id: Гость   вход   регистрация
текущее время 12:10 28/03/2024
Владелец: unknown (создано 07/11/2007 11:43), редакция от 07/11/2007 17:15 (автор: unknown) Печать
Категории: криптография, софт, случайные числа, уязвимости, операционные системы, закрытый софт
http://www.pgpru.com/Новости/2007/НестойкостьВГПСЧWindowsПозволяетБыстроВскрыватьКлючиИSSL-соединения
создать
просмотр
редакции
ссылки

07.11 // Нестойкость в ГПСЧ Windows позволяет быстро вскрывать ключи и SSL-соединения


Израильские учёные Leo Dorrendorf, Zvi Gutterman и Benny Pinkas опубликовали работу "Cryptanalysis of the Random Number Generator of the Windows Operating System".


Им удалось дизассемблировать и трассировать закрытый код ОС Windows, содержащийся в библиотеках ADVAPI32.DLL, RSAENH.DLL и KSECDD.SYS и полностью восстановить исходный код генератора псевдослучайных чисел ОС Windows без какой-либо помощи со стороны компании Microsoft и практически полном отсутствии документации по этой теме. WRNG используют многочисленные приложения через вызов функции CryptGenRandom, также он используется в WinCryptoAPI.


В работе также приводятся сравнения с LRNG – реализацией ГПСЧ в Linux, в которой также были ранее обнаружены многочисленные уязвимости, но из-за особенности архитектуры ОС, практическое значение их оказалось не так велико.


Генератор Windows использует модифицированную функцию SHA-1 и потоковый шифр RC4. Не используя каких либо уязвимостей в самом шифре RC4, исследователи обнаружили многочисленные ошибки в дизайне генератора и его несоответствие элементарным и давно известным требованиям, которым должны отвечать такие генераторы.


Генератор запускается не на уровне ядра, а на уровне пользовательских процессов, отдельно для каждого процесса. Это даёт некоторые преимущества: если будет извлечено состояние генератора для одного процесса, то другие процесы не пострадают. Но это также облегчает к нему доступ (достаточно получить значение адресного пространства для определённого приложения) и делает возможным, получив значение из одного сеанса, вычислить другие. В некоторых случаях доступ вредоносного кода к компьютеру, необходимый для проведения такой атаки, может быть незначительным, а уязвимости в приложениях, раскрывающие состояния генератора, имеют много шансов остаться незамеченными.


Атака типа forward security (предсказание предыдущих состояний генератора) составляет 223 операций (всего несколько секунд на персональном компьютере), а атака на backward security (предсказание последующих состояний) тривиальна и имеет сложность всего O(1)


Это связано с тем, что обновление состояния генератора происходит не при каждой итерации, а только после использования выхода в 128 кбайт. Такое большое значение может быть израсходовано приложением зачастую лишь спустя несколько дней после запуска. Например, Internet Explorer обновит своё состояние PRNG только спустя 600-1200 SSL-сессий. Это очень большое временное окно для атаки. Если в Linux состояние генератора обновляется почти ежесекундно (что совместно с реализацией на уровне ядра и защитой от прямого чтения состояния пользовательскими процессами делают уязвимости в Linux некритичными – приложения могут читать только выход генератора), то в Windows оно может оставаться неизменным в течении многих дней или не успевать обновляться вообще.


Исследователи рекоммендуют полностью переработать дизайн генератора, убрать из него функцию на основе RC4, которая не обеспечивает forward security и вообще не должна применяться в ГПСЧ. ОС Windows Vista исследованию не подвергалась, но учёные предполагают, что данный дизайн генератора сохранён и в ней.


Источник: Cryptology ePrint Archive


 
На страницу: 1, 2 След.
Комментарии [скрыть комментарии/форму]
— SATtva (07/11/2007 15:39)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Как говорят на некоторых сайтах, виндекапец?
— unknown (07/11/2007 15:48)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
:-) Сервис пак выпустят
— sentaus (08/11/2007 11:38)   профиль/связь   <#>
комментариев: 1060   документов: 16   редакций: 32
...insecurity comes from obscurity...
— unknown (08/11/2007 11:46, исправлен 08/11/2007 11:48)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
Ждите сервис-пака, который позволяет более тщательно спрятать новые уязвимости от исследователей .
— alx_me (08/11/2007 11:55)   <#>
сервиспак для w2k и wxp ждать? :-\
может ещё предложишь обновлятся быдлу до vista за $?
хотя с видузоида станется.
OSS по-любому объективно рулит как бы не было в начале в конце всё равно всё выправится в идеал а у проприетарщины нет такого запаса прочности.
— ntldr (08/11/2007 12:08)   профиль/связь   <#>
комментариев: 371   документов: 19   редакций: 20
Мда, любой криптограф после таких ошибок должен повеситься от стыда... Но у m$ это не первый случай неправильной реализации криптографии. Они уже заработали себе препоганейшую репутацию в этой области.
И после этого они еще имеют наглость называть свой BitLocker самой безопасной системой шифрования дисков...
— Гость (08/11/2007 12:48)   <#>
А ещё российские атомные станции будут под виндой работать... Балмер и Кириенко снюхались. ППЦ.
— unknown (08/11/2007 14:55, исправлен 08/11/2007 14:57)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
Кстати, в США кажется запрещено дизассемблировать закрытые программы, даже с исследовательскими целями. Если это так, то таким исследователям туда ездить опасно. Арестуют ещё как Склярова.
— sentaus (08/11/2007 17:12, исправлен 08/11/2007 17:13)   профиль/связь   <#>
комментариев: 1060   документов: 16   редакций: 32
ИМХО, всё это несколько своебразное понимание афоризма "Безопасность – это процесс" :)
— FatalAid (09/11/2007 00:53)   профиль/связь   <#>
комментариев: 7   документов: 1   редакций: 2
Дожили...
Ну и что делать дырки в SSL затыкать или мотать из страны, атомные станции под виндой, это...
мне уже страшно...
— Гость (09/11/2007 10:48)   <#>
мотать из страны
Там тоже винда.
— SATtva (09/11/2007 14:54)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Это заговор!
— AVK (14/11/2007 08:03)   <#>
Ну и что все возбудились по поводу атомных станций? Там что, куча шпионских модулей, пытающихся добраться до шифрованных native-SSL-сессий?
И, кстати, не обязаны ли такие структуры использовать сертифицированную российскую криптуху типа крипто-про, где совсем другой ГСЧ?
В исходном сообщении говорится несколько больше, чем в этой статье. И самое главное – чтобы получить случайные данные, выделенные для конкретного процесса, необходим доступ к контексту процесса. Что уже в любом случае даст возможность получить (почти) любые данные процесса, и взлом RNG становится не нужен.
Так что же вы все подняли вой?
— unknown (14/11/2007 09:14, исправлен 14/11/2007 09:16)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
И самое главное – чтобы получить случайные данные, выделенные для конкретного процесса, необходим доступ к контексту процесса. Что уже в любом случае даст возможность получить (почти) любые данные процесса, и взлом RNG становится не нужен.

Это оправдание использовать плохой PRNG? А если легальный пользователь SSL сервера сможет с помощью небольшой уязвимости, которую раньше никто бы и уязвимостью не посчитал, поскольку думали, что генератор стойкий, получить большое количество ключей предыдущих сеансов, использовавшихся другими пользователями?

Что можно, да получив определённый доступ, сохранив при этом состояние генератора, но доступ даже не администраторский и не на уровне ядра, расшифровать данные, спустя какое-то время, когда какой-то файл или криптоконтейнер уже закрыт, SSL-сессия завершена?
— Гость (14/11/2007 11:35)   <#>
Ну и что все возбудились по поводу атомных станций?

У MS есть возможность отзывать подпись драйверов в висте. Обновления могут быть те ещё. Вообще, контроль извне над объектами стратегических отраслей должно прекратить.
На страницу: 1, 2 След.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3