SSL Security Event Compass Security / keyon 24. April 2003

Transkript

1 SSL Security Event Compass Security / keyon 24. April 2003 Walter Sprener Dipl. El.-In. FH Markus Isler Dipl Informatik-In. ETHZ CFO

2 Motivation Wieso dieser Event? Schwachstellen in OpenSSL Wieso Compass Security und keyon? Compass Security und keyon eränzen sich Ziel des Events Um welche Schwachstellen handelt es sich? Wie funktionieren die Schwachstellen? Welche Produkte sind betroffen? Wie Wahrscheinlich ist ein erfolreiches Ausnützen? Welche Aktivitäten ereben sich aufrund der Schwachstellen? Pae 2

3 Compass Security Penetration Tests Hackin im Auftra Wardrivin/Wardialin Vulnerability Scans Security Review Review von Applikationen und Infrastrukturen Umfassende Security Assessments IT Security Trainin ISACA Kurse (Applikations- und Internet-Sicherheit) Technoloietransfer zu Fachhochschule Rapperswil Forschunsprojekte mit ISB.ADMIN.CH Pae 3

4 keyon Beratun und Projekt Manaement Rechtliche, oranisatorische und technische Beratun im Umfeld von e-business Lösunen Erarbeiten und Umsetzen von e-business Prozessen IT-Security Erarbeiten und Umsetzen von Sicherheitskonzepten PKI- und SSO Lösunen, PKI Enablin von Applikationen Interationen von Smart Cards und Hardware Security Modulen Kundenspezifische Entwicklunen Realisierun von komplexen Client- Server Lösunen basierend auf modernsten Technoloien (J2EE, Web Services,.NET) Erweiterun und Interation bestehender Applikationen GUI basierte Desktop Frontends Pae 4

5 Aenda Berüssun Demo EPFL Schwachstelle Grundlaen Voraussetzunen fürs Ausnützen Erklärunen zu CBC und private Key Attacke Verhinderun der Attacken Fraen/Antworten/Diskussion Pae 5

6 Aenda Berüssun Demo EPFL Schwachstelle Grundlaen Voraussetzunen fürs Ausnützen Erklärunen zu CBC und private Key Attacke Verhinderun der Attacken Fraen/Antworten/Diskussion Pae 6

7 Demo Netzwerk Netzwerk-Topoloie (physikalisch) Hacker IMAP Client IMAP Server Switch Pae 7

8 Demo Netzwerk Netzwerk-Komponenten IMAP-Client Hacker Outlook Express als IMAP Client (IMAP over SSL) Compass-Tool zum automatischen Mail-Sync Linux Default-Installation Omen (EPFL Demo Tool) IMAP-Server IMAP Server (WU-IMAPrev1) stunnel mit OpenSSL Netzwerk Switched Twisted-Pair Ethernet Pae 8

9 Demo Netzwerk Netzwerk-Verbindunen Hacker Umleiten der SSL-Verbindun über Hacker (Man-In-The-Middle) IMAP Client Normale, direkte SSL-Verbindun IMAP Server Pae 9

10 Man-In-The-Middle Umleiten einer SSL-Verbindun ARP Spoofin DNS Spoofin Client-Konfiuration ändern (Virus, Trojaner) Hosts-Datei verändern Outlook Confi verändern Kontrolle über Netzwerk-Komponenten Routin verändern Pae 10

11 Screenshots Demo IMAP Client mit AutoSync-Tool Pae 11

12 Screenshots Demo EPFL Demo Tool: OMEN Pae 12

13 Aenda Berüssun Demo EPFL Schwachstelle Grundlaen Voraussetzunen fürs Ausnützen Erklärunen zu CBC und private Key Attacke Verhinderun der Attacken Fraen/Antworten/Diskussion Pae 13

14 Kryptosystem Public-Key (asymmetrisches) Kryptosystem Verschlüsselun (RSA) Sinaturen (RSA, DSA) M C M E K1 (M) D K2 (C) public private Pae 14

15 Kryptosystem Konventionelles (symmetrisches) Kryptosystem Verschlüsselun Block-Cipher (DES, 3-DES, IDEA, RC5) Stream-Cipher (RC4) M C M E K (M) D K (C) Pae 15

16 Boolsche Alebra XOR 0 XOR 0 = 0 0 XOR 1 = 1 1 XOR 0 = 1 1 XOR 1 = 0 Pae 16

17 Verschlüsselun Blockcipher DES, IDEA, 3-DES, RC5 Blockläne (z.b. 8 Byte) Paddin content paddin CBC Cipher-Block-Chainin m i i Cipher c i Cipher -1 i m i i c i-1 i-1 c i-1 i-1 Pae 17

18 MAC Messae Authentication Code (MAC) Datenauthentifikation Hashfunktion (SHA-1, MD5) Schlüssel M MAC MAC(M) Pae 18

19 SSL Protocol SSL Handshake Data Client ClientHello ClientKeyExchane ChaneCipherSpec Finished Application Data Server ServerHello Certificate ServerHelloDone ChaneCipherSpec Finished Application Data Pae 19

20 SSL Record Layer SSLCiphertext type version lenth frament 1 Byte 2 Byte 2 Byte < 16 kbyte Generic Block Cipher content MAC paddin p-len n Byte hash size Byte p-len Byte 1 Byte Pae 20

21 Attacken Übersicht CBC Paddin Attacke SSL, IPSEC, WTLS Entschlüsseln von strukturierten Daten (SSL Record Layer) RSA Private Key Attacke RSA Implementation Herausfinden des RSA Private Keys OpenSSL (SSL Handshake) RSA basierte Session Attacke SSL, TLS (SSL Handshake) Sinieren mit RSA Private Key Entschlüsseln des SSL Master Secrets Pae 21

22 Side-Channel Attacken Side Channel Attacken Indirekter Anriff auf Alorithmus über Seitenkanal Schwachstelle in Implementation Schwachstelle in Protokoll Timin Attacke Implementations-Schwachstellen Alorithmus ist ok Implementations-Fehler Protokoll Fehler Pae 22

23 Aenda Berüssun Demo EPFL Schwachstelle Grundlaen Voraussetzunen fürs Ausnützen Erklärunen zu CBC und private Key Attacke Verhinderun der Attacken Fraen/Antworten/Diskussion Pae 23

24 Voraussetzunen CBC Paddin Attacke Verschlüsselun im CBC-Modus 80% wird RC4-MD5 (kein CBC) verwendet Man-In-The-Middle TCP Datenpakete müssen verändert werden können Konstantes Zeitverhalten Nahe beim Server Viele (ca. 2000) identische Verbindunen Verbindun wird bei jedem Versuch abebrochen und muss neu aufebaut werden Zu entschlüsselnde Daten immer an derselben Stelle Pae 24

25 Voraussetzunen RSA basierte Session Attacke Man-In-The-Middle Anreifer muss Verkehr belauschen können Konstantes Zeitverhalten Nahe beim Server Viele (ca. 2.7 Millionen) identische Verbindunen Verbindun wird bei jedem Versuch abebrochen und muss neu aufebaut werden SSL Verbindun kann erst im Nachhinein entschlüsselt werden Pae 25

26 Voraussetzunen RSA Private Key Attacke Kein Man-In-The-Middle Anreifer ist selbst ein SSL Client Konstantes Zeitverhalten Nahe beim Server Viele (ca. 1.5 Millionen) Verbindunen können über läneren Zeitraum verteilt werden Pae 26

27 Wahrscheinlichkeit Wahrscheinlichkeit: Zeitverhalten Zeitunterschiede bei den 3 OpenSSL Timin Attacken im Milisekunden Bereich Voraussetzun für konstantes Zeitverhalten: Server steht nicht unter Last Netzwerkkomponenten verzöern jedesmal leich lan weni Netzverkehr Pae 27

28 Wahrscheinlichkeit Wahrscheinlichkeit: Zeitverhalten Verzöerunen im Labor-Netzwerk (nur Client und Server) Abweichun vom Mittelwert Millisekunden Messwert Pae 28

29 Wahrscheinlichkeit Wahrscheinlichkeit: Zeitverhalten Verzöerunen über einen Router/Firewall (Intranet zu DMZ) Abweichun vom Mittelwert Millisekunden Messwert Pae 29

30 Wahrscheinlichkeit Wahrscheinlichkeit: Zeitverhalten Verzöerunen über 10 Router (Internet) Abweichun vom Mittelwert Millisekunden Messwert Pae 30

31 Wahrscheinlichkeit Wahrscheinlichkeit: Man-In-The-Middle Wenn ein Anreifer Man-In-The-Middle sein kann, dann hat er folende, einfachere Anriffs-Mölichkeiten: Server simulieren und somit Passworte direkt empfanen Belauschen jelichen Verkehrs Pae 31

32 Wahrscheinlichkeit Wahrscheinlichkeit: CBC Modus, Identische Verbindunen 80% der SSL Verbindunen werden Standardmässi mit dem Alorithmus RC4-MD5 betrieben (Serverbetreiber oder User muss RC4-MD5 explizit deaktivieren, dass CBC zum Einsatz kommt) Benutzer erhält zum Beispiel beim Outlook IMAP Client dauernd Fehlermeldunen. Ob der Benutzer 2000 mal versucht Mails zu holen mit diesen Fehlermeldunen? Pae 32

33 Protokoll IMAP Trace 0000 OK CAPABILITY completed 0001 LOGIN "hmeier" "MY.,PASS" 0001 OK User hmeier authenticated 0002 IDLE 0002 OK IDLE completed XXXX LOGIN <username> <password> CR LF Pae 33

34 Protokoll HTTP Trace POST HTTP/1.0 Accept: imae/if, imae/x-xbitmap, imae/jpe, imae/pjpe, application/vnd.ms-excel, application/msword, application/vnd.mspowerpoint, */* Referer: Accept-Lanuae: de-ch Content-Type: application/x-www-form-urlencoded Proxy-Connection: Keep-Alive User-Aent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0;.NET CLR) Host: Content-Lenth: 46 Prama: no-cache Cookie: sessionid= Pae 34

35 Aenda Berüssun Demo EPFL Schwachstelle Grundlaen Voraussetzunen fürs Ausnützen Erklärunen zu CBC und private Key Attacke Verhinderun der Attacken Fraen/Antworten/Diskussion Pae 35

36 CBC Attacke Paddin Block-Cipher (DES, IDEA, 3-DES, RC5) Blockläne (z.b. 8 Byte) m 1 m 2 m n p 1 p k n + k = Vielfaches von Blockläne SSL Paddin m 1 m 2 m n p 1 p k k m 1 m 2 m n 0 m 1 m 2 m n Pae 36

37 CBC Attacke CBC Attacke Oriinal Cipher Text? Manipulierter Cipher Text random random random? Manipulierter Klartext decryption failed alert bad record mac alert Pae 37

38 CBC Attacke Last Word Oracle f 4 = S. o w t Cipher -1 G = u P + Cipher -1??????? D ) $ K 9 s X d decryption failed alert t XOR D = d 255 w = 256 Pae 38

39 CBC Attacke Last Word Oracle f 4 = S. o w D Cipher -1 G = u P + Cipher -1??????? D ) V $ K 9 s X 0 bad record mac alert D XOR D = 0 1 w = 256 Pae 39

40 CBC Attacke Last Word Oracle f 4 = S. o w D Cipher -1 G = u P + Cipher -1?????? v C ) V $ K 9 s 1 1 bad record mac alert D XOR C = 1 w XOR v = 1 w = Pae 40

41 CBC Attacke Problem Alerts sind verschlüsselt decryption failed alert bad record mac alert Lösun Timin Attacke Antwortszeiten der Alerts sind unterschiedlich t (bad record mac alert) > t (decryption failed alert) Unterschied: ~ 1 ms Attacke anfälli auf Störunen Pae 41

42 CBC Attacke Block Decryption Oracle Entschlüsseln von Blöcken Decryption Oracle Entschlüsseln von anzen Meldunen Aufwand Blockläne 8 Byte (DES, 3-DES, IDEA, RC5) N Blöcke Aufwand = 1024 N Oracle Aufrufe Attacke ist sehr effizient Pae 42

43 Private Key Attacke Timin Attacke auf RSA Implementation RSA decryption, RSA sinin bisher für Hardware Security Tokens und Smartcards C M D K2 (C) private Pae 43

44 Private Key Attacke OpenSSL RSA Implementation m = c d mod N, N = p q Chinese Reminder Theorem (CRT) m 1 = c d1 mod p (d1 vorausberechnet aus d) m 2 = c d2 mod q (d2 vorausberechnet aud d) m 1 kombiniert (nach CRT) mit m 2 eribt m Timin Attacke auf CRT Attacke auf p und q Faktorisierun von N Brechen des privaten Schlüssels Pae 44

45 Private Key Attacke Vereinfachun Schritt 1 und 2 verwenden den selben Code d mod q square and multiply x = 1011 mod q x = 1 x = x 2 mod q x = x 2 mod q x = x 2 mod q x = x 2 mod q quadrieren: lo 2 (d) multiplizieren: lo 2 (d) / 2 Pae 45

46 Private Key Attacke Montomery Reduktion z = x y mod q z = x y z = z mod q Variabeln in Montomery Form brinen Montomery Reduktion durchführen Letzter Schritt Output > q? ja: extra Reduktion nein: keine extra Reduktion Pae 46

47 Private Key Attacke Montomery Reduktion Wahrscheinlichkeit für eine extra Reduktion: steit je näher an q kommt. Fällt schlaarti bei mod q = 0. Anzahl extra Reduktion q 2q extra Reduktion Timin Attacke 1 Pae 47

48 Private Key Attacke Multiplication Routines (OpenSSL) z = x y m = words(x), n = words(y) Karatsuba m = n Zeit = O(n 1.58 ) normal m n Zeit = O(n m) Multiplcation Routine Seleciton Timin Attacke 2 Pae 48

49 Private Key Attacke Timin Attacke een OpenSSL 1024 Bit RSA Private Key Schätzun für q: > > Timin für Decryption für Kombination der 3 höchsten Bits 2 Peaks für p und q 1. Peak für q (q < p) Finden des i-ten Bits von q i i dectime() dectime( ) ross i-tes Bit ist 0 klein i-tes Bit ist 1 Pae 49

50 Private Key Attacke Timin Attacke een OpenSSL ross i-tes Bit ist 0 dectime() dectime( ) > 0 Extra Reduction dectime() dectime( ) < 0 Multiplication Routine Coppersmith s Alortihm Nach der Hälfte der Most Sinificant Bits Faktorisierun N faktorisiert RSA Private Key ebrochen Pae 50

51 Aenda Berüssun Demo EPFL Schwachstelle Grundlaen Voraussetzunen fürs Ausnützen Erklärunen zu CBC und private Key Attacke Verhinderun der Attacken Fraen/Antworten/Diskussion Pae 51

52 Verhinderun Falls OpenSSL einesetzt wird: Folende Produkte setzen z.b. auf OpenSSL Apache/mod_ssl und Varianten davon stunnel sslwrap Auf aktuelle Version updaten (Version 0.9.7b) Pae 52

53 Verhinderun Falls nicht OpenSSL einesetzt wird: Bestätiun vom Hersteller verlanen, dass: die 3 Schwachstellen in seinem Produkt etestet wurden respektive ein Source Code Review stattefunden hat die Schwachstellen entweder nicht vorhanden sind oder ein Patch bzw. eine neue Version lieferbar ist Bestätiunsfraen an Hersteller: Pae 53

54 Verhinderun CBC Paddin Attacke deaktivieren des CBC Modus, bis Patch einespielt ist überwachen der Lodateien auf folende Einträe decryption failed bad mac decode Pae 54

55 Verhinderun RSA Private Key Attacke RSA Blindin einschalten Ist per Default AUS-eschaltet Mit dem Update (OpenSSL 0.9.7b) ist RSA Blindin per Default EIN-eschaltet RSA Blindin bei den meisten Hardware Security Modulen implementiert Pae 55

56 Aenda Berüssun Demo EPFL Schwachstelle Grundlaen Voraussetzunen fürs Ausnützen Erklärunen zu CBC und private Key Attacke Verhinderun der Attacken Fraen/Antworten/Diskussion Pae 56