De presentatie wordt gedownload. Even geduld aub

De presentatie wordt gedownload. Even geduld aub

Vragen staat vrij! Onderbreek me gerust.

Verwante presentaties


Presentatie over: "Vragen staat vrij! Onderbreek me gerust."— Transcript van de presentatie:

1 Kraken in de praktijk Ronny Wichers Schreur Digital Security Radboud Universiteit Nijmegen
Vragen staat vrij! Onderbreek me gerust. DS grootste onderzoeksgroep NL naar computerbeveiliging.

2 Praktische gebruik cryptografie
Overzicht Kraken in de praktijk aan de hand van OV-chip hack Praktische gebruik cryptografie aan de hand van (aanvallen op) RSA

3 De beste (enige?) manier om te kijken of beveiliging goed is:
probeer de beveiliging te breken denk als een aanvaller Wiskundige bewijzen nuttig, maar altijd gaan uit van een bepaald model. De aanvaller hoeft zich daar niet aan te houden!

4 De OV chipkaart Onderzoek naar OV-chip: 2006 eerst privacy, daarna technische kant onderzocht

5 Een OV chipkaart van binnen
antenne OV-chip is RFID kaart, Mifare chip, Crypto1 versleuteling Geen batterij: energie en communicatie door radioveld van de lezer (tot 10cm)

6 Hoe hack je een RFID systeem?

7 Reverse Engineering: Hoe werkt het.
Luister af wat ov chipkaart tegen de lezer zegt; Communicatie protocol tussen poortje en kaart. Wie bent u? ? Radioveld af te luisteren met speciale apparatuur: ProxMark Ik ben kaart

8 luister af wat ov chipkaart tegen de lezer zegt
replay attack luister af wat ov chipkaart tegen de lezer zegt en maak apparaat dat precies hetzelfde zegt Wie bent u? Ik ben kaart

9 replay attack werkt voor wegwerp ov chipkaart!
poortje ziet geen verschil tussen echte kaart en de kloon Ghost device van Roel Verdult

10 Hoe kun je een replay attack voorkomen?
zorg dat communicatie tussen RFID en lezer steeds anders is (zgn challenge-response mechanisme) vraag ? ? antwoord

11 challenge-response protocol
hierbij wordt versleuteling gebruikt: het antwoord is een versleuteling van de vraag met een geheime sleutel wie bent u? ik ben kaart K n? versleutelKEY{n}

12 challenge-response protocol
Eerste sessie: wie bent u? ik ben kaart 2499? 5014

13 challenge-response protocol
Volgende sessie: wie bent u? ik ben kaart Challenge wordt ook wel nonce genoemd Noem wederzijdse authenticatie (mutual authentication) 9811? 2944

14 reverse engineering Hoe kun je zo'n challenge-response mechanisme kraken? probeer achter het versleutelingsalgoritme te komen vaak is dat een openbare standaard, soms niet probeer achter de sleutel te komen, door alle mogelijke sleutels te proberen kost meestal (te)veel tijd of bij slecht ontworpen versleutelingsalgoritme, is de sleutel vaak sneller te bepalen algoritme op Mifare Classic RFID kaarten is slecht ontworpen...

15 kraken Reverse-engineering OV-chip Globale structuur bekend
Schuifregister + niet-lineair filter Symmetrische versleuteling Ga nu dieper in op Crypto1 versleuteling Voor reverse-engineering: probeer eigen systeem te verkrijgen (hier: kaart, lezer en mogelijkheid sleutels te zetten).

16 Linear Feedback Shift Register
(Schuifregister met lineaire terugkoppeling) LFSR Terugkoppeling is lineaire functie toegepast op een aantal bits in het register

17 ⊕ staat voor optellen modulo 2
Voorbeeld LFSR 8-bits register, ⊕ exclusieve of, oftewel optelling modulo 2 ⊕ staat voor optellen modulo 2

18 Voorbeeld LFSR Terugkoppeling

19 Voorbeeld LFSR Schuiven

20 Voorbeeld LFSR Noem LFSR stroom

21 Voorbeeld LFSR Terugkoppeling: vragen wat de volgende bit is

22 Voorbeeld LFSR

23 Voorbeeld LFSR

24 Voorbeeld LFSR Schuif Vraag naar periode: 2^n-1

25 Two-table attack LFSR zijn goedkoop in hardware te maken, maar niet veilig omdat de relatie lineair is. Toevoegen niet lineaire filterfunctie maakt het cryptografisch sterker Initialisatie LFSR met sleutel en challenges

26 Feedback op regelmatige posities

27

28

29

30

31

32

33 Twee-tabellen aanval Even en oneven gedeelte van LFSR kunnen afzonderlijk berekend worden 20-bits invoer: gemiddeld 220/2= 219 (half millioen) fragmenten passen bij keystream Breid elk fragment uit: gemiddeld 219 fragmenten in elke tabel Combineer de twee tabellen

34 Vele andere zwakheden gevonden:
Cryptanalysis Vele andere zwakheden gevonden: langere nonces geacceptreed door lezers cijferstroom hergebruikt voor pariteitsbits kaartnonce versleuteld voor volgende sector linker bit niet gebruikt in filterfunctie regelmatig posities bits voor filterfunctie versleutelde foutmeldingen parititeitsbit over klare tekst lage entropy nonces (16 bits) voorspelbare kaartnonces cijferstroom verbuigbaar Te veel om op te noemen

35 Gevolgen OV-Chip (Mifare) gehackt Responsible disclosure AIVD op bezoek Rechtzaak NXP OV-chip nog in gebruik (maar wel wat verbeterd) Ander onderzoek: geheugenchips, femtocel, startonderbrekers (rechtzaak VW vooralsnog verloren)

36 RSA Kies priemgetallen p en q, waarbij p ≠ q . Bereken m=p⋅q en φ(m). Kies een restklasse e. Bereken de restklasse d (e-1 in Zφ(m)) Vernietig de getallen p, q en φ(m)! Publieke sleutel (m, e), geheime sleutel (m, d ) c = be in Zm b = cd in Zm

37 Waar zitten mogelijke problemen?

38 RSA Kies priemgetallen p en q, waarbij p ≠ q . Bereken m=p⋅q en φ(m). Kies een restklasse e. Bereken de restklasse d (e-1 in Zφ(m)) Vernietig de getallen p, q en φ(m)! Publieke sleutel (m, e), geheime sleutel (m, d ) c = be in Zm b = cd in Zm

39 Kies priemgetallen p en q willekeurig!
Berekeningen zijn deterministisch Vergaar entropie (toeval) van buiten: timing van gebeurtenissen (toetsaanslagen, aankomst netwerkprocessen, timing harde schijf, levensduur processen, etc) gebruik fysieke toevalsgenerator Andere probleem: p en q te dicht bij elkaar -> Fermat factorisatie

40 Voorbeeld 1 :Debian/OpenSSL debacle
Door programmeerfout meeste entropie niet gebruikt Fout geïntroduceerd in OpenSSL open Debian/Linux (en dus ook in afgeleide Ubuntu, etc) Slecht enkele honderdduizenden mogelijke sleutels Fout gemaakt in 2006, ontdekt in 2008 Alle gegeneerde sleutels uit deze periode zwak en dus de systemen kwetsbaar (SSL, ssh, etc.) Geeft snel een fout gemaakt en hoe lastig deze te ontdekken kan zijn (zelfs bij Open Source)

41 Router thuis beschikt over weinig entropie
Voorbeeld 2: Routers Router thuis beschikt over weinig entropie sleutels gegenereerd bij eerste keer opstarten géén toetsenbord géén harde schijf weinig processen weinig/géén netwerkverkeer Gevolg: grote kans dat twee verschillende routers een RSA priemfactor delen. Gemeenschappelijke factor snel te vinden: Hoe? Demo met sage

42 Voorbeeld 2: Routers, vervolg
Heninger et all. verzamelden miljoenen publieke (SSL en SSH) sleutels op het internet Tienduizenden publieke sleutels met gemeenschappelijke factor gevonden Bron:

43 Kies priemgetallen p en q, waarbij p ≠ q . Bereken m=p⋅q en φ(m).
RSA Kies priemgetallen p en q, waarbij p ≠ q . Bereken m=p⋅q en φ(m). Kies een restklasse e. Bereken de restklasse d (e-1 in Zφ(m)) Vernietig de getallen p, q en φ(m)! Publieke sleutel (m, e), geheime sleutel (m, d ) c = be in Zm b = cd in Zm p, q en φ(m) uit (m, d) terug te rekenen

44 Houd sleutelmateriaal geheim!
Sleutelmateriaal moet geheim blijven, maar moet wel gebruikt kunnen worden. Gebruik HSM (hardware secure module): sleutel kan niet worden gekopieerd Beveilig toegang tot sleutelmateriaal wachtwoorden goed beveiligde, up-to-date systeem

45 Voorbeeld: DigiNotar affaire
DigiNotar: Certificaatautoriteit, ondertekende publieke sleutels, werd vertrouwd door alle browsers Computersysteem werd gekraakt Aanvaller kon zelf certificaten ondertekenen in naam van DigiNotar Hiermee man-in-the-middle aanvallen mogelijk Gevolg: DigiNotar niet meer vertrouwd, vele NL overheidssites tijd niet bruikbaar

46 Kies priemgetallen p en q, waarbij p ≠ q . Bereken m=p⋅q en φ(m).
RSA Kies priemgetallen p en q, waarbij p ≠ q . Bereken m=p⋅q en φ(m). Kies een restklasse e. Bereken de restklasse d (e-1 in Zφ(m)) Vernietig de getallen p, q en φ(m)! Publieke sleutel (m, e), geheime sleutel (m, d ) c = be in Zm b = cd in Zm Elke stap waar sleutelmateriaal gebruikt wordt

47 Lek geen geheimen Side-channel analyse: observeer gedrag berekening en probeer hier informatie uit te halen Tijd: hoe lang duurt een berekening Stroom: (power analysis) wanneer gebruikt de berekening hoeveel stroom Geheugen: wanneer gebruikt de berekening hoeveel geheugen (bijvoorbeeld cache) Straling, geluid, enzovoorts

48 Voorbeeld: Power analysis RSA ondertekening
Ondertekening bericht a met geheime RSA-sleutel (d, m): s = ad mod m functie powermod (base, exp, m): r = while exp > 0: if exp mod 2 = 1: r = base * r mod m base = base2 mod m exp = exp div 2 return r gekleurde stappen zijn rekenintensief en kosten bijvoorbeeld veel stroom vermenigvuldiging alleen bij 1 in de geheime exponent

49 Meet het stroomverbruik tijdens de powermod
Power Analysis Meet het stroomverbruik tijdens de powermod Onderscheid vermenigvuldigen en kwadrateren Voorbeeld trace (RFID): Groen: kwadraat, rood: vermenigvuldig dips tussen zware berekeningen door te zijn in trace

50 Fouten veroorzaken Aanvaller verstoort de berekening (fault injection) Uit de foute uitkomst is informatie over de sleutel te achterhalen

51 Voorbeeld RSA digitale handtekening snelle CRT versie van s = ad mod m q’ = q-1 mod p sp = sd mod p sq = sd mod q s = sq + ((sp – sq) q’ mod p) q GGD(a – se, m) = 0

52 RSA digitale handtekening snelle CRT versie van s = ad mod m
Voorbeeld RSA digitale handtekening snelle CRT versie van s = ad mod m q’ = q-1 mod p s’p = sd mod p + x = sp+ x sq = sd mod q s’ = sq + ((s’p – sq) q’ mod p)⋅q = s + y⋅q GGD(a – s’e, m) = q Laaste stap uitwerken op bord

53 Conclusie Wiskundige correct geen garantie voor veilig Gebruik standaard, open algoritmes (Kerckhoffs) Gebruik standaard bibliotheken Zeer terughoudend zijn met zelf knutselen


Download ppt "Vragen staat vrij! Onderbreek me gerust."

Verwante presentaties


Ads door Google