neprihlásený Nedeľa, 3. novembra 2024, dnes má meniny Hubert
Slováci objavili kritický svetový bezpečnostný problém, milióny RSA kľúčov sa dajú prelomiť

Značky: bezpečnosťSlovenskokryptografiakauza zraniteľných eID

DSL.sk, 16.10.2017


Pondelok 16. októbra bude navždy zapísaný v histórii počítačovej bezpečnosti ako čierny deň. Po zverejnení informácií o vážnom bezpečnostnom probléme vo WiFi protokole boli dnes zverejnené informácie o ďalšom mimoriadne vážnom bezpečnostnom probléme.

Na problém upozornili DSL.sk priamo samotní autori, ktorí problém objavili.

Na objavení tohto problému sa totiž podieľali slovenskí bezpečnostní experti z Masarykovej univerzity v Brne, Matúš Nemec, Marek Sýs a Dušan Klinec. Ďalšími členmi tímu sú Petr Švenda a Vašek Matyáš.

Slabé RSA kľúče

Problém je pomerne jednoduchý, populárne hardvérové kryptografické čipy od popredného výrobcu Infineon generujú slabé kľúče pre asymetrický šifrovací algoritmus RSA.

Môže za to knižnica použitá na týchto čipoch. Generované RSA kľúče majú špecifickú štruktúru, ktorá umožňuje pomerne ľahko zistiť z verejnej zložky RSA kľúča jeho privátnu zložku pomocou transformovanej Coppershmithovej faktorizácie.

Verejná časť RSA kľúča je z podstaty tohto algorimu často bežne skutočne sprístupnená verejnosti a problém tak umožňuje útočníkom získať privátne kľúče, ktoré umožňujú napríklad falšovať elektronické podpisy, prihlasovať sa, atď.

Technické detaily akú štruktúru majú kľúče zverejnia autori o dva týždne na konferencii ACM CCS.

Ktoré sú prakticky prelomené?

Na prelomenie takýchto kľúčov je potrebný pri faktorizácii ešte vysoký výpočtový výkon a miera praktického prelomenia závisí na dĺžke kľúča a cene za realizáciu potrebných výpočtov.

Bohužial sú reálne ale prelomiteľné aj 2048-bitové kľúče, ktoré sa dnes ešte bežne používajú. Na prelomenie takéhoto kľúča treba 140.8 rokov výpočtov na jednom jadre 3 GHz Intel Xeonu. Výpočty je možné úplne lineárne paralelizovať, teda tisíc jadrami je možné rýchlosti zvýšiť tisícnásobne.

Cena za prelomenie 2048-bitového RSA kľúča vygenerovaného zraniteľnými Infineon čipmi pri prenajatí serverov Amazonu je v najhoršom 40 tisíc dolárov, v priemernom prípade iba 20 tisíc dolárov.

Podľa infomácií Klinca pre DSL.sk autori pracujú navyše na zlepšenom útoku, ktorý by mohol náklady ešte redukovať.

U 1024-bitových kľúčov je potrebných 97 dní výpočtov a cena je od 40 do 80 dolárov, cena za prelomenie 512-bitových kľúčov je 6 amerických centov.

Prelomenie 4096-bitových kľúčov na druhej strane nie je praktické.

Prelomiteľnosť nie je len o dĺžke kľúča, efektívne sa dajú prelomiť kľúče len niektorých dĺžok, medzi nimi teda ale všetky najbežnejšie vrátane 2048 a 1024. Konkrétne sa problém prejavuje pri 512 až 704 bitoch, 992 až 1216 a 1984 až 2144 bitoch.

Experti prelomenie s reálnym kľúčom pre potrebný výpočtový výkon a náklady testovali len na kratších kľúčoch, v dĺžke kľúča ale principiálny rozdiel nie je, spravili syntetický test s veľkosťou 2048 bitov s vygenerovaným kľúčom, u ktorého hľadanie trvalo kratšie, a samozrejme okrem iného ich zistenia sú považované za správne aj samotným Infineonom a práca bola prijatá na prestížnu konferenciu ACM CCS 2017.

Čo má problém

Čipy Infineonu s týmto problémov sa vyrábajú od roku 2012 a sú použité v mnohých produktoch, napríklad v TPM moduloch na doskách notebookov a počítačov ale tiež v špecifických autentifikačných riešeniach ako niektoré verzie yubikey.

Autori už identifikovali 760 tisíc konkrétnych prelomiteľných kľúčov, ktoré sú prístupné ľahko verejne. Celkovo ale očakávajú minimálne podľa oznámenia stovky miliónov zraniteľných kľúčov.

Špeciálne vážnou oblasťou je použitie týchto čipov v rozličných smart kartách a identifikačných dokladoch. Problematický čip je napríklad použitý v nových elektronických občianskych eID v Estónsku vydaných od októbra 2014, ktorých je 750 tisíc.

Estónci majú na eID kľúče pre autentifikáciu aj podpis, oba sú 2048-bitové RSA a sú zraniteľné. V Estónsku majú dokonca verejný register verejných kľúčov, ktokoľvek s dostatočnými prostriedkami si tak môže vypočítať privátny kľúč pre osoby, na ktoré sa zameria.

Riešenie

Čo sa týka existujúcich kľúčov, ktoré boli alebo mohli byť generované zraniteľnými čipmi, v prvom rade je potrebné overiť či sú naozaj zraniteľné. Autori zverejnili nástroje, ktoré umožňujú overiť zraniteľnosť verejného RSA kľúča.

K dispozícii sú ako webové služby tak stiahnuteľný softvér, odkaz na ne je možné nájsť v oznámení.

Zraniteľný kľúč je samozrejme potrebné prestať používať.

Čo sa týka zariadení s týmto čipom, univerzálne riešenie nie je k dispozícii. Pre niektoré typy zariadení môžu byť k dispozícii aktualizácie, môže sa do nich importovať inde generovaný kľúč alebo sa môže začať používať iný typ kľúča podporovaného kartou, napríklad ECC.

Napríklad Estónsko podľa Klinca podľa posledných informácií prejde na ECC bez výmeny kariet, keď sa zneplatnia doterajšie certifikáty. Malo by sa to zrealizovať na diaľku.


      Zdieľaj na Twitteri



Najnovšie články:

Počet vrstiev flash pamäte sa zvýši nad 400 najneskôr v 2026, plánuje ju Samsung
Google mení spôsob vývoja Androidu, ďalší Android 16 príde už v prvej polovici 2025
Microsoft predĺži podporu Windows 10 o rok, za poplatok
Nvidia má údajne predstaviť CPU pre PC v septembri 2025
Demonštrovaná elektrická verzia pôsobivého dvojnohého robota Atlas


inzercia



Diskusia:
                               
 

Dobrá práca, redakcia, dobrá práca, Klinec!
Odpovedať Známka: 6.5 Hodnotiť:
 

Niekto udrel Klinec po hlavičke...
Odpovedať Známka: 3.6 Hodnotiť:
 

zaklincoval RSA kluc
Odpovedať Známka: 5.3 Hodnotiť:
 

skor zavesil kluc na klinec.
Odpovedať Známka: 4.6 Hodnotiť:
 

Nový BTC exchange...najlepší čas nakúpiť shares KCS ;-)

https://www.kucoin.com/#/signup?r=E2YuLX

Toto bude veľké....
Odpovedať Známka: -5.1 Hodnotiť:
 

ja neviem, ja mam dobre skusenosti s FAB klucami ... neviem kolko maju bytov...
Odpovedať Známka: 6.3 Hodnotiť:
 

Ty chod radsej dopice.sk , hej?
Odpovedať Známka: -6.7 Hodnotiť:
 

dopizzerie.sk
Odpovedať Známka: 6.5 Hodnotiť:
 

Presne sme sa bavili tu v diskusii s jedným týpkom, ktorý mi tvrdil, že je to z princípu neprelomiteľné. Diky za článok chalani.
Odpovedať Známka: 5.3 Hodnotiť:
 

Poznamka pre na ine vedne odbory orientovanych expertov:
Kluce priekazne neboli prelomene z princípu.
Odpovedať Známka: 3.1 Hodnotiť:
 

- RSA je zalozene na probleme faktorizacie - co pokial viem nieje dokazane, ze by bolo NP uplne (tj. prakticky neprelomitelne)
- na druhu stranu tento clanok nehovori o probleme v samotnom RSA ale len o jednej jeho implementacii (Infineon)
Odpovedať Známka: 8.5 Hodnotiť:
 

To mas recht, algoritmus faktorizacie s polynomialnou zlozitostou pre klasicke pocitace este nikto nenasiel a co je najhorsie nevieme ci existuje, takze ani nevieme ako sa mame snazit hladat ho.

Pre (uplné, pravé) kvantove pocitace existuje vraj algoritmus s kubickou zlozitostou, takze potom by to bolo (tak ako je to v dnesnej podobe) v prdeli a uz sa zacali hladat algoritmy sifrovania odolne aj kvantovym pocitacom.
Odpovedať Známka: 7.5 Hodnotiť:
 

Predmetny algoritmus s kubickou zlozitostou je mozne jednoducho transformovat aj na neuroprocesory novych iphonov ci Mate 10, takze priekazne hladat ani netreba.
Odpovedať Známka: 0.9 Hodnotiť:
 

Ten niekto sa vobec nemylil, zrejme nechapes co znamenaju pojmy VO VSEOBECNOSTI resp. PRINCIPIALNE.

Ako bolo napisane, jedna sa o konkretnu implementaciu konkretneho vyrobcu a teda specialitu, t.j. ze verejne kluce maju iste (spolocne, slabe) vlastnosti vdaka ktorym je mozne nasadit specialne metody faktorizacie.

Je to asi jak hladanie Mresennovych prcovisel: maju specilany tvar a preto sa na testovanie ich prvociselnosti mozu pouzit specialne pravidla a vypocty urychlujuce vypocet googolplex-nasobne. VO VSEOBECNOSTI JE ABSOLUTNE NAD NASE MOZNOSTI TESTOVAT PRVOCSELNOST nejakeho 30000000-cifirneho cisla. Detto VO VSEOBECNOSTI JE ESTE NAD NASE MOZNOSTI FAKTORIOVAT 2048 bitove cislo.
Odpovedať Známka: 4.7 Hodnotiť:
 

PIČUS a jeho múdrosti.
Odpovedať Známka: -6.2 Hodnotiť:
 

KOKOT a jeho picoviny
Odpovedať Známka: 1.8 Hodnotiť:
 

ma pravdu...

nic to nezmeni ked ho nazves picusom. mudrosti to niesu, je to bezna vedomost ludi ktory sa tomu venuju.

kedze ty sa doma venujes hajlovaniu a bozkavaniu ruskeho kotletu tak to je tvoj problem.
Odpovedať Známka: 7.3 Hodnotiť:
 

Prdlajs. Neschopnost je priekazne nedelegovatelna uz zo samej podstaty sucna.
Odpovedať Známka: -0.9 Hodnotiť:
 

No ktory z nich je to ten lenivec co to crackol z telefonu ?
Odpovedať Známka: 6.0 Hodnotiť:
 

Zase nezvelicujte a nezavadzajte, tyka sa to konretneho problemu nejakeho hw co mal chybu v generovani nahodnych privatnych klucov, nieco ako bola chyba v jave pri generovani kluca pre bitcoin. Pri uplne nahodnom vygenerovanie privatneho kluca, napriklad ze si kazdy bit hodite mincov to v ziadnom pripade nijake riziko nehrozi a to je fakt.
Odpovedať Známka: 0.8 Hodnotiť:
 

Takto mozno rozmyslali aj v Infineone a ako to dopadlo :D Su aj lepsie sposoby
Odpovedať Známka: 6.8 Hodnotiť:
 

O čom to rozprávate, kto zavádza a ako?
Odpovedať Známka: 3.1 Hodnotiť:
 

fight!.. fight!.. fight!
Odpovedať Známka: 10.0 Hodnotiť:
 

..
Odpovedať Známka: -2.0 Hodnotiť:
 

DSL.sk underground basta svetovych expertov
Odpovedať Známka: 8.4 Hodnotiť:
 

expert na expertovi...
Odpovedať Známka: 8.3 Hodnotiť:
 

Viacerych odtialto hned naverbovala NASA, lebo v komentari poukazali na vazne nedostatky v niektorych tvrdeniach, postupoch, ...
Odpovedať Známka: 8.0 Hodnotiť:
 

NASA? :D
pre bezpecnejsi let na Mars?
Odpovedať Známka: 7.8 Hodnotiť:
 

od rychlejsieho sposobu tlacenia vo velkom kancli, cez navigacie lodky po mori az raketovymi motormi pre spacex a v neposlednom rade letmi na mars konciac, siroky zaber maju tunajsi experti. ako to bolo,ze "priekazne"?
Odpovedať Známka: 8.5 Hodnotiť:
 

Tak trochu v ma kozy aj janka
Odpovedať Známka: 7.5 Hodnotiť:
 

Zabudol si na široký úsmev.
Odpovedať Známka: 6.0 Hodnotiť:
 

Autori pracujú navyše na zlepšenom útoku, ktorý by mohol náklady ešte redukovať.
Odpovedať Známka: 8.2 Hodnotiť:
 

Chcu krekovat nejake privatne rsacky a este su aj slavny, no nekup to
Odpovedať Hodnotiť:
 

Preco ked davate aplikaciu na Apple App Store a je aj pre US market tak to od vas chce aby ste americkemu gouvermentu poslali ssl certifikat? WTF???
Odpovedať Známka: 4.7 Hodnotiť:
 

Cierny den pre citatelov DSL.sk by bolo keby sa Janka vzdala mandatu maskota DSL.sk a prijala by ponuku maskota niekde inde. Co sa kryptovania tyka necitime sa v ohrozeni lebo ak by to tak bolo tak uz by sme na to davno prisli ako prvi.
Odpovedať Známka: 8.1 Hodnotiť:
 

Janka dnes ide na pedikuru ku kamosovej manzelke :)
Odpovedať Známka: 7.3 Hodnotiť:
 

Dnes je teda historický deň v počte historických zápisov.
Odpovedať Známka: 8.2 Hodnotiť:
 

a to este den neskoncil :)
Odpovedať Známka: 7.5 Hodnotiť:
 

Wifi WPA 2 uz dnes prelomili, RSA tiez este cakam na ECDSA ... bude aj to?
Odpovedať Známka: 8.8 Hodnotiť:
 

A ja dnes v robote prelomím F kľúč...!
Odpovedať Známka: 10.0 Hodnotiť:
 

Este tak prelomit pakluc alebo klucnu kost a ludstvo bude na pokraji chaosu a vecneho utratenia
Odpovedať Známka: 10.0 Hodnotiť:
 

ja dnes doma zlomim huslovy kluc ...
Odpovedať Známka: 8.5 Hodnotiť:
 

kua ale číňania ich majú aké vznešené..???! ci boha!
http://dopice.sk/knR
70 doláčov aj s dopravou..no nekup to!
Odpovedať Známka: 10.0 Hodnotiť:
 

Gratulujem slovenskym obcanom v zahranici za takyto krasny objav a...
... dufam ze sa dozijem doby, ked slovaci na slovensku objavia ten najvyssi bezpecnostny problem.. a uspesne ho odstrania...
Odpovedať Známka: 8.1 Hodnotiť:
 

Najvacsi problem pri bezpecnosti je clovek. Urcite chces vsetkych ludi odstranit?
Odpovedať Známka: 10.0 Hodnotiť:
 

ano / nie / kancel
Odpovedať Známka: 10.0 Hodnotiť:
 

to znamená čo?...tlačiť?
ano/nie/v kancli ???
Odpovedať Známka: 7.5 Hodnotiť:
 

ano/nie/tlač cez wifi
Odpovedať Známka: 7.1 Hodnotiť:
 

Marek Sýs (ak si spravne pamatam a je to on) ma ucil na FEI STU programovacie techniky a pocitacovu grafiku, takze myslim si, ze nie vsetci pracuju len v zahranici
Odpovedať Známka: 6.0 Hodnotiť:
 

som raz tiež prelomil 1klúč, - od trocigy, - bycygla, od zámky)

(som museuv potom donýst pilku na železo, so zubkami, malinkýma, a prepiyžlykat to,
inak by som musev ist z Trenčína do Píščan pešy! :o :[ :<
Odpovedať Známka: -5.0 Hodnotiť:
 

Super, aspon nejaky uspech nasich ludi. Len zacinam odpocitavat kedy hranol pojde najist "stratenych synov" do brna, generator nahodnych klucov si ich vycapi na urad vlady a Kiska cvakne foto na svoj fejsbuuk. A vsetci sa budu potlapkavat ake je to slovensko svetove a ako oni k tomu dopomohli.
Odpovedať Známka: 8.3 Hodnotiť:
 

( @Pietro) ..aj ked, najvačšia sranda, a otázka za všechny haliere, by bola, či už náhodou nemajú nejaké tie 3-písmenkové organizácie ten ~~ kvant.calculator, comp. už nejakú tú dobu v operačnom nasadení..

(co je vec, kt. by len tak neoznamovali na tlacovke (ne najmenej nabližších 30 - 60 rokov.. )

njj, viem, otázka je, co je to vubec takový "kvant.počítač, - povedzme, že je ich nekolkik ..typov, resp. stupnov (podobne jako u AI, abo autonomních vozů.. - niekolko ..levelov, /generácií.. )

..ale také úplne najzákladnejšie, "zárodky Q.C, by už mohli mat (ted, abo už nejaký ten pátek, - abo v najbližšom čase, v blízkej budúcnosti) na nekterém pískovišti - typujem čína, /Izrael, /Nippon, /usa..

nj, *Japan Ist Weit, zum weit..
tí už majú natuty kvant.pc, tohto času nejvíc ..wide-ranged, at most versatile, (as most universal as it can be, as is possible today (& tomorrow..

Odpovedať Známka: -7.1 Hodnotiť:
 

Aky je to ECC kluc? kolko ma bitov a aku silu v porovani s RSA2048, za predpokladu, ze ten RSA nie je zranitelny?
Odpovedať Známka: 3.3 Hodnotiť:
 

UTFG: "ECC Cryptography"
"RSA vs ECC"

Odpovedať Známka: 10.0 Hodnotiť:
 

Ecliptic Curve, s mensou velkostou kluca by mali mat vyssiu bezpecnost nez RSA.
Odpovedať Známka: 10.0 Hodnotiť:
 

nie náhodou *eliptic, "eliptické
(elipsa)

tiež podobne *Mersennove.. (prvočísla

"Mersen
Odpovedať Hodnotiť:
 

Nový BTC exchange...najlepší čas nakúpiť shares KCS ;-)

https://www.kucoin.com/#/signup?r=E2YuLX

Toto bude veľké....
Odpovedať Známka: -10.0 Hodnotiť:
 

pal do PC spammer aj s tvojim referal kodom.
kazdy ma chut kupovat BTC na zacinajucich BTC exchange, urcite :D

Odpovedať Známka: 10.0 Hodnotiť:
 

Hehe a kedy chceš kupovať ked budeú 500$/ks? Tak to fakt do toho nechoď ;-)
Odpovedať Známka: -10.0 Hodnotiť:
 

Črtá sa tu ďalší zápis do histórie.
Odpovedať Známka: 10.0 Hodnotiť:
 

Len tak uvažujem...
Napodobenie elektronického podpisu, ak poznám verejný kľúč by ma stálo cca 20-40 tisíc...

Koľko by ma stálo naučiť sa ručný podpis, keď poznám jeho verejnú podobu (kdesi hocikde na listine)?
Odpovedať Hodnotiť:
 

Podpis je uzko spaty s identitou osoby cize podpis sa naucis identitu mas svoju cize nesfalsujes nic.
Odpovedať Hodnotiť:
 

Text vyznieva tak, ze "dalsi clenovia" Petr Svenda a Vasek Matyas su len do poctu. Pravda je vsak taka, ze oni dvaja su hlavy CROCSu - laboratoria kryptografie, a teda aj veduci tohoto projektu, spolu s Marekom Sysom.
Odpovedať Hodnotiť:
 

Súhlasím, nadpis nie je správny.
https://crocs.fi.muni.cz/ public/papers/rsa_ccs17#team
Odpovedať Hodnotiť:
 

neexistuje americka sifra ktora je k dispozicii a nieje prelomitelna!
Odpovedať Hodnotiť:

Pridať komentár