1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › ROBOT-Angriff: 19 Jahre alter Angriff…

Kann mir das jemand erklären?

  1. Thema

Neues Thema Ansicht wechseln


  1. Kann mir das jemand erklären?

    Autor: Screeny 12.12.17 - 16:47

    Hej,

    ich bin jetzt kein Kryptologe und auch mit dem RSA-Standard nicht wirklich vertraut - könnte mir jemand einmal erklären, warum das Abbrechen der Verbindung etwas über den „Intervall“ verrät?

    Wenn ich jemandem eine endlos lange Kette schicke, er dort auf das Vorhandensein der „Magic-Bytes“ prüft und dann eine Fehlermeldung wirft ... wie soll ich mit der Info etwas anfangen können?

    Habe ich einen Denkfehler oder fehlt da eine Info?

  2. Re: Kann mir das jemand erklären?

    Autor: JouMxyzptlk 12.12.17 - 17:08

    Screeny schrieb:
    --------------------------------------------------------------------------------
    > Hej,
    >
    > ich bin jetzt kein Kryptologe und auch mit dem RSA-Standard nicht wirklich
    > vertraut

    Du bist nicht der einzige. Selbe als einer welcher alle Nase lang mit Zertifikaten und VPNs hantiert sind die Details der Standard(s) zu hoch. Da müsste ich erst mal wieder Mathe studieren (weit oberhalb von Abitur mit Mathe LK Level) und viel Zeit reinstecken.



    1 mal bearbeitet, zuletzt am 12.12.17 17:08 durch JouMxyzptlk.

  3. Re: Kann mir das jemand erklären?

    Autor: Nerdling 12.12.17 - 17:17

    Ach, so komplex ist the Mathematik jetzt nicht:

    "Chosen Ciphertext Attacks Against Protocols Based on the RSA Encryption Standard PKCS #1"
    http://archiv.infsec.ethz.ch/education/fs08/secsem/bleichenbacher98.pdf

  4. Re: Kann mir das jemand erklären?

    Autor: JouMxyzptlk 12.12.17 - 17:49

    Nerdling schrieb:
    --------------------------------------------------------------------------------
    > Ach, so komplex ist the Mathematik jetzt nicht:
    >
    > "Chosen Ciphertext Attacks Against Protocols Based on the RSA Encryption
    > Standard PKCS #1"
    > archiv.infsec.ethz.ch

    Das ist der Angriff. Wenn man das Abi mit Mathe-LK aber schon etliche Jahre hinter sich hat merkt man wie schnell das Mathewissen sich verduftet.

  5. Re: Kann mir das jemand erklären?

    Autor: crypt0 13.12.17 - 09:15

    @Screeny

    Das Problem ist, dass die zwei magic bytes (0x00, 0x02) teil des Plaintexts sind.
    Vereinfacht gesagt: ciphertext = ENC (0x00 || 0x02 || plaintext)
    Wenn ein Server jetzt den ciphertext entschlüsselt und DANN mit einem Fehler abbricht wenn die ersten beiden bytes != 0x00 || 0x02 bietet der Server ein Oracle => Bleichenbacher timing attack

  6. Re: Kann mir das jemand erklären?

    Autor: VigarLunaris 14.12.17 - 08:07

    Screeny schrieb:
    --------------------------------------------------------------------------------
    > Hej,
    >
    > ich bin jetzt kein Kryptologe und auch mit dem RSA-Standard nicht wirklich
    > vertraut - könnte mir jemand einmal erklären, warum das Abbrechen der
    > Verbindung etwas über den „Intervall“ verrät?
    >
    > Wenn ich jemandem eine endlos lange Kette schicke, er dort auf das
    > Vorhandensein der „Magic-Bytes“ prüft und dann eine
    > Fehlermeldung wirft ... wie soll ich mit der Info etwas anfangen können?
    >
    > Habe ich einen Denkfehler oder fehlt da eine Info?

    An den Erklärungen merkt man schon das Problem mit solcherlei Fehlern. Es wird vorausgesetzt das man die Mathematik hinter der Kryptologie verstanden hat, obwohl dies für Techniker absolut nicht relevant ist.

    Daher verfahren Techniker auch wie hier beschrieben :
    https://books.google.de/books?id=dR2G0oPufe0C&pg=PA128&lpg=PA128&dq=bleichenbacher+attack+easy&source=bl&ots=UpCgOl-jh_&sig=04FZiZqzcnAjH21kon4mFqCsdmo&hl=de&sa=X&ved=0ahUKEwiBufKN8YjYAhURo6QKHQsyAU8Q6AEIVTAF#v=onepage&q=bleichenbacher%20attack%20easy&f=false

    "Der Angriff ist einfach zu bemerken" - also kappen wir die Verbindung und invalideren die Sitzung.

    Jedoch hilft das "nur" gegen die praktische Implementierung gegen den Angriff, nicht dagegen das man auch noch später Unsinn mit den Daten machen kann.

    Wir crypt0 schon schön geschrieben hat

    "Das Problem ist, dass die zwei magic bytes (0x00, 0x02) teil des Plaintexts sind.
    Vereinfacht gesagt: ciphertext = ENC (0x00 || 0x02 || plaintext) "

    Also ist ein Teil der Transportsecurity und der Ciphermessage = Teil der Plainmessage. Also im Klartext lesbarer "Stuff".

    So wie alle Magic Number / Sign / Semaphores / Bytes haben die Dinger einen gewaltigen Nachteil. Sie sind nicht ein-eindeutig.

    https://de.wikipedia.org/wiki/Magische_Zahl_(Informatik)

    Somit entstehen halt lesbare und auswertbare Elemente :

    0007: 02 81 81 ; INT (81 Byte)
    000a: | 00 <= leading 00
    000b: | da ff 24 57 07 8a 4c b8 63 79 79 ff 55 27 10 15
    001b: | 0f 6c ab 0e 17 dc 05 1a d3 4f 85 77 6c a6 89 37
    002b: | 8c 83 11 3d 5e 11 15 4b 34 5e 5c dd fd 3f a6 dc
    003b: | 6e 3e ff 97 be 5b 49 2a 78 10 f1 bf 80 d6 09 36
    004b: | 34 bd 99 5f 40 d6 1c 41 8d 3a d8 75 b9 53 b2 40
    005b: | fb e6 97 72 31 f7 bf 81 5e 75 04 e7 35 0d 98 3b
    006b: | 54 83 3f 9d e8 66 3b e6 2f c9 63 98 63 9f d7 88
    007b: | 99 85 75 d1 21 24 e9 1a 9e 3c da 41 7e 92 5f f1

    Daraus folgt der eigentliche Angriff :

    "
    Der „Eine Million Fragen“-Angriff SSL verwendet PKCS#1 zur Codierung von RSAKryptogrammen:

    PKCS#1-Klartext beginnt immer mitden Bytes 00 und 02
    § Angreifer wählt einen Chiffretext und sendet ihn an Server
    § beginnt Klartext nicht mit 00 02, dann Fehler_1
    § beginnt Klartext mit 00 02, dann Fehler_2
    § Jedesmal, wenn Fehler_2 auftritt, kann der Angreifer den Schlüsselraum verkleinern.
    "

    Also was machen wir - RICHTIG - wir raten den Schlüssel in dem wir die Summe der zu testenden Schlüssel immer "kleiner und kleiner" machen.

    Bildlich gesprochen : Du fängst mit einer Exceltabelle mit 1.000.000.000.000 Werten an und fragst dich "so lange" durch, bis du nur noch 1.000 Werte hast.

    Dann wird das "knacken" natürlich easy. Das ist aber ein "Fehler" in jeden asymmetrischen Verfahren, da hier die "Faulheit" für den Schlüsselaustausch = einen Angriff bietet. Umgangen kann das nur werden, in dem die Implementierung sattelfest vorgenommen wurde.

    Das ist aber ein Problem das die Implementierungen nicht sauber und "korrekt" ausgeführt werden und daher die "Algorithmen" angreifbar werden.

    Was am Ende bleibt?
    Ich sage immer wieder : Secure ! - gehört da hin - wo Secure auch gebraucht wird. Dann kann man diesen Systemen auch die gebotene Aufmerksamkeit widmen.

    Sourcen zum einlesen :
    http://www.ruhr-uni-bochum.de/nds/lehre/vorlesungen/systemsicherheit_alt/Systemsicherheit11_SSL_2B.pdf
    https://www.ietf.org/mail-archive/web/openpgp/current/msg00999.html
    https://blog.filippo.io/bleichenbacher-06-signature-forgery-in-python-rsa/
    https://www.symantec.com/connect/blogs/common-rsa-implementation-mistake-explained
    http://www.steffen-rumpf.de/wp-content/uploads/2008/09/main.pdf
    https://blog.cryptographyengineering.com/2016/03/01/attack-of-week-drown/

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. UnternehmerTUM GmbH, Garching/München
  2. Stadtverwaltung Eisenach, Eisenach
  3. INTENSE AG, Würzburg, Saarbrücken, Köln
  4. Bundeskriminalamt Wiesbaden, Wiesbaden, Meckenheim

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. ab 38,00€ (bei ubi.com)
  2. 319,00€ (Bestpreis)
  3. 31,49€
  4. (u. a. Die Siedler History Collection 19,99€, Anno 1800 Gold Edition für 38,00€, Tom Clancy's...


Haben wir etwas übersehen?

E-Mail an news@golem.de


30 Jahre Champions of Krynn: Rückkehr ins Reich der Drachen und Drakonier
30 Jahre Champions of Krynn
Rückkehr ins Reich der Drachen und Drakonier

Champions of Krynn ist das dritte AD&D-Rollenspiel von SSI, es zählt zu den Highlights der Gold-Box-Serie. Passend zum 30. Geburtstag hat sich unser Autor den Klassiker noch einmal angeschaut - und nicht nur mit Drachen, sondern auch mit dem alten Kopierschutz gekämpft.
Ein Erfahrungsbericht von Benedikt Plass-Fleßenkämper

  1. Dungeons & Dragons Dark Alliance schickt Dunkelelf Drizzt nach Icewind Dale

Radeon RX 5600 XT im Test: AMDs Schneller als erwartet-Grafikkarte
Radeon RX 5600 XT im Test
AMDs "Schneller als erwartet"-Grafikkarte

Für 300 Euro ist die Radeon RX 5600 XT interessant - trotz Konkurrenz durch Nvidia und AMD selbst. Wie sehr die Navi-Grafikkarte empfehlenswert ist, hängt davon ab, ob Nutzer sich einen Flash-Vorgang zutrauen.
Ein Test von Marc Sauter

  1. Grafikkarte AMD bringt RX 5600 XT im Januar
  2. Grafikkarte Radeon RX 5600 XT hat 2.304 Shader und 6 GByte Speicher
  3. Radeon RX 5500 XT (8GB) im Test Selbst mehr Speicher hilft AMD nicht

Magenta-TV-Stick im Test: Android-TV-Stick gleicht Magenta-TV-Schwächen nicht aus
Magenta-TV-Stick im Test
Android-TV-Stick gleicht Magenta-TV-Schwächen nicht aus

Eine bequeme Nutzung von Magenta TV verspricht die Telekom mit dem Magenta-TV-Stick. Wir haben uns die Hardware angeschaut und dabei auch einen Blick auf Magenta TV geworfen. Der Dienst hat uns derzeit noch zu viele Schwächen.
Ein Test von Ingo Pakalski

  1. Peacock NBC Universal setzt gegen Netflix auf Gratis-Streaming
  2. Joyn Plus+ Probleme bei der Kündigung
  3. Android TV Magenta-TV-Stick mit USB-Anschluss vergünstigt erhältlich

  1. Google Home: Google macht smarte Lautsprecher erneut kaputt
    Google Home
    Google macht smarte Lautsprecher erneut kaputt

    Abermals hat Google smarte Lautsprecher durch ein Firmware-Update unbrauchbar gemacht. Anders als im Herbst vergangenen Jahres sind diesmal vor allem Kunden betroffen, die am Vorschauprogramm von Google teilgenommen haben.

  2. Proteste gegen Gigafactory: Fabrikbau im Ludicrous Mode
    Proteste gegen Gigafactory
    Fabrikbau im Ludicrous Mode

    Die Debatte um die geplante Gigafactory in Brandenburg ist von Ressentiments, Unklarheiten und Lügen geprägt. Doch die Politik und Tesla haben mit der geheimniskrämerischen Standortauswahl selbst zu den Protesten beigetragen.

  3. VPN-Technik: Wireguard in Hauptzweig des Linux-Kernels eingepflegt
    VPN-Technik
    Wireguard in Hauptzweig des Linux-Kernels eingepflegt

    Nach mehreren Jahren Arbeit und vielen Diskussionen ist die freie VPN-Technik Wireguard nun endgültig im Hauptzweig des Linux-Kernels gelandet. Die stabile Veröffentlichung mit dem kommenden Linux 5.6 gilt damit als sicher.


  1. 12:27

  2. 12:05

  3. 11:52

  4. 11:45

  5. 11:30

  6. 10:55

  7. 10:43

  8. 10:21