Kraken in de praktijk Ronny Wichers Schreur Digital Security Radboud Universiteit Nijmegen Vragen staat vrij! Onderbreek me gerust. DS grootste onderzoeksgroep NL naar computerbeveiliging.

Praktische gebruik cryptografie Overzicht Kraken in de praktijk aan de hand van OV-chip hack Praktische gebruik cryptografie aan de hand van (aanvallen op) RSA

De beste (enige?) manier om te kijken of beveiliging goed is: probeer de beveiliging te breken denk als een aanvaller Wiskundige bewijzen nuttig, maar altijd gaan uit van een bepaald model. De aanvaller hoeft zich daar niet aan te houden!

De OV chipkaart Onderzoek naar OV-chip: 2006 eerst privacy, daarna technische kant onderzocht

Een OV chipkaart van binnen antenne OV-chip is RFID kaart, Mifare chip, Crypto1 versleuteling Geen batterij: energie en communicatie door radioveld van de lezer (tot 10cm)

Hoe hack je een RFID systeem?

Reverse Engineering: Hoe werkt het. Luister af wat ov chipkaart tegen de lezer zegt; Communicatie protocol tussen poortje en kaart. Wie bent u? ? Radioveld af te luisteren met speciale apparatuur: ProxMark Ik ben kaart 987312

luister af wat ov chipkaart tegen de lezer zegt replay attack luister af wat ov chipkaart tegen de lezer zegt en maak apparaat dat precies hetzelfde zegt Wie bent u? Ik ben kaart 987312

replay attack werkt voor wegwerp ov chipkaart! poortje ziet geen verschil tussen echte kaart en de kloon Ghost device van Roel Verdult

Hoe kun je een replay attack voorkomen? zorg dat communicatie tussen RFID en lezer steeds anders is (zgn challenge-response mechanisme) vraag ? ? antwoord

challenge-response protocol hierbij wordt versleuteling gebruikt: het antwoord is een versleuteling van de vraag met een geheime sleutel wie bent u? ik ben kaart K n? versleutelKEY{n}

challenge-response protocol Eerste sessie: wie bent u? ik ben kaart 987312 2499? 5014

challenge-response protocol Volgende sessie: wie bent u? ik ben kaart 987312 Challenge wordt ook wel nonce genoemd Noem wederzijdse authenticatie (mutual authentication) 9811? 2944

reverse engineering Hoe kun je zo'n challenge-response mechanisme kraken? probeer achter het versleutelingsalgoritme te komen vaak is dat een openbare standaard, soms niet probeer achter de sleutel te komen, door alle mogelijke sleutels te proberen kost meestal (te)veel tijd of bij slecht ontworpen versleutelingsalgoritme, is de sleutel vaak sneller te bepalen algoritme op Mifare Classic RFID kaarten is slecht ontworpen...

kraken Reverse-engineering OV-chip Globale structuur bekend Schuifregister + niet-lineair filter Symmetrische versleuteling Ga nu dieper in op Crypto1 versleuteling Voor reverse-engineering: probeer eigen systeem te verkrijgen (hier: kaart, lezer en mogelijkheid sleutels te zetten).

Linear Feedback Shift Register (Schuifregister met lineaire terugkoppeling) LFSR Terugkoppeling is lineaire functie toegepast op een aantal bits in het register

⊕ staat voor optellen modulo 2 Voorbeeld LFSR 8-bits register, ⊕ exclusieve of, oftewel optelling modulo 2 ⊕ staat voor optellen modulo 2

Voorbeeld LFSR Terugkoppeling

Voorbeeld LFSR Schuiven

Voorbeeld LFSR Noem LFSR stroom

Voorbeeld LFSR Terugkoppeling: vragen wat de volgende bit is

Voorbeeld LFSR

Voorbeeld LFSR

Voorbeeld LFSR Schuif Vraag naar periode: 2^n-1

Two-table attack LFSR zijn goedkoop in hardware te maken, maar niet veilig omdat de relatie lineair is. Toevoegen niet lineaire filterfunctie maakt het cryptografisch sterker Initialisatie LFSR met sleutel en challenges

Feedback op regelmatige posities

Twee-tabellen aanval Even en oneven gedeelte van LFSR kunnen afzonderlijk berekend worden 20-bits invoer: gemiddeld 220/2= 219 (half millioen) fragmenten passen bij keystream Breid elk fragment uit: gemiddeld 219 fragmenten in elke tabel Combineer de twee tabellen

Vele andere zwakheden gevonden: Cryptanalysis Vele andere zwakheden gevonden: langere nonces geacceptreed door lezers cijferstroom hergebruikt voor pariteitsbits kaartnonce versleuteld voor volgende sector linker bit niet gebruikt in filterfunctie regelmatig posities bits voor filterfunctie versleutelde foutmeldingen parititeitsbit over klare tekst lage entropy nonces (16 bits) voorspelbare kaartnonces cijferstroom verbuigbaar Te veel om op te noemen

Gevolgen OV-Chip (Mifare) gehackt Responsible disclosure AIVD op bezoek Rechtzaak NXP OV-chip nog in gebruik (maar wel wat verbeterd) Ander onderzoek: geheugenchips, femtocel, startonderbrekers (rechtzaak VW vooralsnog verloren)

RSA Kies priemgetallen p en q, waarbij p ≠ q . Bereken m=p⋅q en φ(m). Kies een restklasse e. Bereken de restklasse d (e-1 in Zφ(m)) Vernietig de getallen p, q en φ(m)! Publieke sleutel (m, e), geheime sleutel (m, d ) c = be in Zm b = cd in Zm

Waar zitten mogelijke problemen?

RSA Kies priemgetallen p en q, waarbij p ≠ q . Bereken m=p⋅q en φ(m). Kies een restklasse e. Bereken de restklasse d (e-1 in Zφ(m)) Vernietig de getallen p, q en φ(m)! Publieke sleutel (m, e), geheime sleutel (m, d ) c = be in Zm b = cd in Zm

Kies priemgetallen p en q willekeurig! Berekeningen zijn deterministisch Vergaar entropie (toeval) van buiten: timing van gebeurtenissen (toetsaanslagen, aankomst netwerkprocessen, timing harde schijf, levensduur processen, etc) gebruik fysieke toevalsgenerator Andere probleem: p en q te dicht bij elkaar -> Fermat factorisatie

Voorbeeld 1 :Debian/OpenSSL debacle Door programmeerfout meeste entropie niet gebruikt Fout geïntroduceerd in OpenSSL open Debian/Linux (en dus ook in afgeleide Ubuntu, etc) Slecht enkele honderdduizenden mogelijke sleutels Fout gemaakt in 2006, ontdekt in 2008 Alle gegeneerde sleutels uit deze periode zwak en dus de systemen kwetsbaar (SSL, ssh, etc.) Geeft snel een fout gemaakt en hoe lastig deze te ontdekken kan zijn (zelfs bij Open Source)

Router thuis beschikt over weinig entropie Voorbeeld 2: Routers Router thuis beschikt over weinig entropie sleutels gegenereerd bij eerste keer opstarten géén toetsenbord géén harde schijf weinig processen weinig/géén netwerkverkeer Gevolg: grote kans dat twee verschillende routers een RSA priemfactor delen. Gemeenschappelijke factor snel te vinden: Hoe? Demo met sage

Voorbeeld 2: Routers, vervolg Heninger et all. verzamelden miljoenen publieke (SSL en SSH) sleutels op het internet Tienduizenden publieke sleutels met gemeenschappelijke factor gevonden Bron: https://factorable.net/

Kies priemgetallen p en q, waarbij p ≠ q . Bereken m=p⋅q en φ(m). RSA Kies priemgetallen p en q, waarbij p ≠ q . Bereken m=p⋅q en φ(m). Kies een restklasse e. Bereken de restklasse d (e-1 in Zφ(m)) Vernietig de getallen p, q en φ(m)! Publieke sleutel (m, e), geheime sleutel (m, d ) c = be in Zm b = cd in Zm p, q en φ(m) uit (m, d) terug te rekenen

Houd sleutelmateriaal geheim! Sleutelmateriaal moet geheim blijven, maar moet wel gebruikt kunnen worden. Gebruik HSM (hardware secure module): sleutel kan niet worden gekopieerd Beveilig toegang tot sleutelmateriaal wachtwoorden goed beveiligde, up-to-date systeem

Voorbeeld: DigiNotar affaire DigiNotar: Certificaatautoriteit, ondertekende publieke sleutels, werd vertrouwd door alle browsers Computersysteem werd gekraakt Aanvaller kon zelf certificaten ondertekenen in naam van DigiNotar Hiermee man-in-the-middle aanvallen mogelijk Gevolg: DigiNotar niet meer vertrouwd, vele NL overheidssites tijd niet bruikbaar

Kies priemgetallen p en q, waarbij p ≠ q . Bereken m=p⋅q en φ(m). RSA Kies priemgetallen p en q, waarbij p ≠ q . Bereken m=p⋅q en φ(m). Kies een restklasse e. Bereken de restklasse d (e-1 in Zφ(m)) Vernietig de getallen p, q en φ(m)! Publieke sleutel (m, e), geheime sleutel (m, d ) c = be in Zm b = cd in Zm Elke stap waar sleutelmateriaal gebruikt wordt

Lek geen geheimen Side-channel analyse: observeer gedrag berekening en probeer hier informatie uit te halen Tijd: hoe lang duurt een berekening Stroom: (power analysis) wanneer gebruikt de berekening hoeveel stroom Geheugen: wanneer gebruikt de berekening hoeveel geheugen (bijvoorbeeld cache) Straling, geluid, enzovoorts

Voorbeeld: Power analysis RSA ondertekening Ondertekening bericht a met geheime RSA-sleutel (d, m): s = ad mod m functie powermod (base, exp, m): r = 1 while exp > 0: if exp mod 2 = 1: r = base * r mod m base = base2 mod m exp = exp div 2 return r gekleurde stappen zijn rekenintensief en kosten bijvoorbeeld veel stroom vermenigvuldiging alleen bij 1 in de geheime exponent

Meet het stroomverbruik tijdens de powermod Power Analysis Meet het stroomverbruik tijdens de powermod Onderscheid vermenigvuldigen en kwadrateren Voorbeeld trace (RFID): Groen: kwadraat, rood: vermenigvuldig dips tussen zware berekeningen door te zijn in trace

Fouten veroorzaken Aanvaller verstoort de berekening (fault injection) Uit de foute uitkomst is informatie over de sleutel te achterhalen

Voorbeeld RSA digitale handtekening snelle CRT versie van s = ad mod m q’ = q-1 mod p sp = sd mod p sq = sd mod q s = sq + ((sp – sq) q’ mod p) q GGD(a – se, m) = 0

RSA digitale handtekening snelle CRT versie van s = ad mod m Voorbeeld RSA digitale handtekening snelle CRT versie van s = ad mod m q’ = q-1 mod p s’p = sd mod p + x = sp+ x sq = sd mod q s’ = sq + ((s’p – sq) q’ mod p)⋅q = s + y⋅q GGD(a – s’e, m) = q Laaste stap uitwerken op bord

Conclusie Wiskundige correct geen garantie voor veilig Gebruik standaard, open algoritmes (Kerckhoffs) Gebruik standaard bibliotheken Zeer terughoudend zijn met zelf knutselen