1. Foren
  2. Kommentare
  3. Security-Forum
  4. Alle Kommentare zum Artikel
  5. › ROBOT-Angriff: 19 Jahre alter…

Kann mir das jemand erklären?

Neue Foren im Freiraum! Raumfahrt und freie Software haben jetzt einen Platz, die Games tummeln sich jetzt alle in einem Forum.
  1. Thema

Neues Thema


  1. Kann mir das jemand erklären?

    Autor: Screeny 12.12.17 - 16:47

    Hej,

    ich bin jetzt kein Kryptologe und auch mit dem RSA-Standard nicht wirklich vertraut - könnte mir jemand einmal erklären, warum das Abbrechen der Verbindung etwas über den „Intervall“ verrät?

    Wenn ich jemandem eine endlos lange Kette schicke, er dort auf das Vorhandensein der „Magic-Bytes“ prüft und dann eine Fehlermeldung wirft ... wie soll ich mit der Info etwas anfangen können?

    Habe ich einen Denkfehler oder fehlt da eine Info?

  2. Re: Kann mir das jemand erklären?

    Autor: JouMxyzptlk 12.12.17 - 17:08

    Screeny schrieb:
    --------------------------------------------------------------------------------
    > Hej,
    >
    > ich bin jetzt kein Kryptologe und auch mit dem RSA-Standard nicht wirklich
    > vertraut

    Du bist nicht der einzige. Selbe als einer welcher alle Nase lang mit Zertifikaten und VPNs hantiert sind die Details der Standard(s) zu hoch. Da müsste ich erst mal wieder Mathe studieren (weit oberhalb von Abitur mit Mathe LK Level) und viel Zeit reinstecken.



    1 mal bearbeitet, zuletzt am 12.12.17 17:08 durch JouMxyzptlk.

  3. Re: Kann mir das jemand erklären?

    Autor: Nerdling 12.12.17 - 17:17

    Ach, so komplex ist the Mathematik jetzt nicht:

    "Chosen Ciphertext Attacks Against Protocols Based on the RSA Encryption Standard PKCS #1"
    http://archiv.infsec.ethz.ch/education/fs08/secsem/bleichenbacher98.pdf

  4. Re: Kann mir das jemand erklären?

    Autor: JouMxyzptlk 12.12.17 - 17:49

    Nerdling schrieb:
    --------------------------------------------------------------------------------
    > Ach, so komplex ist the Mathematik jetzt nicht:
    >
    > "Chosen Ciphertext Attacks Against Protocols Based on the RSA Encryption
    > Standard PKCS #1"
    > archiv.infsec.ethz.ch

    Das ist der Angriff. Wenn man das Abi mit Mathe-LK aber schon etliche Jahre hinter sich hat merkt man wie schnell das Mathewissen sich verduftet.

  5. Re: Kann mir das jemand erklären?

    Autor: crypt0 13.12.17 - 09:15

    @Screeny

    Das Problem ist, dass die zwei magic bytes (0x00, 0x02) teil des Plaintexts sind.
    Vereinfacht gesagt: ciphertext = ENC (0x00 || 0x02 || plaintext)
    Wenn ein Server jetzt den ciphertext entschlüsselt und DANN mit einem Fehler abbricht wenn die ersten beiden bytes != 0x00 || 0x02 bietet der Server ein Oracle => Bleichenbacher timing attack

  6. Re: Kann mir das jemand erklären?

    Autor: VigarLunaris 14.12.17 - 08:07

    Screeny schrieb:
    --------------------------------------------------------------------------------
    > Hej,
    >
    > ich bin jetzt kein Kryptologe und auch mit dem RSA-Standard nicht wirklich
    > vertraut - könnte mir jemand einmal erklären, warum das Abbrechen der
    > Verbindung etwas über den „Intervall“ verrät?
    >
    > Wenn ich jemandem eine endlos lange Kette schicke, er dort auf das
    > Vorhandensein der „Magic-Bytes“ prüft und dann eine
    > Fehlermeldung wirft ... wie soll ich mit der Info etwas anfangen können?
    >
    > Habe ich einen Denkfehler oder fehlt da eine Info?

    An den Erklärungen merkt man schon das Problem mit solcherlei Fehlern. Es wird vorausgesetzt das man die Mathematik hinter der Kryptologie verstanden hat, obwohl dies für Techniker absolut nicht relevant ist.

    Daher verfahren Techniker auch wie hier beschrieben :
    https://books.google.de/books?id=dR2G0oPufe0C&pg=PA128&lpg=PA128&dq=bleichenbacher+attack+easy&source=bl&ots=UpCgOl-jh_&sig=04FZiZqzcnAjH21kon4mFqCsdmo&hl=de&sa=X&ved=0ahUKEwiBufKN8YjYAhURo6QKHQsyAU8Q6AEIVTAF#v=onepage&q=bleichenbacher%20attack%20easy&f=false

    "Der Angriff ist einfach zu bemerken" - also kappen wir die Verbindung und invalideren die Sitzung.

    Jedoch hilft das "nur" gegen die praktische Implementierung gegen den Angriff, nicht dagegen das man auch noch später Unsinn mit den Daten machen kann.

    Wir crypt0 schon schön geschrieben hat

    "Das Problem ist, dass die zwei magic bytes (0x00, 0x02) teil des Plaintexts sind.
    Vereinfacht gesagt: ciphertext = ENC (0x00 || 0x02 || plaintext) "

    Also ist ein Teil der Transportsecurity und der Ciphermessage = Teil der Plainmessage. Also im Klartext lesbarer "Stuff".

    So wie alle Magic Number / Sign / Semaphores / Bytes haben die Dinger einen gewaltigen Nachteil. Sie sind nicht ein-eindeutig.

    https://de.wikipedia.org/wiki/Magische_Zahl_(Informatik)

    Somit entstehen halt lesbare und auswertbare Elemente :

    0007: 02 81 81 ; INT (81 Byte)
    000a: | 00 <= leading 00
    000b: | da ff 24 57 07 8a 4c b8 63 79 79 ff 55 27 10 15
    001b: | 0f 6c ab 0e 17 dc 05 1a d3 4f 85 77 6c a6 89 37
    002b: | 8c 83 11 3d 5e 11 15 4b 34 5e 5c dd fd 3f a6 dc
    003b: | 6e 3e ff 97 be 5b 49 2a 78 10 f1 bf 80 d6 09 36
    004b: | 34 bd 99 5f 40 d6 1c 41 8d 3a d8 75 b9 53 b2 40
    005b: | fb e6 97 72 31 f7 bf 81 5e 75 04 e7 35 0d 98 3b
    006b: | 54 83 3f 9d e8 66 3b e6 2f c9 63 98 63 9f d7 88
    007b: | 99 85 75 d1 21 24 e9 1a 9e 3c da 41 7e 92 5f f1

    Daraus folgt der eigentliche Angriff :

    "
    Der „Eine Million Fragen“-Angriff SSL verwendet PKCS#1 zur Codierung von RSAKryptogrammen:

    PKCS#1-Klartext beginnt immer mitden Bytes 00 und 02
    § Angreifer wählt einen Chiffretext und sendet ihn an Server
    § beginnt Klartext nicht mit 00 02, dann Fehler_1
    § beginnt Klartext mit 00 02, dann Fehler_2
    § Jedesmal, wenn Fehler_2 auftritt, kann der Angreifer den Schlüsselraum verkleinern.
    "

    Also was machen wir - RICHTIG - wir raten den Schlüssel in dem wir die Summe der zu testenden Schlüssel immer "kleiner und kleiner" machen.

    Bildlich gesprochen : Du fängst mit einer Exceltabelle mit 1.000.000.000.000 Werten an und fragst dich "so lange" durch, bis du nur noch 1.000 Werte hast.

    Dann wird das "knacken" natürlich easy. Das ist aber ein "Fehler" in jeden asymmetrischen Verfahren, da hier die "Faulheit" für den Schlüsselaustausch = einen Angriff bietet. Umgangen kann das nur werden, in dem die Implementierung sattelfest vorgenommen wurde.

    Das ist aber ein Problem das die Implementierungen nicht sauber und "korrekt" ausgeführt werden und daher die "Algorithmen" angreifbar werden.

    Was am Ende bleibt?
    Ich sage immer wieder : Secure ! - gehört da hin - wo Secure auch gebraucht wird. Dann kann man diesen Systemen auch die gebotene Aufmerksamkeit widmen.

    Sourcen zum einlesen :
    http://www.ruhr-uni-bochum.de/nds/lehre/vorlesungen/systemsicherheit_alt/Systemsicherheit11_SSL_2B.pdf
    https://www.ietf.org/mail-archive/web/openpgp/current/msg00999.html
    https://blog.filippo.io/bleichenbacher-06-signature-forgery-in-python-rsa/
    https://www.symantec.com/connect/blogs/common-rsa-implementation-mistake-explained
    http://www.steffen-rumpf.de/wp-content/uploads/2008/09/main.pdf
    https://blog.cryptographyengineering.com/2016/03/01/attack-of-week-drown/

  1. Thema

Neues Thema


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Lead IT Expert Intranet & Web Applications (m/w/d)
    BWI GmbH, deutschlandweit
  2. Online Data Analyst (m/w/d)
    TELUS International AI, deutschlandweit (Home-Office)
  3. Application SW Engineer Electric Vehicle Motion Control (m/w / divers)
    Continental AG, Nürnberg
  4. Softwareentwicklerin (w/m/d) Querschnitt und Umgebungsmanagement
    Landesamt für Steuern Niedersachsen, Hannover

Detailsuche


Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. u. a. The Division 2 - Warlords of New York Edition für 16,50€, Rainbow Six Siege - Ultimate...
  2. 8,99€
  3. 51,99€ statt 79,99€
  4. 9,49€


Haben wir etwas übersehen?

E-Mail an news@golem.de