Ако бъдат използвани, тези пропуски могат да позволят на нападателите да получат неоторизиран достъп до чувствителна информация или като цяло да причинят проблеми
Преди няколко дни. Новината беше съобщена, че un EQUIPO на изследователи де ла Университет от Калифорния в Сан Диего е показал капацитет de пресъздайте на claves RSA хост частен от сървъра SSH чрез Анализът пасивен на SSH трафик.
Публикуваното изследване шоу че когато се използват цифрови подписи базирани на алгоритъм RSA в SSH ги свързвачеs, които използват метода Lattice (Атака при грешка) за пресъздайте la нацепи частен RSA негов подходящ за цифрови подписи в случай de Una Фала de софтуер или хардуер по време на процеса на изчисляване на подписа. The същност на метода е че al сравнение правилни и неправилни RSA цифрови подписи, можете determinar най-голямата обща делител, като по този начин генерира Uno от използваните прости числа за generar la нацепи.
RSA криптирането се основава на операцията за степенуване на голямо число, докато публичният ключ съдържа модула и степента. Модулът се формира от две произволни прости числа, които само собственикът на частния ключ знае. Атаката може да се приложи към реализации на RSA, като се използва китайската теорема за остатъка и детерминистични схеми за подпълване, като PKCS#1 v1.5.
Атака може да бъде извършена върху сървъри при които поради съвкупност от обстоятелства или действия на нападателя, Възможно е да възникнат грешки по време на изчисляване на цифровия подпис при установяване на SSH връзка. Повредите могат да бъдат софтуерни (неправилно изпълнение на математически операции, повреда на паметта) или хардуерни (грешки в работата на NVRAM и DRAM или повреди по време на прекъсване на захранването).
Една от опциите за стимулиране на провалите може да бъде атаките от клас RowHammer, което наред с други неща, позволява дистанционно или при обработка на JavaScript код в браузър постигане на изкривяване на съдържанието на отделните битове на паметта по време на интензивно циклично четене на данни от съседи. клетки с памет. Друг вариант за причиняване на грешки може да бъде използването на уязвимости, които причиняват препълване на буфера и повреда на данни с ключове в паметта.
За да извършите атака, е достатъчно пасивно да наблюдавате легитимните връзки към SSH сървъра докато в трафика не бъде идентифициран дефектен цифров подпис, който може да се използва като източник на информация за възстановяване на RSA частния ключ. След като пресъздаде RSA ключа на хоста, нападателят може да използва MITM атака, за да пренасочи тихо заявки към фалшив хост, който се представя за компрометиран SSH сървър и да прихване данни, предадени на този сървър.
Чрез изследване на колекция от прихванати мрежови данни, включваща приблизително 5200 милиарда записа, свързани с използването на SSH протокола, изследователите идентифицираха приблизително 3200 милиарда публични хост ключове и цифрови подписи, използвани по време на договарянето на SSH сесии. От тях 1.200 милиарда (39,1%) са генерирани с помощта на алгоритъма RSA.
Групата изследователи споменава, че:
В 593671 случая (0,048%) RSA подписът беше повреден и не можеше да бъде проверен, докато за 4962 неуспешни подписа успяхме да използваме метода на решетъчна факторизация, за да определим частния ключ от известния публичен ключ, което доведе до възстановяване на 189 уникални RSA двойки ключове (в много случаи едни и същи неуспешни ключове и устройства са използвани за генериране на различни повредени подписи). Пресъздаването на ключовете отне приблизително 26 CPU часа.
Проблемът засяга само конкретни реализации на SSH протокола, използва се главно във вградени устройства. Освен това се споменава, че OpenSSH не е засегнат от този проблем, тъй като използва библиотеката OpenSSL (или LibreSSL) за генериране на ключове, която е защитена срещу атаки с пропуски от 2001 г. насам.
Освен това в OpenSSH схемата за цифров подпис ssh-rsa (базирана на sha1) е остаряла от 2020 г. и е деактивирана във версия 8.8 (поддръжката за схемите rsa-sha2-256 и rsa-sha2-512 остава). Атаката потенциално може да бъде приложима към протокола IPsec, но изследователите не разполагат с достатъчно експериментални данни, за да потвърдят такава атака на практика.
И накрая, ако се интересувате да можете да научите повече за това, можете да се консултирате с подробностите в следваща връзка.