የኤስኤስኤች ግንኙነቶችን በመተንተን የRSA ቁልፎችን መፍጠር የሚያስችል ዘዴ አግኝተዋል

ተጋላጭነት

ጥቅም ላይ ከዋለ እነዚህ ጉድለቶች አጥቂዎች ያልተፈቀደ ሚስጥራዊነት ያለው መረጃ እንዲያገኙ ያስችላቸዋል ወይም በአጠቃላይ ችግር ይፈጥራሉ

ከጥቂት ቀናት በፊት። ዜናው ይፋ ሆነ un መሣሪያ የተመራማሪዎች ዴ ላ ዩኒቨርሲቲ ከካሊፎርኒያ በሳን ዲዬጎ የሚለውን አሳይቷል። Capacidad de እንደገና መፍጠርቁልፎች RSA አስተናጋጅ የግል a አገልጋይ ኤስኤስኤች ትንታኔው የማይታለፍ የኤስኤስኤች ትራፊክ.

የታተመው ጥናት አሳይ ኡልቲማ መቼ ዲጂታል ፊርማዎች ጥቅም ላይ ይውላሉ ላይ የተመሠረተ ስልተ ቀመር RSA በኤስኤስኤች ውስጥ፣ አንድ ላይ ያገናኛቸዋል።ኡልቲማየላቲስ ዘዴን የሚጠቀሙ (ስህተት ጥቃት) ምዕራፍ እንደገና መፍጠር la ቁልፍ የግል RSA የእርሱ ተስማሚ ምዕራፍ ውስጥ ዲጂታል ፊርማዎች ጉዳይ de አንድ falla de ሶፍትዌር ወይም ሃርድዌር በፊርማ ስሌት ሂደት ውስጥ. የ ንጥረ ነገር ዘዴው ነው። ኡልቲማ al አነፃፅር ትክክለኛ እና የተሳሳቱ የ RSA ዲጂታል ፊርማዎች, ይችላሉ ወሰን ትልቁ የጋራ ተበታተነ, በዚህም በማመንጨት እሺ ጥቅም ላይ የዋሉ ዋና ቁጥሮች ምዕራፍ አመንጭ la ቁልፍ.

የ RSA ምስጠራ በብዙ ቁጥር አባባሎች አሠራር ላይ የተመሰረተ ነው, የአደባባይ ቁልፍ ሞጁሉን እና ዲግሪውን ይይዛል. ሞጁሉ የተገነባው ከሁለት የዘፈቀደ ዋና ቁጥሮች ነው, ይህም የግላዊ ቁልፍ ባለቤት ብቻ ነው የሚያውቀው. ጥቃቱ የቻይንኛ ቀሪ ንድፈ ሃሳብ እና እንደ PKCS#1 v1.5 ባሉ ቆራጥ የፓዲንግ እቅዶች በመጠቀም በአርኤስኤ አተገባበር ላይ ሊተገበር ይችላል።

በአገልጋዮች ላይ ጥቃት ሊፈጸም ይችላል። በሁኔታዎች ወይም በአጥቂው ድርጊት ምክንያት፣ የኤስኤስኤች ግንኙነት ሲመሰርቱ በዲጂታል ፊርማ ስሌት ወቅት ውድቀቶች ሊከሰቱ ይችላሉ። ውድቀቶች ሶፍትዌሮች ሊሆኑ ይችላሉ (የተሳሳተ የሂሳብ ስራዎች አፈፃፀም ፣ የማስታወሻ ብልሹነት) ወይም ሃርድዌር (በNVRAM እና DRAM አሠራር ውስጥ ያሉ ስህተቶች ወይም በኤሌክትሪክ መቋረጥ ወቅት አለመሳካቶች)።

ውድቀቶችን ለማነቃቃት ካሉት አማራጮች አንዱ የ RowHammer ክፍል ጥቃቶች ሊሆን ይችላል።ከሌሎች ነገሮች መካከል የትኛውን? በርቀት ይፈቅዳል ወይም የጃቫ ስክሪፕት ኮድ በአሳሽ ውስጥ ሲሰራ የግለሰባዊ ማህደረ ትውስታ ቢት ይዘትን ማዛባት ከጎረቤቶች የተገኘ መረጃን በጥልቀት በሚነበብበት ጊዜ። የማስታወሻ ሴሎች. ሌላው ለውድቀት መንስኤ የሚሆነው የተጋላጭነት ብዝበዛ እና የማህደረ ትውስታ ቁልፎችን የያዘ የመረጃ መበላሸት ሊሆን ይችላል።

ጥቃትን ለመፈጸም ከኤስኤስኤች አገልጋይ ጋር ህጋዊ ግንኙነቶችን በቅንነት መከታተል በቂ ነው። በትራፊክ ውስጥ የተሳሳተ ዲጂታል ፊርማ እስኪታወቅ ድረስ፣ ይህም የRSA የግል ቁልፍ መልሶ ለመገንባት እንደ የመረጃ ምንጭ ሆኖ ሊያገለግል ይችላል። የአስተናጋጁን አርኤስኤ ቁልፍ ከፈጠረ በኋላ አጥቂ የ MITM ጥቃትን ተጠቅሞ ጥያቄዎችን ወደ የውሸት አስተናጋጅነት እንደ የተበላሸ የኤስኤስኤች አገልጋይ አድርጎ ለማቅረብ እና ወደዚህ አገልጋይ የሚተላለፈውን መረጃ ለመጥለፍ ይችላል።

ከኤስኤስኤች ፕሮቶኮል አጠቃቀም ጋር የተያያዙ በግምት 5200 ቢሊዮን መዝገቦችን ያካተተ የተጠለፈ የአውታረ መረብ መረጃን በመመርመር፣ ተመራማሪዎች በኤስኤስኤች ክፍለ ጊዜዎች ድርድር ወቅት ወደ 3200 ቢሊዮን የሚጠጉ የህዝብ አስተናጋጅ ቁልፎችን እና ዲጂታል ፊርማዎችን ለይተዋል። ከእነዚህ ውስጥ 1.200 ቢሊዮን (39,1%) የተፈጠሩት RSA ስልተ-ቀመርን በመጠቀም ነው።

የተመራማሪዎች ቡድን የሚከተለውን ይጠቅሳል፡-

በ 593671 ጉዳዮች (0,048%) የ RSA ፊርማ ተበላሽቷል እና ሊረጋገጥ አልቻለም ፣ ለ 4962 ያልተሳካ ፊርማዎች ፣ ከታወቀ የህዝብ ቁልፍ የግል ቁልፍን ለመለየት የላቲስ ፋክቴሽን ዘዴን መጠቀም ችለናል ፣ ይህም 189 ልዩ አርኤስኤ እንደገና እንዲገነባ ተደርጓል ። የቁልፍ ጥንዶች (በብዙ አጋጣሚዎች፣ ተመሳሳይ ያልተሳኩ ቁልፎች እና መሳሪያዎች የተለያዩ የተበላሹ ፊርማዎችን ለመፍጠር ጥቅም ላይ ውለው ነበር)። ቁልፎቹን እንደገና ለመፍጠር ወደ 26 ሲፒዩ ሰአታት ወስዷል።

ጉዳዩ የኤስኤስኤች ፕሮቶኮል አተገባበርን ብቻ ነው የሚነካው። በዋናነት በተገጠሙ መሳሪያዎች ውስጥ ጥቅም ላይ ይውላል. በተጨማሪም OpenSSH በዚህ ችግር እንደማይጎዳው ተጠቅሷል ምክንያቱም የ OpenSSL (ወይም LibreSSL) ላይብረሪ የሚጠቀመው ቁልፎችን ለማመንጨት ነው ይህም ከ2001 ጀምሮ ከተሳሳተ ጥቃቶች የተጠበቀ ነው።

በተጨማሪም፣ በOpenSSH፣ የssh-rsa ዲጂታል ፊርማ እቅድ (በ sha1 ላይ የተመሰረተ) ከ2020 ጀምሮ ተቋርጧል እና በስሪት 8.8 ላይ ተሰናክሏል (ለ rsa-sha2-256 እና rsa-sha2-512 መርሃግብሮች ድጋፍ ይቀራል)። ጥቃቱ በIPsec ፕሮቶኮል ላይ ተፈጻሚ ሊሆን ይችላል፣ ነገር ግን ተመራማሪዎቹ እንዲህ ያለውን ጥቃት በተግባር ለማረጋገጥ የሚያስችል በቂ የሙከራ መረጃ አልነበራቸውም።

በመጨረሻም, ስለእሱ የበለጠ ለማወቅ ፍላጎት ካሎት, በ ውስጥ ዝርዝሮችን ማማከር ይችላሉ የሚከተለውን አገናኝ.


አስተያየት ለመስጠት የመጀመሪያው ይሁኑ

አስተያየትዎን ይተው

የእርስዎ ኢሜይል አድራሻ ሊታተም አይችልም. የሚያስፈልጉ መስኮች ጋር ምልክት ይደረግባቸዋል *

*

*

  1. ለመረጃው ኃላፊነት ያለው: ሚጌል Áንጌል ጋቶን
  2. የመረጃው ዓላማ-ቁጥጥር SPAM ፣ የአስተያየት አስተዳደር ፡፡
  3. ህጋዊነት-የእርስዎ ፈቃድ
  4. የመረጃው ግንኙነት-መረጃው በሕጋዊ ግዴታ ካልሆነ በስተቀር ለሶስተኛ ወገኖች አይተላለፍም ፡፡
  5. የውሂብ ማከማቻ በኦክሴንትስ አውታረመረቦች (አውሮፓ) የተስተናገደ የውሂብ ጎታ
  6. መብቶች-በማንኛውም ጊዜ መረጃዎን መገደብ ፣ መልሰው ማግኘት እና መሰረዝ ይችላሉ ፡፡