몇일 전에 Donjon의 출판물에 의해 엄청난 스캔들이 인터넷에 설정되었습니다. (보안 컨설팅) 기본적으로 "Kaspersky Password Manager"의 다양한 보안 문제에 대해 논의했습니다. 특히 암호 생성기에서 생성 된 모든 암호가 무차별 대입 공격에 의해 크랙 될 수 있음을 보여주었습니다.
보안 컨설턴트 Donjon이 그는 그것을 발견했다 2019 년 2020 월부터 XNUMX 년 XNUMX 월까지 Kaspersky Password Manager 몇 초 만에 크래킹 될 수있는 생성 된 암호. 이 도구는 암호화 목적에 적합하지 않은 의사 난수 생성기를 사용했습니다.
연구원들은 암호 생성기가 몇 가지 문제가 있었고 가장 중요한 것은 PRNG가 하나의 엔트로피 소스 만 사용했다는 것입니다. 간단히 말해 생성 된 암호는 취약하고 전혀 안전하지 않습니다.
“XNUMX 년 전에 Kaspersky가 개발 한 암호 관리자 인 Kaspersky Password Manager (KPM)를 검토했습니다. Kaspersky Password Manager는 암호와 문서를 암호화되고 암호로 보호 된 금고에 안전하게 저장하는 제품입니다. 이 금고는 마스터 비밀번호로 보호됩니다. 따라서 다른 암호 관리자와 마찬가지로 사용자는 모든 암호를 사용하고 관리하려면 하나의 암호를 기억해야합니다. 이 제품은 다양한 운영 체제 (Windows, macOS, Android, iOS, 웹…)에서 사용할 수 있습니다. 암호화 된 데이터는 모든 장치간에 자동으로 동기화 될 수 있으며 항상 마스터 암호로 보호됩니다.
“KPM의 주요 기능은 암호 관리입니다. 암호 관리자의 핵심은 인간과 달리 이러한 도구가 강력하고 임의의 암호를 생성하는 데 능숙하다는 것입니다. 강력한 암호를 생성하려면 Kaspersky Password Manager는 강력한 암호 생성 메커니즘에 의존해야합니다.
문제에 인덱스 CVE-2020-27020이 할당되었습니다., "공격자가 추가 정보 (예 : 암호가 생성 된 시간)를 알아야한다"는 경고가 유효한 경우 Kaspersky 암호는 사람들이 생각한 것보다 확실히 덜 안전합니다.
던전 연구팀은 화요일 게시물에서 "Kaspersky Password Manager에 포함 된 암호 생성기에 몇 가지 문제가 발생했습니다."라고 설명했습니다. “가장 중요한 것은 그가 암호화 목적으로 부적절한 PRNG를 사용하고 있다는 것입니다. 엔트로피의 유일한 원천은 현재 시제였습니다. 생성 한 모든 암호는 몇 초 안에 잔인하게 손상 될 수 있습니다. "
Dungeon은 Kaspersky의 큰 실수가 시스템 시계를 사용했다고 지적합니다. 의사 난수 생성기에서 시드로 몇 초 안에.
Jean-Baptiste Bédrune은 "이는 전 세계의 모든 Kaspersky Password Manager 인스턴스가 주어진 시간에 정확히 동일한 암호를 생성한다는 것을 의미합니다."라고 말합니다. 그에 따르면 각 암호는 무차별 대입 공격의 대상이 될 수 있습니다.” “예를 들어 315,619,200 년과 2010 년 사이에는 2021 초가 있으므로 KPM은 주어진 문자 집합에 대해 최대 315,619,200 개의 암호를 생성 할 수 있습니다. 이 목록에 대한 무차별 대입 공격은 몇 분 밖에 걸리지 않습니다. "
연구원 던전은 다음과 같이 결론을 내 렸습니다.
“Kaspersky Password Manager는 복잡한 방법을 사용하여 암호를 생성했습니다. 이 방법은 표준 암호 해커를 위해 크래킹하기 어려운 암호를 만드는 데 목적이 있습니다. 그러나 이러한 방법은 전용 도구에 비해 생성 된 암호의 강도를 낮 춥니 다. 예를 들어 KeePass를 사용하여 강력한 암호를 생성하는 방법을 보여 드렸습니다. 추첨과 같은 간단한 방법은 주어진 문자 범위의 문자를 보면서 "모듈러스 편향"을 제거하는 즉시 안전합니다.
“우리는 또한 Kaspersky의 PRNG를 분석 한 결과 매우 약하다는 것을 보여주었습니다. 내부 구조 인 Boost 라이브러리의 Mersenne 토네이도는 암호화 자료 생성에 적합하지 않습니다. 그러나 가장 큰 결함은이 PRNG가 현재 시간 (초)으로 시드되었다는 것입니다. 즉, 취약한 KPM 버전에서 생성 된 각 암호는 몇 분만에 (또는 대략 생성 시간을 알고있는 경우 XNUMX 초) 잔인하게 변조 될 수 있습니다.
Kaspersky는 2019 년 2020 월에이 취약점에 대한 통보를 받았으며 같은 해 27 월에 패치 버전을 출시했습니다. 2021 년 XNUMX 월에 사용자는 일부 암호를 다시 생성해야한다는 알림을 받았으며 Kaspersky는 XNUMX 년 XNUMX 월 XNUMX 일에 보안 권고를 게시했습니다.
“이 문제를 담당하는 Kaspersky Password Manager의 모든 공개 버전에는 이제 새로운 버전이 있습니다. 생성 된 암호가 충분히 강력하지 않은 경우 암호 생성 논리 및 암호 업데이트 경고가 발생합니다.”라고 보안 회사는 말합니다.
출처 : https://donjon.ledger.com
비밀번호는 자물쇠와 같습니다. 100% 안전한 비밀번호는 없지만 복잡할수록 더 많은 시간과 노력이 필요합니다.
정말 믿을 수 없지만 그녀의 컴퓨터에 액세스할 수 없는 사람은 교사에 액세스할 수도 없습니다. 현재 누군가의 친구가 집에 갔다가 우연히 그 프로그램이 설치되어 있는 것을 발견하지 않는 한 모든 사람이 자신의 컴퓨터를 가지고 있습니다.
그들은 프로그램의 소스 코드가 어떻게 생성되었는지 이해할 수 있을 만큼 충분히 운이 좋았습니다. 바이너리였다면 먼저 디컴파일해야 합니다. 이는 어렵습니다. 비트 언어를 이해하는 사람이 많지 않거나 직접 무차별 대입에 의해 작동 방식을 이해하지 못한 채.