Download de presentatie
De presentatie wordt gedownload. Even geduld aub
GepubliceerdMichiel Maas Laatst gewijzigd meer dan 10 jaar geleden
1
Kraken in de praktijk Ronny Wichers Schreur Digital Security Radboud Universiteit Nijmegen
Vragen staat vrij! Onderbreek me gerust. DS grootste onderzoeksgroep NL naar computerbeveiliging.
2
Praktische gebruik cryptografie
Overzicht Kraken in de praktijk aan de hand van OV-chip hack Praktische gebruik cryptografie aan de hand van (aanvallen op) RSA
3
De beste (enige?) manier om te kijken of beveiliging goed is:
probeer de beveiliging te breken denk als een aanvaller Wiskundige bewijzen nuttig, maar altijd gaan uit van een bepaald model. De aanvaller hoeft zich daar niet aan te houden!
4
De OV chipkaart Onderzoek naar OV-chip: 2006 eerst privacy, daarna technische kant onderzocht
5
Een OV chipkaart van binnen
antenne OV-chip is RFID kaart, Mifare chip, Crypto1 versleuteling Geen batterij: energie en communicatie door radioveld van de lezer (tot 10cm)
6
Hoe hack je een RFID systeem?
7
Reverse Engineering: Hoe werkt het.
Luister af wat ov chipkaart tegen de lezer zegt; Communicatie protocol tussen poortje en kaart. Wie bent u? ? Radioveld af te luisteren met speciale apparatuur: ProxMark Ik ben kaart
8
luister af wat ov chipkaart tegen de lezer zegt
replay attack luister af wat ov chipkaart tegen de lezer zegt en maak apparaat dat precies hetzelfde zegt Wie bent u? Ik ben kaart
9
replay attack werkt voor wegwerp ov chipkaart!
poortje ziet geen verschil tussen echte kaart en de kloon Ghost device van Roel Verdult
10
Hoe kun je een replay attack voorkomen?
zorg dat communicatie tussen RFID en lezer steeds anders is (zgn challenge-response mechanisme) vraag ? ? antwoord
11
challenge-response protocol
hierbij wordt versleuteling gebruikt: het antwoord is een versleuteling van de vraag met een geheime sleutel wie bent u? ik ben kaart K n? versleutelKEY{n}
12
challenge-response protocol
Eerste sessie: wie bent u? ik ben kaart 2499? 5014
13
challenge-response protocol
Volgende sessie: wie bent u? ik ben kaart Challenge wordt ook wel nonce genoemd Noem wederzijdse authenticatie (mutual authentication) 9811? 2944
14
reverse engineering Hoe kun je zo'n challenge-response mechanisme kraken? probeer achter het versleutelingsalgoritme te komen vaak is dat een openbare standaard, soms niet probeer achter de sleutel te komen, door alle mogelijke sleutels te proberen kost meestal (te)veel tijd of bij slecht ontworpen versleutelingsalgoritme, is de sleutel vaak sneller te bepalen algoritme op Mifare Classic RFID kaarten is slecht ontworpen...
15
kraken Reverse-engineering OV-chip Globale structuur bekend
Schuifregister + niet-lineair filter Symmetrische versleuteling Ga nu dieper in op Crypto1 versleuteling Voor reverse-engineering: probeer eigen systeem te verkrijgen (hier: kaart, lezer en mogelijkheid sleutels te zetten).
16
Linear Feedback Shift Register
(Schuifregister met lineaire terugkoppeling) LFSR Terugkoppeling is lineaire functie toegepast op een aantal bits in het register
17
⊕ staat voor optellen modulo 2
Voorbeeld LFSR 8-bits register, ⊕ exclusieve of, oftewel optelling modulo 2 ⊕ staat voor optellen modulo 2
18
Voorbeeld LFSR Terugkoppeling
19
Voorbeeld LFSR Schuiven
20
Voorbeeld LFSR Noem LFSR stroom
21
Voorbeeld LFSR Terugkoppeling: vragen wat de volgende bit is
22
Voorbeeld LFSR
23
Voorbeeld LFSR
24
Voorbeeld LFSR Schuif Vraag naar periode: 2^n-1
25
Two-table attack LFSR zijn goedkoop in hardware te maken, maar niet veilig omdat de relatie lineair is. Toevoegen niet lineaire filterfunctie maakt het cryptografisch sterker Initialisatie LFSR met sleutel en challenges
26
Feedback op regelmatige posities
33
Twee-tabellen aanval Even en oneven gedeelte van LFSR kunnen afzonderlijk berekend worden 20-bits invoer: gemiddeld 220/2= 219 (half millioen) fragmenten passen bij keystream Breid elk fragment uit: gemiddeld 219 fragmenten in elke tabel Combineer de twee tabellen
34
Vele andere zwakheden gevonden:
Cryptanalysis Vele andere zwakheden gevonden: langere nonces geacceptreed door lezers cijferstroom hergebruikt voor pariteitsbits kaartnonce versleuteld voor volgende sector linker bit niet gebruikt in filterfunctie regelmatig posities bits voor filterfunctie versleutelde foutmeldingen parititeitsbit over klare tekst lage entropy nonces (16 bits) voorspelbare kaartnonces cijferstroom verbuigbaar Te veel om op te noemen
35
Gevolgen OV-Chip (Mifare) gehackt Responsible disclosure AIVD op bezoek Rechtzaak NXP OV-chip nog in gebruik (maar wel wat verbeterd) Ander onderzoek: geheugenchips, femtocel, startonderbrekers (rechtzaak VW vooralsnog verloren)
36
RSA Kies priemgetallen p en q, waarbij p ≠ q . Bereken m=p⋅q en φ(m). Kies een restklasse e. Bereken de restklasse d (e-1 in Zφ(m)) Vernietig de getallen p, q en φ(m)! Publieke sleutel (m, e), geheime sleutel (m, d ) c = be in Zm b = cd in Zm
37
Waar zitten mogelijke problemen?
38
RSA Kies priemgetallen p en q, waarbij p ≠ q . Bereken m=p⋅q en φ(m). Kies een restklasse e. Bereken de restklasse d (e-1 in Zφ(m)) Vernietig de getallen p, q en φ(m)! Publieke sleutel (m, e), geheime sleutel (m, d ) c = be in Zm b = cd in Zm
39
Kies priemgetallen p en q willekeurig!
Berekeningen zijn deterministisch Vergaar entropie (toeval) van buiten: timing van gebeurtenissen (toetsaanslagen, aankomst netwerkprocessen, timing harde schijf, levensduur processen, etc) gebruik fysieke toevalsgenerator Andere probleem: p en q te dicht bij elkaar -> Fermat factorisatie
40
Voorbeeld 1 :Debian/OpenSSL debacle
Door programmeerfout meeste entropie niet gebruikt Fout geïntroduceerd in OpenSSL open Debian/Linux (en dus ook in afgeleide Ubuntu, etc) Slecht enkele honderdduizenden mogelijke sleutels Fout gemaakt in 2006, ontdekt in 2008 Alle gegeneerde sleutels uit deze periode zwak en dus de systemen kwetsbaar (SSL, ssh, etc.) Geeft snel een fout gemaakt en hoe lastig deze te ontdekken kan zijn (zelfs bij Open Source)
41
Router thuis beschikt over weinig entropie
Voorbeeld 2: Routers Router thuis beschikt over weinig entropie sleutels gegenereerd bij eerste keer opstarten géén toetsenbord géén harde schijf weinig processen weinig/géén netwerkverkeer Gevolg: grote kans dat twee verschillende routers een RSA priemfactor delen. Gemeenschappelijke factor snel te vinden: Hoe? Demo met sage
42
Voorbeeld 2: Routers, vervolg
Heninger et all. verzamelden miljoenen publieke (SSL en SSH) sleutels op het internet Tienduizenden publieke sleutels met gemeenschappelijke factor gevonden Bron:
43
Kies priemgetallen p en q, waarbij p ≠ q . Bereken m=p⋅q en φ(m).
RSA Kies priemgetallen p en q, waarbij p ≠ q . Bereken m=p⋅q en φ(m). Kies een restklasse e. Bereken de restklasse d (e-1 in Zφ(m)) Vernietig de getallen p, q en φ(m)! Publieke sleutel (m, e), geheime sleutel (m, d ) c = be in Zm b = cd in Zm p, q en φ(m) uit (m, d) terug te rekenen
44
Houd sleutelmateriaal geheim!
Sleutelmateriaal moet geheim blijven, maar moet wel gebruikt kunnen worden. Gebruik HSM (hardware secure module): sleutel kan niet worden gekopieerd Beveilig toegang tot sleutelmateriaal wachtwoorden goed beveiligde, up-to-date systeem
45
Voorbeeld: DigiNotar affaire
DigiNotar: Certificaatautoriteit, ondertekende publieke sleutels, werd vertrouwd door alle browsers Computersysteem werd gekraakt Aanvaller kon zelf certificaten ondertekenen in naam van DigiNotar Hiermee man-in-the-middle aanvallen mogelijk Gevolg: DigiNotar niet meer vertrouwd, vele NL overheidssites tijd niet bruikbaar
46
Kies priemgetallen p en q, waarbij p ≠ q . Bereken m=p⋅q en φ(m).
RSA Kies priemgetallen p en q, waarbij p ≠ q . Bereken m=p⋅q en φ(m). Kies een restklasse e. Bereken de restklasse d (e-1 in Zφ(m)) Vernietig de getallen p, q en φ(m)! Publieke sleutel (m, e), geheime sleutel (m, d ) c = be in Zm b = cd in Zm Elke stap waar sleutelmateriaal gebruikt wordt
47
Lek geen geheimen Side-channel analyse: observeer gedrag berekening en probeer hier informatie uit te halen Tijd: hoe lang duurt een berekening Stroom: (power analysis) wanneer gebruikt de berekening hoeveel stroom Geheugen: wanneer gebruikt de berekening hoeveel geheugen (bijvoorbeeld cache) Straling, geluid, enzovoorts
48
Voorbeeld: Power analysis RSA ondertekening
Ondertekening bericht a met geheime RSA-sleutel (d, m): s = ad mod m functie powermod (base, exp, m): r = while exp > 0: if exp mod 2 = 1: r = base * r mod m base = base2 mod m exp = exp div 2 return r gekleurde stappen zijn rekenintensief en kosten bijvoorbeeld veel stroom vermenigvuldiging alleen bij 1 in de geheime exponent
49
Meet het stroomverbruik tijdens de powermod
Power Analysis Meet het stroomverbruik tijdens de powermod Onderscheid vermenigvuldigen en kwadrateren Voorbeeld trace (RFID): Groen: kwadraat, rood: vermenigvuldig dips tussen zware berekeningen door te zijn in trace
50
Fouten veroorzaken Aanvaller verstoort de berekening (fault injection) Uit de foute uitkomst is informatie over de sleutel te achterhalen
51
Voorbeeld RSA digitale handtekening snelle CRT versie van s = ad mod m q’ = q-1 mod p sp = sd mod p sq = sd mod q s = sq + ((sp – sq) q’ mod p) q GGD(a – se, m) = 0
52
RSA digitale handtekening snelle CRT versie van s = ad mod m
Voorbeeld RSA digitale handtekening snelle CRT versie van s = ad mod m q’ = q-1 mod p s’p = sd mod p + x = sp+ x sq = sd mod q s’ = sq + ((s’p – sq) q’ mod p)⋅q = s + y⋅q GGD(a – s’e, m) = q Laaste stap uitwerken op bord
53
Conclusie Wiskundige correct geen garantie voor veilig Gebruik standaard, open algoritmes (Kerckhoffs) Gebruik standaard bibliotheken Zeer terughoudend zijn met zelf knutselen
Verwante presentaties
© 2024 SlidePlayer.nl Inc.
All rights reserved.