هجوم مارفن، هجوم تكسير RSA يعتمد على الوقت

خلال مؤتمر ESORICS 2023 (الندوة الأوروبية حول أبحاث أمن الحاسوب) والتي عقدت في الفترة من 25 إلى 29 سبتمبر في هولندا، باحث أمني الذي يعمل لدى ريد هات، عرض "هجوم مارفن"، تقنية هجوم والذي يسمح بتحديد البيانات الأصلية عن طريق قياس التأخير أثناء العمليات فك التشفير على أساس خوارزمية RSA.

هجوم مارفن, إنها نسخة مختلفة من طريقة بليشنباخر، التي تم اقتراحها في عام 1998، ويواصل تطوير هجمات ROBOT وNew CAT المنشورة في عامي 2017 و2019.

يعد هجوم Marvin بمثابة عودة لثغرة أمنية عمرها 25 عامًا تسمح بتنفيذ عمليات التوقيع وفك التشفير بواسطة RSA كمهاجم مع القدرة على مراقبة وقت عملية فك التشفير التي يتم إجراؤها باستخدام المفتاح الخاص فقط.

في عام 1998، اكتشف دانييل بليشنباخر أن رسائل الخطأ المقدمة من خوادم SSL للأخطاء في حشوة PKCS #1 v1.5 مكنت من هجوم نص مشفر تم اختياره بشكل تكيفي؛ يكسر هذا الهجوم سرية TLS تمامًا عند استخدامه مع تشفير RSA. وفي عام 2018، أظهر هانو بوك، ويوراي سوموروفسكي، وكريغ يونغ، بعد 19 عامًا، أن العديد من خوادم الإنترنت لا تزال عرضة لتغيرات طفيفة في الهجوم الأصلي.

يذكر في الأساس أن جوهر الطريقة هو ذلك مهاجم، بناءً على ردود أفعال الخادم المختلفة وأوقات تنفيذ مختلفة، يمكن فصل كتل أوراكل الصحيحة وغير الصحيحة تمت إضافته باستخدام معيار PKCS #1 v1.5 لمحاذاة البيانات المشفرة على طول حدود الكتلة. من خلال معالجة المعلومات حول صحة كتل الحشو، يمكن للمهاجم استخدام القوة الغاشمة لإعادة إنشاء نص مشفر مناسب.

وفي هذه الحالة، لا يقوم الهجوم باستعادة المفتاح الخاص مباشرة، ولكنه يقوم فقط بفك تشفير النص. التشفير أو إنشاء رسالة موقعة وهمية. لتنفيذ هجوم ناجح، من الضروري إرسال عدد كبير جدًا من رسائل الاختبار لفك تشفيرها.

استخدام الهجوم على الخوادم TLS باستخدام التشفير استنادًا إلى مفاتيح RSA، يسمح للمهاجم بتخزين حركة المرور التي تم اعتراضها بشكل سلبي ثم فك تشفيرها. بالنسبة للخوادم التي تدعم PFS، يصبح تنفيذ الهجوم أكثر صعوبة ويعتمد النجاح على مدى سرعة تنفيذ الهجوم.

وبالإضافة إلى ذلك، تسمح الطريقة بإنشاء توقيع رقمي وهمي الذي يتحقق من محتوى رسائل TLS 1.2 ServerKeyExchange أو TLS 1.3 شهادة التحقق من الرسائل المرسلة في مرحلة تبادل المفاتيح، والتي يمكن استخدامها لتنفيذ هجمات MITM لاعتراض اتصال TLS بين العميل والخادم.

يذكر أن الفرق بين الطريقة تم تقليل مارفن إلى أ تحسين التكنولوجيا لفصل البيانات الإضافية الصحيحة وغير الصحيحةوتصفية النتائج الإيجابية الخاطئة وتحديد تأخيرات الحساب بشكل أكثر دقة واستخدام قنوات خارجية إضافية أثناء القياس.

ومن الناحية العملية، تسمح الطريقة المقترحة بفك تشفير حركة المرور أو إنشاء التوقيعات الرقمية دون معرفة مفتاح RSA الخاص. ولاختبار إمكانية تطبيق الهجوم، تم نشر برنامج نصي خاص لفحص خوادم TLS وأدوات تحديد المشكلات في المكتبات.

المشكلة يؤثر على العديد من تطبيقات البروتوكول التي تستخدم RSA وPKCS. على الرغم من أن مكتبات التشفير الحديثة تحتوي على بعض الحماية ضد الهجمات المعتمدة على طريقة بليشنباخر، كشفت الدراسة أن المكتبات لديها قنوات تسرب مفتوحة ولا توفر وقت معالجة ثابتًا للحزم المملوءة بشكل صحيح وغير صحيح. على سبيل المثال، لا يرتبط تنفيذ Marvin لهجوم GnuTLS بالتعليمات البرمجية التي تنفذ مباشرة الحسابات المتعلقة بـ RSA، ولكنه يستخدم أوقات تشغيل مختلفة للتعليمات البرمجية التي تقرر ما إذا كان سيتم عرض رسالة خطأ معينة أم لا.

يعتقد مؤلف الدراسة أيضًا أن فئة الثغرات الأمنية التي تم النظر فيها لا تقتصر على RSA وقد تؤثر على العديد من خوارزميات التشفير الأخرى التي تعتمد على المكتبات القياسية لحسابات الأعداد الصحيحة.

ولتأكيد إمكانية تنفيذ هجوم Marvin عمليًا، أثبت الباحث إمكانية تطبيق الطريقة على التطبيقات المعتمدة على مكتبات M2Crypto وpyca/cryptography، والتي كانت فيها بضع ساعات كافية لاختراق التشفير من خلال إجراء تجربة على كمبيوتر محمول متوسط.

أخيرًا ، إذا كنت مهتمًا بأن تكون قادرًا على معرفة المزيد عنها ، فيمكنك الرجوع إلى التفاصيل في الرابط التالي.