz jawny: { n, e} Klucz tajny: { n, d} C i = M ie (mod n) M i =C id (mod n) 18

19 Szyfrowanie RSA przykład (1) 1. Losujemy p, q 2. Wyznaczamy n 3. Poszukujemy e Praktyka: liczba Fermata Dla celów przykładu: 4. Wyznaczamy d Rozsz. algorytm Euklidesa 5. Budujemy klucze { 437, 31} { 437, 115} 19, = 437 (19-1) (23-1) = = d 1 mod[(19-1) (23-1)] 31 d = 396 k + 1 (k całkowite) C i = M i 31 (mod 437) M i =C i 115 (mod 437) 19

20 Szyfrowanie RSA przykład (2) Szyfrowanie Długość bloków < n (max. 2) Wiadomość: C 1 = (mod437) = 72 C 2 = 5 31 (mod437) = 264 C 3 = 8 31 (mod437) = 331 Deszyfrowanie: Szyfrogram: M 1 = (mod 437) = 13 M 2 = (mod 437) = (0)5 M 3 = (mod 437) = (0)8 NADAWCA: { 437, 31} Klucz publiczny odbiorcy ODBIORCA: {437, 115} Klucz prywatny odbiorcy 20

21 Możliwość ataka taku u na klucze RSA Przewidywalny generator liczb pseudolosowych umożliwia utworzenie listy wszystkich możliwych wartości poraz q (ejest znane) e d 1 mod[(p-1) (q-1)] Napastnik nie zna tylko wartości d, która: Przy założeniu znajomości pozostałych wielkości może być obliczona przy pomocy algorytmu Euklidesa Wraz ze znanym njest kluczem poszukiwanym kluczem prywatnym ofiary! 21

22 Na czym polegał błąd? OpenSSL >= 0.9.8c1 dla Linuksa Debian Powstanie błędu: , publikacja: Analizator kodu wykrył błąd w funkcji ssleay_rand_bytes DeveloperzyDebianazakomentowali część funkcji, ale dodatkowo wyłączyli analogiczny fragment funkcji ssleay_rand_add ssleay_rand_addodświeża pulę losowych danych dla generacji liczb pseudolosowych Wartośćpoczątkowa uzależniona już tylko od identyfikatoru procesu (32767 wartości) Kolejne liczby pseudolosowe w danym kontekście uzależnione są od poprzednio wylosowanych 22

23 Wyniki badań Kradzież tożsamości 23

24 Wykorzystanie błędu (1) Scenariusz 1 serwer wykorzystuje błędną wersję biblioteki. (Wykorzystanie faktu znajomości generacji liczb pseudolosowych przez serwer) Niemożliwa deszyfracja ruchu SSL do serwera korzystającego z błędnej biblioteki openssl Klient i serwer wspólnie generują mastersecret wykorzystywany w szyfrowaniu symetrycznym Brak przeglądarek korzystających z biblioteki openssl 24

25 Wykorzystanie błędu (2) Scenariusz 2 program generujący klucze wykorzystuje błędną wersję biblioteki. Możliwość wygenerowania kolizyjnych par kluczy prywatny-publiczny (x509,ssh) Możliwość odgadnięcia klucza prywatnego na podstawie wartości klucza publicznego wygenerowanego przez program korzystający z błędnej biblioteki kradzież tożsamości 25

26 Wykorzystanie błędu (3) Scenariusz 3 Serwer (oprogramowanie klienckie) korzysta z kluczy wygenerowanych przez program korzystający z błędnej biblioteki Możliwość odgadnięcia klucza prywatnego na podstawie wartości klucza publicznego znajdującego się w certyfikacie kradzież tożsamości Istnieje prawdopodobieństwo deszyfracji ruchu klient-serwer 26

27 Cel badania Ocena zagrożenia wynikającego z błędem Defensywne uzyskanie tożsamości serwera bądź klienta Pozyskiwanie kluczy prywatnych z danych zawartych w certyfikatach Wyszukiwanie słabych certyfikatów 27

28 Narzędzia (1) openssl-vulnkey Testowanie oparte na blacklistach (baza 80 mniej znaczących bitów sum SHA1 modułów) Testowanie wybranych typów kluczy (określony eksponent, rozmiar kluczy) Działa nadmiarowo wyniki false-positive!!! debian_ssh_scan Zdalny test serwerów ssh Testowanie wybranych typów kluczy (określony eksponent, rozmiar kluczy) baza pełnych sum SHA1 modułów > kluczy 28

29 Narzędzia (2) pcss-key-weryfikator Faktoryzacja modułu Baza liczb pierwszych (> liczb pierwszych wygenerowanych z użyciem błędnej biblioteki + baza liczb pierwszych < ) Możliwość wyznaczania klucza prywatnego na podstawie słabego klucza publicznego msieve Faktoryzator dużych liczb złożonych Inne narzędzia Przeglądarka internetowa, curl, openssl, bc 29

30 Kradzież tożsamości Baza certyfikatów Certyfikaty niekwalifikowane Zaufane Centrum Certyfikacyjne Polskie Powszechne Centrum Certyfikacji Certyfikaty pobrane poprzezwebowymechanizm wyszukiwania wystawionych certyfikatów 30

31 Długość klucza 31 Kompromitacja 3 miesiące NSA r

32 Typy certyfikatów Serwery https Połączenia SSL Bezpieczna poczta Znakowanie czasem Podpisywanie kodów Tunele IPSec 32

33 O=Internet Widgits PtyLtd 103 certyfikaty Kilka certyfikatów klasy 3 CN= certyfikaty Kto to weryfikuje? Ciekawe pola Subject C=Russia, CN=../ Address=.@ .co.yu Subject: C=PL, O=Microsoft, CN=Bolek i Lolek/ Address=.@wp.pl 33

34 Testy openssl-vulnkey Skompromitowane certyfikaty 199 Nieobsługiwany eksponent 45 Brak możliwości oceny 44 Brak danych o kluczach

35 Skradzione tożsamości Kompromitacja kluczy 512 bitowych Faktoryzacja modułu <3 miesiące Kompromitacja słabych kluczy 27 skradzionych tożsamości Wszystkie certyfikaty ważne Certyfikaty serwerów https, poczty internetowej Skuteczność openssl-vulnkey 13%! 35

36 Główne grzechy Użytkownicy / Administratorzy Brak aktualizacji oprogramowania na kluczowych stacjach Niedostateczna wiedza o tematyce związanej z PKI Developerzy Debian a Modyfikacja źródeł kluczowych bibliotek Błędne oprogramowanie testujące do wykrywania słabych kluczy Centra Certyfikacji Niejasna procedura weryfikacji żądań 36

37 Więcej informacji PKI RSA Błąd opublikowany

38 Dane kontaktowe Autorzy prezentacji Błażej Miga Gerard Frankowski Zespół Bezpieczeństwa PCSS WWW: Poznańskie Centrum Superkomputerowo-Sieciowe WWW: 38

39 Grafika za: 39

40 Pytania i dyskusja Dziękujemy za uwagę! 40