1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › ROBOT-Angriff: 19 Jahre alter Angriff…

Kann mir das jemand erklären?

Für Konsolen-Talk gibt es natürlich auch einen Raum ohne nerviges Gedöns oder Flamewar im Freiraum!
  1. Thema

Neues Thema Ansicht wechseln


  1. Kann mir das jemand erklären?

    Autor: Screeny 12.12.17 - 16:47

    Hej,

    ich bin jetzt kein Kryptologe und auch mit dem RSA-Standard nicht wirklich vertraut - könnte mir jemand einmal erklären, warum das Abbrechen der Verbindung etwas über den „Intervall“ verrät?

    Wenn ich jemandem eine endlos lange Kette schicke, er dort auf das Vorhandensein der „Magic-Bytes“ prüft und dann eine Fehlermeldung wirft ... wie soll ich mit der Info etwas anfangen können?

    Habe ich einen Denkfehler oder fehlt da eine Info?

  2. Re: Kann mir das jemand erklären?

    Autor: JouMxyzptlk 12.12.17 - 17:08

    Screeny schrieb:
    --------------------------------------------------------------------------------
    > Hej,
    >
    > ich bin jetzt kein Kryptologe und auch mit dem RSA-Standard nicht wirklich
    > vertraut

    Du bist nicht der einzige. Selbe als einer welcher alle Nase lang mit Zertifikaten und VPNs hantiert sind die Details der Standard(s) zu hoch. Da müsste ich erst mal wieder Mathe studieren (weit oberhalb von Abitur mit Mathe LK Level) und viel Zeit reinstecken.



    1 mal bearbeitet, zuletzt am 12.12.17 17:08 durch JouMxyzptlk.

  3. Re: Kann mir das jemand erklären?

    Autor: Nerdling 12.12.17 - 17:17

    Ach, so komplex ist the Mathematik jetzt nicht:

    "Chosen Ciphertext Attacks Against Protocols Based on the RSA Encryption Standard PKCS #1"
    http://archiv.infsec.ethz.ch/education/fs08/secsem/bleichenbacher98.pdf

  4. Re: Kann mir das jemand erklären?

    Autor: JouMxyzptlk 12.12.17 - 17:49

    Nerdling schrieb:
    --------------------------------------------------------------------------------
    > Ach, so komplex ist the Mathematik jetzt nicht:
    >
    > "Chosen Ciphertext Attacks Against Protocols Based on the RSA Encryption
    > Standard PKCS #1"
    > archiv.infsec.ethz.ch

    Das ist der Angriff. Wenn man das Abi mit Mathe-LK aber schon etliche Jahre hinter sich hat merkt man wie schnell das Mathewissen sich verduftet.

  5. Re: Kann mir das jemand erklären?

    Autor: crypt0 13.12.17 - 09:15

    @Screeny

    Das Problem ist, dass die zwei magic bytes (0x00, 0x02) teil des Plaintexts sind.
    Vereinfacht gesagt: ciphertext = ENC (0x00 || 0x02 || plaintext)
    Wenn ein Server jetzt den ciphertext entschlüsselt und DANN mit einem Fehler abbricht wenn die ersten beiden bytes != 0x00 || 0x02 bietet der Server ein Oracle => Bleichenbacher timing attack

  6. Re: Kann mir das jemand erklären?

    Autor: VigarLunaris 14.12.17 - 08:07

    Screeny schrieb:
    --------------------------------------------------------------------------------
    > Hej,
    >
    > ich bin jetzt kein Kryptologe und auch mit dem RSA-Standard nicht wirklich
    > vertraut - könnte mir jemand einmal erklären, warum das Abbrechen der
    > Verbindung etwas über den „Intervall“ verrät?
    >
    > Wenn ich jemandem eine endlos lange Kette schicke, er dort auf das
    > Vorhandensein der „Magic-Bytes“ prüft und dann eine
    > Fehlermeldung wirft ... wie soll ich mit der Info etwas anfangen können?
    >
    > Habe ich einen Denkfehler oder fehlt da eine Info?

    An den Erklärungen merkt man schon das Problem mit solcherlei Fehlern. Es wird vorausgesetzt das man die Mathematik hinter der Kryptologie verstanden hat, obwohl dies für Techniker absolut nicht relevant ist.

    Daher verfahren Techniker auch wie hier beschrieben :
    https://books.google.de/books?id=dR2G0oPufe0C&pg=PA128&lpg=PA128&dq=bleichenbacher+attack+easy&source=bl&ots=UpCgOl-jh_&sig=04FZiZqzcnAjH21kon4mFqCsdmo&hl=de&sa=X&ved=0ahUKEwiBufKN8YjYAhURo6QKHQsyAU8Q6AEIVTAF#v=onepage&q=bleichenbacher%20attack%20easy&f=false

    "Der Angriff ist einfach zu bemerken" - also kappen wir die Verbindung und invalideren die Sitzung.

    Jedoch hilft das "nur" gegen die praktische Implementierung gegen den Angriff, nicht dagegen das man auch noch später Unsinn mit den Daten machen kann.

    Wir crypt0 schon schön geschrieben hat

    "Das Problem ist, dass die zwei magic bytes (0x00, 0x02) teil des Plaintexts sind.
    Vereinfacht gesagt: ciphertext = ENC (0x00 || 0x02 || plaintext) "

    Also ist ein Teil der Transportsecurity und der Ciphermessage = Teil der Plainmessage. Also im Klartext lesbarer "Stuff".

    So wie alle Magic Number / Sign / Semaphores / Bytes haben die Dinger einen gewaltigen Nachteil. Sie sind nicht ein-eindeutig.

    https://de.wikipedia.org/wiki/Magische_Zahl_(Informatik)

    Somit entstehen halt lesbare und auswertbare Elemente :

    0007: 02 81 81 ; INT (81 Byte)
    000a: | 00 <= leading 00
    000b: | da ff 24 57 07 8a 4c b8 63 79 79 ff 55 27 10 15
    001b: | 0f 6c ab 0e 17 dc 05 1a d3 4f 85 77 6c a6 89 37
    002b: | 8c 83 11 3d 5e 11 15 4b 34 5e 5c dd fd 3f a6 dc
    003b: | 6e 3e ff 97 be 5b 49 2a 78 10 f1 bf 80 d6 09 36
    004b: | 34 bd 99 5f 40 d6 1c 41 8d 3a d8 75 b9 53 b2 40
    005b: | fb e6 97 72 31 f7 bf 81 5e 75 04 e7 35 0d 98 3b
    006b: | 54 83 3f 9d e8 66 3b e6 2f c9 63 98 63 9f d7 88
    007b: | 99 85 75 d1 21 24 e9 1a 9e 3c da 41 7e 92 5f f1

    Daraus folgt der eigentliche Angriff :

    "
    Der „Eine Million Fragen“-Angriff SSL verwendet PKCS#1 zur Codierung von RSAKryptogrammen:

    PKCS#1-Klartext beginnt immer mitden Bytes 00 und 02
    § Angreifer wählt einen Chiffretext und sendet ihn an Server
    § beginnt Klartext nicht mit 00 02, dann Fehler_1
    § beginnt Klartext mit 00 02, dann Fehler_2
    § Jedesmal, wenn Fehler_2 auftritt, kann der Angreifer den Schlüsselraum verkleinern.
    "

    Also was machen wir - RICHTIG - wir raten den Schlüssel in dem wir die Summe der zu testenden Schlüssel immer "kleiner und kleiner" machen.

    Bildlich gesprochen : Du fängst mit einer Exceltabelle mit 1.000.000.000.000 Werten an und fragst dich "so lange" durch, bis du nur noch 1.000 Werte hast.

    Dann wird das "knacken" natürlich easy. Das ist aber ein "Fehler" in jeden asymmetrischen Verfahren, da hier die "Faulheit" für den Schlüsselaustausch = einen Angriff bietet. Umgangen kann das nur werden, in dem die Implementierung sattelfest vorgenommen wurde.

    Das ist aber ein Problem das die Implementierungen nicht sauber und "korrekt" ausgeführt werden und daher die "Algorithmen" angreifbar werden.

    Was am Ende bleibt?
    Ich sage immer wieder : Secure ! - gehört da hin - wo Secure auch gebraucht wird. Dann kann man diesen Systemen auch die gebotene Aufmerksamkeit widmen.

    Sourcen zum einlesen :
    http://www.ruhr-uni-bochum.de/nds/lehre/vorlesungen/systemsicherheit_alt/Systemsicherheit11_SSL_2B.pdf
    https://www.ietf.org/mail-archive/web/openpgp/current/msg00999.html
    https://blog.filippo.io/bleichenbacher-06-signature-forgery-in-python-rsa/
    https://www.symantec.com/connect/blogs/common-rsa-implementation-mistake-explained
    http://www.steffen-rumpf.de/wp-content/uploads/2008/09/main.pdf
    https://blog.cryptographyengineering.com/2016/03/01/attack-of-week-drown/

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Universitätsklinikum des Saarlandes, Homburg
  2. Possling GmbH & Co. KG, Berlin
  3. Deutsche Gesellschaft für Qualität - DGQ Service GmbH, Frankfurt am Main
  4. WILO SE, Dortmund

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote


Haben wir etwas übersehen?

E-Mail an news@golem.de


Programm für IT-Jobeinstieg: Hoffen auf den Klebeeffekt
Programm für IT-Jobeinstieg
Hoffen auf den Klebeeffekt

Aktuell ist der Jobeinstieg für junge Ingenieure und Informatiker schwer. Um ihnen zu helfen, hat das Land Baden-Württemberg eine interessante Idee: Es macht sich selbst zur Zeitarbeitsfirma.
Ein Bericht von Peter Ilg

  1. Arbeitszeit Das Sechs-Stunden-Experiment bei Sipgate
  2. Neuorientierung im IT-Job Endlich mal machen!
  3. IT-Unternehmen Die richtige Software für ein Projekt finden

Weclapp-CTO Ertan Özdil: Wir dürfen nicht in Schönheit und Perfektion untergehen!
Weclapp-CTO Ertan Özdil
"Wir dürfen nicht in Schönheit und Perfektion untergehen!"

Der CTO von Weclapp träumt von smarter Software, die menschliches Eingreifen in der nächsten ERP-Generation reduziert. Deutschen Perfektionismus hält Ertan Özdil aber für gefährlich.
Ein Interview von Maja Hoock


    Fiat 500 als E-Auto im Test: Kleinstwagen mit großem Potenzial
    Fiat 500 als E-Auto im Test
    Kleinstwagen mit großem Potenzial

    Fiat hat einen neuen 500er entwickelt. Der Kleine fährt elektrisch - und zwar richtig gut.
    Ein Test von Peter Ilg

    1. Vierradlenkung Elektrischer GMC Hummer SUV fährt im Krabbengang seitwärts
    2. MG Cyberster MG B Roadster mit Lasergürtel und Union Jack
    3. Elektroauto E-Auto-Prämie übersteigt in 2021 schon Vorjahressumme