id: Гость   вход   регистрация
текущее время 18:14 06/12/2024
Владелец: SATtva (создано 14/09/2006 22:50), редакция от 15/05/2007 21:16 (автор: SATtva) Печать
Категории: софт, сайт проекта, статьи, уязвимости, атаки, операционные системы, закрытый софт
создать
просмотр
редакции
ссылки

Дыра в RC4 от Microsoft


Одно из главных правил реализации потоковых шифров – никогда не использовать один и тот же выход генератора для шифрования двух разных документов. Если это правило нарушить, можно будет тривиально взломать криптосистему, объединив шифртексты операцией "исключающее ИЛИ". Гамма нейтрализуется, вы получаете два объединённых по XOR'у открытых текста, и можете легко восстановить любой с помощью частотного анализа текста и других элементарных приёмов.


Это дилетантская ошибка. Простой способ предотвратить такую атаку – использовать при каждом зашифровании документа в дополнение к ключу уникальный вектор инициализации (ВИ).


Microsoft реализовала потоковый шифр RC4 в своих программах Word и Excel. И допустила именно эту ошибку. Хонъюн Ву (Hongjun Wu) приводит подробности:


В этой работе мы хотим показать серьёзную ошибку в безопасности продуктов Microsoft Word и Excel. Потоковый шифр RC4 с длиной ключа до 128 бит используется в Word и Excel для защиты документов. Но всякий раз, когда зашифрованный документ подвергается правке и сохранению, вектор инициализации остаётся прежним, и, как следствие, для зашифрования различных редакций документа применяется идентичная сгенерированная алгоритмом гамма. Последствия этого катастрофичны, поскольку множество сведений о документе можно с лёгкость восстановить.

Это не новость. Microsoft уже наступала на грабли RC4 в 1999 г. в своём WinNT Syskey. Пять лет спустя она вновь повторяет это в других продуктах.


Брюс Шнайер
Перевод © 2005 SATtva

 
Несколько комментариев (2) [показать комментарии/форму]
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3