Οι κρυπτογραφικοί χρησμοί μπορούν να είναι εξαιρετικά εργαλεία για τους χάκερ. Να γιατί.

Είναι δυνατόν ένας εισβολέας να αποκρυπτογραφήσει και να κρυπτογραφήσει δεδομένα στην εφαρμογή σας χωρίς να γνωρίζει τα κλειδιά αποκρυπτογράφησης; Η απάντηση είναι ναι, και βρίσκεται σε ένα κρυπτογραφικό ελάττωμα που ονομάζεται χρησμός κρυπτογράφησης.

Οι χρησμοί κρυπτογράφησης χρησιμεύουν ως πιθανή πύλη για τους εισβολείς για τη συλλογή πληροφοριών σχετικά με κρυπτογραφημένα δεδομένα, όλα αυτά χωρίς άμεση πρόσβαση στο κλειδί κρυπτογράφησης. Λοιπόν, πώς μπορούν οι επιτιθέμενοι να εκμεταλλευτούν κρυπτογραφικούς χρησμούς μέσω τεχνικών όπως η πλήρωση επιθέσεων μαντείου; Πώς μπορείτε να αποτρέψετε τέτοιες ευπάθειες από το να σας επηρεάσουν;

Τι είναι ένα Κρυπτογραφικό Μαντείο;

Η κρυπτογράφηση είναι ένα πρωτόκολλο ασφαλείας στην οποία απλό κείμενο ή δεδομένα μετατρέπονται σε μη αναγνώσιμη κωδικοποιημένη μορφή, γνωστή και ως κρυπτογραφημένο κείμενο, σε προστατεύστε την εμπιστευτικότητά του και βεβαιωθείτε ότι είναι προσβάσιμη μόνο από εξουσιοδοτημένα μέρη με την αποκρυπτογράφηση κλειδί. Υπάρχουν δύο τύποι κρυπτογράφησης: η ασύμμετρη και η συμμετρική.

instagram viewer

Η ασύμμετρη κρυπτογράφηση χρησιμοποιεί ένα ζεύγος διακριτών κλειδιών (δημόσια και ιδιωτικά) για κρυπτογράφηση και αποκρυπτογράφηση, ενώ η συμμετρική κρυπτογράφηση χρησιμοποιεί ένα κοινό κοινό κλειδί τόσο για κρυπτογράφηση όσο και για αποκρυπτογράφηση. Μπορείτε να κρυπτογραφήσετε σχεδόν οτιδήποτε, μηνύματα κειμένου, email, αρχεία, κίνηση ιστού κ.λπ.

Από την άλλη πλευρά, ο χρησμός είναι ένα μέσο μέσω του οποίου ένα άτομο λαμβάνει συνήθως πληροφορίες που συνήθως δεν θα ήταν διαθέσιμες σε απλούς άνδρες. Σκεφτείτε έναν χρησμό σαν ένα ειδικό κουτί όταν περνάτε κάτι από μέσα και σας δίνει ένα αποτέλεσμα. Δεν γνωρίζετε το περιεχόμενο του κουτιού, αλλά ξέρετε ότι λειτουργεί.

Ένα κρυπτογραφικό μαντείο, γνωστό και ως padding oracle, είναι μια έννοια στην κρυπτογραφία που αναφέρεται σε σύστημα ή οντότητα που μπορεί να παρέχει πληροφορίες σχετικά με κρυπτογραφημένα δεδομένα χωρίς να αποκαλύπτει την κρυπτογράφηση κλειδί. Ουσιαστικά, είναι ένας τρόπος αλληλεπίδρασης με ένα σύστημα κρυπτογράφησης για να αποκτήσετε γνώσεις σχετικά με τα κρυπτογραφημένα δεδομένα χωρίς να έχετε άμεση πρόσβαση στο κλειδί κρυπτογράφησης.

Ένας κρυπτογραφικός χρησμός αποτελείται από δύο μέρη: το ερώτημα και την απάντηση. Το ερώτημα αναφέρεται στην ενέργεια παροχής κρυπτογραφημένου κειμένου στο μαντείο (κρυπτογραφημένα δεδομένα) και η απάντηση είναι η ανατροφοδότηση ή οι πληροφορίες που παρέχονται από το μαντείο με βάση την ανάλυσή του για το κρυπτογραφημένο κείμενο. Αυτό θα μπορούσε να περιλαμβάνει την επαλήθευση της εγκυρότητάς του ή την αποκάλυψη λεπτομερειών σχετικά με το αντίστοιχο απλό κείμενο, την πιθανή βοήθεια ενός εισβολέα στην αποκρυπτογράφηση των κρυπτογραφημένων δεδομένων και αντίστροφα.

Πώς λειτουργούν το Padding Oracle Attacks;

Ένας σημαντικός τρόπος με τον οποίο οι εισβολείς εκμεταλλεύονται τους κρυπτογραφικούς χρησμούς είναι μέσω μιας επίθεσης μαντείου padding. Μια επίθεση padding oracle είναι μια κρυπτογραφική επίθεση που εκμεταλλεύεται τη συμπεριφορά ενός συστήματος ή υπηρεσίας κρυπτογράφησης όταν αποκαλύπτει πληροφορίες σχετικά με την ορθότητα της συμπλήρωσης σε κρυπτογραφημένο κείμενο.

Για να συμβεί αυτό, ο εισβολέας πρέπει να ανακαλύψει ένα ελάττωμα που αποκαλύπτει έναν κρυπτογραφικό χρησμό, στη συνέχεια να του στείλει τροποποιημένο κρυπτογραφημένο κείμενο και να παρατηρήσει τις απαντήσεις του μαντείου. Αναλύοντας αυτές τις απαντήσεις, ο εισβολέας μπορεί να συναγάγει πληροφορίες σχετικά με το απλό κείμενο, όπως το περιεχόμενό του ή το μήκος του, ακόμη και χωρίς πρόσβαση στο κλειδί κρυπτογράφησης. Ο εισβολέας θα μαντέψει και θα τροποποιήσει επανειλημμένα μέρη του κρυπτογραφημένου κειμένου μέχρι να ανακτήσει ολόκληρο το απλό κείμενο.

Σε ένα πραγματικό σενάριο, ένας εισβολέας μπορεί να υποψιαστεί ότι μια εφαρμογή ηλεκτρονικής τραπεζικής, η οποία κρυπτογραφεί δεδομένα χρήστη, μπορεί να έχει ευπάθεια padding oracle. Ο εισβολέας παρεμποδίζει το αίτημα κρυπτογραφημένης συναλλαγής ενός νόμιμου χρήστη, το τροποποιεί και το στέλνει στον διακομιστή της εφαρμογής. Εάν ο διακομιστής ανταποκρίνεται διαφορετικά —μέσω σφαλμάτων ή του χρόνου που χρειάζεται για την επεξεργασία του αιτήματος— στο τροποποιημένο κρυπτογραφημένο κείμενο, αυτό μπορεί να υποδηλώνει ευπάθεια.

Στη συνέχεια, ο εισβολέας το εκμεταλλεύεται με προσεκτικά δημιουργημένα ερωτήματα, αποκρυπτογραφώντας τελικά τα στοιχεία συναλλαγής του χρήστη και δυνητικά αποκτώντας μη εξουσιοδοτημένη πρόσβαση στον λογαριασμό του.

Ένα άλλο παράδειγμα είναι η χρήση του μαντείου κρυπτογράφησης για την παράκαμψη του ελέγχου ταυτότητας. Εάν ένας εισβολέας ανακαλύψει έναν χρησμό κρυπτογράφησης στα αιτήματα μιας εφαρμογής Ιστού που κρυπτογραφεί και αποκρυπτογραφεί δεδομένα, ο εισβολέας μπορεί να τον χρησιμοποιήσει για να αποκτήσει πρόσβαση σε έναν έγκυρο λογαριασμό χρήστη. Θα μπορούσε να αποκρυπτογραφήσει το διακριτικό περιόδου λειτουργίας του λογαριασμού, μέσω του μαντείου, να τροποποιήσει το απλό κείμενο χρησιμοποιώντας τον ίδιο χρησμό, και αντικαταστήστε το διακριτικό περιόδου λειτουργίας με ένα δημιουργημένο κρυπτογραφημένο διακριτικό που θα του δώσει πρόσβαση σε άλλο χρήστη λογαριασμός.

Πώς να αποφύγετε τις κρυπτογραφικές επιθέσεις της Oracle

Οι κρυπτογραφικές επιθέσεις μαντείου είναι αποτέλεσμα τρωτών σημείων στο σχεδιασμό ή την υλοποίηση κρυπτογραφικών συστημάτων. Είναι σημαντικό να διασφαλίσετε ότι εφαρμόζετε αυτά τα κρυπτογραφικά συστήματα με ασφάλεια για την αποφυγή επιθέσεων. Άλλα μέτρα για την πρόληψη των χρησμών κρυπτογράφησης περιλαμβάνουν:

  1. Επικυρωμένες λειτουργίες κρυπτογράφησης: Χρήση επικυρωμένων πρωτοκόλλων κρυπτογράφησης όπως AES-GCM (Galois/Counter Mode) ή AES-CCM (Μετρητής με CBC-MAC) όχι μόνο παρέχει προστασία εμπιστευτικότητας αλλά και ακεραιότητας, γεγονός που καθιστά δύσκολο για τους εισβολείς να παραβιάσουν ή να αποκρυπτογραφήσουν το κρυπτογραφημένο κείμενο.
  2. Συνεπής χειρισμός σφαλμάτων: Βεβαιωθείτε ότι η διαδικασία κρυπτογράφησης ή αποκρυπτογράφησης επιστρέφει πάντα την ίδια απόκριση σφάλματος, ανεξάρτητα από το εάν η συμπλήρωση είναι έγκυρη ή όχι. Αυτό εξαλείφει τις διαφορές στη συμπεριφορά που θα μπορούσαν να εκμεταλλευτούν οι εισβολείς.
  3. Δοκιμή ασφαλείας: Διεξάγετε τακτικά αξιολογήσεις ασφαλείας, συμπεριλαμβανομένων δοκιμές διείσδυσης και αναθεωρήσεις κώδικα, για τον εντοπισμό και τον μετριασμό πιθανών τρωτών σημείων, συμπεριλαμβανομένων ζητημάτων μαντείου κρυπτογράφησης.
  4. Περιορισμός ποσοστού: Εφαρμογή περιορισμού ρυθμού για αιτήματα κρυπτογράφησης και αποκρυπτογράφησης για τον εντοπισμό και την πρόληψη επιθέσεων ωμής βίας.
  5. Επικύρωση εισαγωγής: Επικυρώστε και απολυμάνετε σχολαστικά τις εισόδους των χρηστών πριν από την κρυπτογράφηση ή την αποκρυπτογράφηση. Βεβαιωθείτε ότι οι είσοδοι συμμορφώνονται με την αναμενόμενη μορφή και μήκος για να αποτρέψετε τις επιθέσεις padding oracle μέσω παραποιημένων εισόδων.
  6. Εκπαίδευση και ευαισθητοποίηση σε θέματα ασφάλειας: Εκπαιδεύστε προγραμματιστές, διαχειριστές και χρήστες σχετικά με τις βέλτιστες πρακτικές κρυπτογράφησης και ασφάλειας για την προώθηση μιας κουλτούρας με επίγνωση της ασφάλειας.
  7. Τακτικές ενημερώσεις: Διατηρείτε όλα τα στοιχεία λογισμικού, συμπεριλαμβανομένων των κρυπτογραφικών βιβλιοθηκών και συστημάτων, ενημερωμένα με τις πιο πρόσφατες ενημερώσεις κώδικα ασφαλείας και ενημερώσεις.

Βελτιώστε τη στάση ασφαλείας σας

Η κατανόηση και η προστασία από επιθέσεις όπως οι χρησμοί κρυπτογράφησης είναι απαραίτητη. Εφαρμόζοντας ασφαλείς πρακτικές, οι οργανισμοί και τα άτομα μπορούν να ενισχύσουν την άμυνά τους έναντι αυτών των ύπουλων απειλών.

Η εκπαίδευση και η ευαισθητοποίηση διαδραματίζουν επίσης κεντρικό ρόλο, στην προώθηση μιας κουλτούρας ασφάλειας που εκτείνεται από τους προγραμματιστές και τους διαχειριστές έως τους τελικούς χρήστες. Σε αυτή τη συνεχή μάχη για την προστασία ευαίσθητων δεδομένων, παραμένοντας σε εγρήγορση, παραμένοντας ενημερωμένοι και παραμένοντας ένα βήμα μπροστά από πιθανούς εισβολείς είναι το κλειδί για τη διατήρηση της ακεραιότητας των ψηφιακών περιουσιακών στοιχείων σας και των δεδομένων που διατηρείτε αγαπητός.