Коллектив авторов - Защита от хакеров корпоративных сетей

Ошибки хранения частных или секретных ключей

Предположим, что вами используются надежные криптографические алгоритмы, инструментальные средства производителей проверены на отсутствие ошибок реализации и при генерации ключей соблюдены все меры предосторожности. Безопасны ли ваши данные? Их безопасность определяется безопасностью частного или секретного ключей. Безопасность этих ключей должна быть гарантирована любой ценой. В противном случае нет смысла в шифровании данных.

Поскольку ключи – обычные данные, то, как правило, они хранятся где-нибудь в файле на жестком диске вашей системы. Например, секретные ключи протокола SSH-1 запоминаются в файле идентификации, размещенном в поддиректории. ssh домашней директории пользователя. Если файловая система позволяет всем читать этот файл, то пароли могут быть скомпрометированы. Как только кто-нибудь завладеет секретным ключом, чтение зашифрованных сообщений станет тривиальным. (Отметим, что файл идентификации SSH используется для установления подлинности, а не для шифрования. Но идея понятна.)

В некоторых реализациях ключи могут быть скомпрометированы из-за невозможности обеспечения безопасности хранения данных в оперативной памяти (RAM). Как известно, обработка любой информации, в том числе секретных или частных ключей, так или иначе затрагивает оперативную память компьютера. Если ядро операционной системы не хранит эти ключи в защищенной области памяти, то, вероятно, ими можно завладеть, переписав образ оперативной памяти в файл и проанализировав его на досуге. Такие файлы в UNIX называются дампом памяти, или разгрузкой оперативной памяти (core dumps). Обычно они создаются во время атак, направленных на достижение отказа в обслуживании (DoS-атак). В результате DoS-атаки при исчерпании оперативной памяти ее образ вместе с ключами переписывается в виртуальную память на диске. Таким способом удачливый хакер сможет вынудить систему выдать дамп памяти и извлечь ключи из образа памяти. К счастью, к настоящему времени об этом знает большинство разработчиков и на практике это встречается все реже, потому что сейчас ключи хранятся в защищенной области памяти.

Инструментарий и ловушки…

Реализация компанией Netscape оригинального протокола SSL: как избежать выбора случайных чисел

В этой секции попытаемся объяснить, почему иногда хороший криптографический алгоритм не обеспечивает необходимой безопасности. При неправильном использовании алгоритма возможны бреши в системе защиты. Это хорошо иллюстрирует некорректный выбор начального числа при генерации псевдослучайных чисел в реализации протокола защищенных сокетов SSL (SSL – Secure Sockets Layer) браузера Netscape версии 1.1 (SSL – протокол, гарантирующий безопасную передачу данных по сети. Комбинирует криптографическую систему с открытым ключом и блочное шифрование данных). Без всякого сомнения, читатель знает, что этому недостатку безопасности браузера несколько лет и поэтому сегодня его значение сильно ограничено. За внешним проявлением этого специфического недостатка скрывается классический пример того, как и поныне разработчики программ ухудшают криптографические алгоритмы. Поэтому его разбор уместен и в настоящее время. Несмотря на аналогичную уязвимость протокола SSL для PC и Macintosh, в книге будет рассмотрена найденная Ианом Голдбергом (Ian Goldberg) и Дэвидом Вагнером (David Wagner) уязвимость UNIX-версии протокола SSL компании Netscape.

Перед рассмотрением сути этой уязвимости следует осветить некоторые второстепенные вопросы технологии SSL и генерации случайных чисел. SSL – это сертифицированная система аутентификации и шифрования, разработанная Netscape во времена неоперившейся электронной коммерции. Она предназначалась для защиты коммуникаций, например транзакций сделок по кредитной карточке, от прослушивания потенциальными ворами. Более криптостойкая и практически не вскрываемая версия протокола со 128-битными ключами не получила широкого распространения в мире из-за экспортных ограничений США. Фактически даже внутри США большинство пользователей Netscape имели дело со слабой международной версией программы с 40-битовыми ключами.

В большинстве случаев для генерации ключей, включая генерацию ключей протокола SSL, применяется одна из разновидностей случайных процессов. Сгенерировать на компьютере последовательность случайных чисел сложнее, чем научить его говорить. Поэтому на практике обычно используются псевдослучайные числа, которые получают в результате обработки интервалов времени между нажатиями клавиш клавиатуры при вводе информации или координат курсора мыши при его перемещении на экране монитора.

Для версии браузера Netscape версии 1.1 для UNIX была использована следующая совокупность величин: текущее время, идентификаторы (PID) процесса и его родителя. Предположим, что злоумышленник и пользователь Netscape одновременно получили доступ к машине, что является нормой для многопользовательской архитектуры UNIX-систем. Для злоумышленника не составит особого труда просмотреть список процессов на машине и определить PID процесса Netscape и PID его родителя. Если злоумышленник сможет перехватить поступающие в компьютер пакеты TCP/IP и прочитать отметки времени в заголовках пакетов, то он сможет вполне точно узнать время генерации сертификата по протоколу SSL. Перечисленных сведений хватит для уменьшения ключевого пространства приблизительно до 10 6 комбинаций, среди которых найти ключ методом «грубой силы» достаточно просто даже в почти реальном масштабе времени. После определения начального числа генерации псевдослучайных чисел, используемых для построения сертификата по протоколу SSL компании Netscape, злоумышленник сможет сначала сгенерировать аналогичный сертификат для себя, а затем прослушать или похитить текущую сессию.

Очевидно, что рассмотренное – серьезная ошибка нарушения безопасности, которую Netscape обязана была исправить в последующих версиях, что и было сделано. Netscape выпустила патчи для браузеров версий 1.x и разработала совершенно новый генератор случайных чисел для браузеров версии 2.x. Детальнее об этом специфическом недостатке браузера можно узнать в архиве журнала доктора Добба по адресу www.ddj.com/documents/s=965/ddj9601h.

Любительская криптография

Если данные не защищены современным криптографическим алгоритмом, ранее рассмотренным в этой главе или ему аналогичным, то скорее всего данные в опасности. В этой секции будет показано, как простые методы шифрования могут быть взломаны в результате применения элементарных методов криптоанализа.

Классификация зашифрованного текста

Даже плохо зашифрованное сообщение часто выглядит непонятным на первый взгляд. Но иногда можно расшифровать сообщение, анализируя не только напечатанные символы. Часто то, что можно прочитать между строк в отрытом сообщении, сохраняется и в зашифрованном.

Ниже рассмотрены алгоритмы шифрования, безопасность которых определяется алгоритмом, а не секретным ключом. Для прочтения зашифрованного таким алгоритмом сообщения нужно взломать его. В большинстве случаев взлом алгоритма подразумевает преобразование ключа или открытого текста в соответствии с алгоритмом, который доступен исследователю в виде программы или «черного ящика». Управляя входными данными и анализируя результаты, можно определить алгоритм. Впоследствии, зная алгоритм, можно будет по произвольному результату (зашифрованному сообщению) определять входные данные (расшифрованное сообщение).

Примечание

Использование описанных в этой секции методов против современных криптографических алгоритмов типа DES и его преемников в большинстве случаев неэффективно. Те немногие методы, которые могут оказаться полезными для взлома современных криптографических алгоритмов, очень сложны и приводят к положительному результату только при соблюдении определенных условий.

Частотный анализ

Частотный анализ (frequency analysis) – наиболее эффективный и часто используемый метод расшифровки сообщений, зашифрованный простым алгоритмом. Он основан на том, что одни буквы в словах встречаются чаще, чем другие. Например, в английском языке трудно найти слово без буквы е. Каким образом, зная частоту букв, можно расшифровать сообщение? Для ответа на этот вопрос нужно выбрать достаточно большое зашифрованное сообщение и составить таблицу частоты встречаемости букв в словах, в которой будет указана частота использования каждой буквы. А затем сравнить полученную таблицу c аналогичной таблицей частоты использования букв языка, на котором было написано сообщение. В результате можно догадаться, какие буквы зашифрованного сообщения соответствуют буквам открытого текста.

Проницательный читатель обнаружит, что некоторые буквы появляются с почти одинаковой частотой. Как в этом случае определить букву? Для этого нужно или проанализировать все, что сопутствует появлению букв в сообщении (контекст сообщения), или воспользоваться таблицей частот сочетаний букв, например sh, ph, ie и the (в английском языке).