BULLRUN, EDGEHILL & Co. Wie Geheimdienste Verschlüsselung brechen

Transkript

1 BULLRUN, EDGEHILL & Co. Wie Geheimdienste Verschlüsselung brechen

2 BULLRUN, EDGEHILL & Co. NSA & GCHQ nur Beispielhaft Heilige Kuh der Geheimdienste Strategische Schwächung von Verschlüsselungen Ziel Aufrechterhaltung der Fähigkeit zum Abfangen & Auswerten jeglicher Kommunikation

3 Moderne kryptographische Verfahren (Auswahl)

4 Symmetrische Verschlüsselung Block- oder Stromchiffre (AES, Serpent, Twofish, Salsa etc.) Input Block 128 Bit Secret Key Bit XOR Round Key geheimer Schlüssel, öffentlich bekannter Algorithmus SBox Transform Shift Block Rows Schlüssel heutzutage Bit Rounds Mix Block Columns XOR Round Key Round Subkeys Vergleichbar mit buchstabenweisen historischen Verfahren SBox Transform Shift Block Rows XOR Round Key Output Block 128 Bit

5 Verschlüsselungs-Modi Verschlüsselung größerer Datenmengen Blockweise Verschlüsselung schlecht Nicht authentifiziert Cipher Block Chaining, CTR etc. Teilweise Padding erforderlich IV ECB Encryption on BMP picture (c) Picture by Lerry Ewing Plaintext 1 Plaintext Authentifiziert Block Encryption Block Encryption Galois Counter Mode, EAX etc. Ciphertext 1 Ciphertext 2 CBC Encryption Mode

6 Angriffsszenarien Manipulation oder Fehler? Schwächen im Verfahren Fehler in der Implementierung Side Channels Direkte Manipulation Covert Channels

7 Angriffe auf die Verfahren

8 XML Verschlüsselung Nutzt CBC für Daten ohne verpflichtenden MAC oder Signatur IV Bit Ciphertext SOAP-Server (Axis2) meldet Paddingund XML-Fehler unterschiedlich Block Decryption von der Ruhr-Uni gebrochen Entferne Signatur (ist optional) Plaintext Bit Entnehme ein CBC-Block Minimal Padding XML Data 0x01 Kontrolliere Padding dann XML Maximal Padding (128 Bit Block Cipher) Random Bytes 0x10

9 TLS/SSL Verschlüsselung Content MAC Padding Design-Fehler MAC, add Padding then Encrypt Encrypted Payload Transmit Zeitunterschiede messbar Decrypt Entschlüsseln & falsches Padding Failed Check Padding Failed Entschlüsseln & MAC berechnen Vaudenay Mitigation Calculate MAC Timing Difference Failed Check MAC Failed Padding Oracle Attack Vaudenay (2002), Lucky13 (2013)

10 Dual-EC DRBG (Backdoor) NIST SP A, 1. Draft : Gjøsteen, später Brown veröffentlichen Zweifel 2007: Ferguson/Shumow erhärten Probleme Snowden-Dokumente bestätigen mathematische Backdoor Berechnung des Zustands möglich (mathematische Beziehung Q zu P)

11 Angriffe auf die Implementierung

12 Taiwan Citizen Digital Certificate" Smartcard basierte Digitale Identität RSA-1024 Bit Zertifiziert durch NIST, CSE, Common Criteria EAL4+, BSI 184 Schlüssel gebrochen (Bernstein et al.) Two most common primes used: 103 mit gleichen Primzahlen (GCD) (c) Picture by Bernstein et al. 81 mit Primzahlen basierend auf Muster

13 Konzept & Verständnis-Fehler Sony PS3 ECDSA-Signatur Message M 2 Random K Message M 1 Hash Hash Code-Validierung mittels ECDSA Signatur E 2 k*g E 1 Signature 2 Signature 1 R K -¹ * (E 2 + R * PrivateKey) K -¹ * (E 1 + R * PrivateKey) ECDSA erfordert NONCE ( Number used only ONCE ) S 2 S 1 Message M 2 Message M 1 Sony wählte feste Zahl (=0) Hash (E 1 - E 2 ) / (S 1 - S 2 ) Hash E 2 K E 1 Privater Schlüssel berechenbar (S 1 * K - E 1 ) / R R PrivateKey

14 Programmierfehler Debian OpenSSL-Bug ( ) Entfernen von 2 Code-Zeilen nach automatischer Code-Analyse Entropie nur 15 Bit für SSH-Keys Apple SSL goto fail Bug Falsches Code-Fragment überspringt Prüfung Unit-Testing? Code Coverage?

15 Not so random PRNG Statistische Methoden erkennen nur Verteilung, NICHT Zufall CTR-Mode bietet beste statistische Werte Rück- und Vorberechnung möglich Klassisches Verfahren Wähle Zufallsschlüssel Wähle IV, PRNG-Zustand ist offen Attacker "Secure" Application Manipulated PRNG Block X Fixed Key Counter Secret Key Secret Key Block X+1 Random 16 Bit few tries Check Byte IV DES "PnRNG" Block X+2 Block X+3 Block X+4 Counter X+3 PnRNG State DES Decrypt 8x PnRNG Key Random 16 Bit known

16 Side & Covert Channels

17 Side Channel Auswertung von Meta-Informationen Zeitabläufe RSA Decryption (mod N): Message M = Ciphertext C ^ M = M * M Private Key D M = M * C Stromverbrauch Hitzeverteilung M = M * M M = M * M M = M * C RSA Private Key einer Smartcard Effect of RSA Square & Multiply Algorithm: Square & Multiply Algorithmus Differenz zwischen M*M und M*C (c) Picture by Job de Haas

18 Covert (Subliminal) Channel Random SSL Secret Key Offset Checksum Partial Key Random 19 Bit Offset 5 Bit Checksum 8 Bit Partial Key 96 Bit Explizites Ausleiten von sensiblen Informationen Subliminal-Beispiel: SSL/TLS (after BEAST Mitigation) Block Cipher Pre-defined Key Verschmelzung im IV Blinding SSL IV ~268 Mio. IVs per Key (28 Bit) SSL Encrypted Payload Kombination aus Zufallsdaten, Prüfsumme und Schlüsselteil 128 Bit Key in 2 Packets 256 Bit Key in 3 Packets Blinding vertuscht Format

19 Zukunft der Verschlüsselung

20 Are we doomed? Anzahl der involvierten Dienste und Hersteller - unklar Mathematischer Wissensvorsprung der Dienste - unklar Zertifizierungen - langwierig, Vertrauen erschüttert Implementierungen weiterhin katastrophal - veraltete Verfahren, schlechte Code-Qualität

21 Quo vadis? Kryptographische Verfahren & Implementierung nur von Experten Neueste Methoden, kein 76er CBC Neue Formen der Evaluierung von Implementierungen (Binärprüfung) KEINE staatliche Einflussnahme & Einschüchterung von Herstellern Die Bösen sind intelligent genug, ihre eigene Krypto zu machen!

22 Kenthor GmbH Theatinerstr München Tel. +49 (0)