
Marvin — это возвращение 25-летней уязвимости, которая позволяет выполнять операции подписи и дешифрования RSA.
Во время ESORICS 2023 (Европейский симпозиум по исследованиям в области компьютерной безопасности), который проходил с 25 по 29 сентября в Нидерландах, исследователь безопасности который работает в Red Hat, представил "Атаку Марвина", техника атаки что позволяет определять исходные данные путем измерения задержек во время операций расшифровка на основе алгоритма RSA.
Марвин Атака, Это разновидность метода Блейхенбахера, предложенного в 1998 году.и продолжает разработку атак ROBOT и New CAT, опубликованных в 2017 и 2019 годах.
Атака Марвина — это возвращение уязвимости 25-летней давности, которая позволяет выполнять операции подписи и дешифрования RSA в качестве злоумышленника с возможностью наблюдать только за временем операции дешифрования, выполняемой с помощью закрытого ключа.
В 1998 году Дэниел Блейхенбахер обнаружил, что сообщения об ошибках, предоставляемые серверами SSL для ошибок в заполнении PKCS # 1 v1.5, позволяют провести атаку с адаптивно выбранным зашифрованным текстом; Эта атака полностью нарушает конфиденциальность TLS при использовании с шифрованием RSA. В 2018 году Ханно Бёк, Юрай Соморовски и Крейг Янг спустя 19 лет показали, что многие интернет-серверы все еще уязвимы для небольших вариаций исходной атаки.
В основном упоминается, что суть метода состоит в том, что злоумышленник, на основе различных реакций сервера и разное время выполнения, может разделять правильные и неправильные блоки оракула Добавлено в стандарт PKCS #1 v1.5 для выравнивания зашифрованных данных по границе блока. Манипулируя информацией о правильности блоков заполнения, злоумышленник может использовать грубую силу, чтобы воссоздать подходящий зашифрованный текст.
В этом случае атака не восстанавливает закрытый ключ напрямую, а лишь расшифровывает текст. шифрование или создание поддельного подписанного сообщения. Для проведения успешной атаки необходимо отправить на расшифровку очень большой объем тестовых сообщений.
Использование атаки на серверы TLS с использованием шифрования на основе ключей RSA позволяет злоумышленнику пассивно хранить перехваченный трафик, а затем расшифровывать его. Для серверов, поддерживающих PFS, проведение атаки становится значительно сложнее и успех зависит от того, насколько быстро будет проведена атака.
Кроме того, метод позволяет генерировать фиктивную цифровую подпись который проверяет содержимое сообщений TLS 1.2 ServerKeyExchange или сообщений TLS 1.3 CertificateVerify, передаваемых на этапе обмена ключами, которые могут использоваться для выполнения MITM-атак для перехвата соединения TLS между клиентом и сервером.
Упоминается, что разница между методом Марвин превращается в Улучшенная технология разделения правильных и неправильных дополнительных данных., фильтровать ложные срабатывания, точнее определять задержки вычислений и использовать дополнительные сторонние каналы во время измерения.
На практике предложенный метод позволяет расшифровывать трафик или генерировать цифровые подписи, не зная закрытого ключа RSA. Для проверки применимости атаки был опубликован специальный скрипт проверки TLS-серверов и инструменты для выявления проблем в библиотеках.
Проблема влияет на несколько реализаций протокола, использующих RSA и PKCS.. Хотя современные криптографические библиотеки содержат некоторую защиту от атак, основанных на методе Блейхенбахера, Исследование показало, что в библиотеках есть открытые каналы утечки и не обеспечивать постоянное время обработки правильно и неправильно заполненных пакетов. Например, реализация атаки GnuTLS, предложенная Марвином, не привязана к коду, который непосредственно выполняет вычисления, связанные с RSA, а скорее использует разные среды выполнения для кода, который решает, отображать ли конкретное сообщение об ошибке.
Автор исследования также считает, что класс рассматриваемых уязвимостей не ограничивается RSA и может затронуть многие другие криптографические алгоритмы, зависящие от стандартных библиотек для целочисленных вычислений.
Для подтверждения возможности проведения атаки Марвина на практике исследователь продемонстрировал применимость метода к приложениям на базе библиотек M2Crypto и pyca/cryptography, в которых достаточно нескольких часов, чтобы скомпрометировать шифрование, проведя эксперимент на средний ноутбук.
Наконец, если вы заинтересованы в том, чтобы узнать больше об этом, вы можете ознакомиться с подробностями в по следующей ссылке.