Kriptografiniai orakulai gali būti puikus įrankis įsilaužėliams. Štai kodėl.
Ar užpuolikas gali iššifruoti ir užšifruoti jūsų programos duomenis, nežinodamas iššifravimo raktų? Atsakymas yra taip, ir jis slypi kriptografinėje ydoje, vadinamoje šifravimo orakulu.
Šifravimo orakulai yra potencialūs vartai užpuolikams rinkti informaciją apie užšifruotus duomenis, be tiesioginės prieigos prie šifravimo rakto. Taigi, kaip užpuolikai gali išnaudoti kriptografinius orakulus taikydami tokius metodus kaip užpildymo orakulų atakos? Kaip galite neleisti, kad tokie pažeidžiamumai jus paveiktų?
Kas yra kriptografinis orakulas?
Šifravimas yra saugos protokolas kuriame paprastas tekstas arba duomenys konvertuojami į neįskaitomą koduotą formatą, dar vadinamą šifruotu tekstu, apsaugoti jo konfidencialumą ir užtikrinti, kad jį galėtų pasiekti tik įgaliotosios šalys, turinčios iššifravimą Raktas. Yra dviejų tipų šifravimas: asimetrinis ir simetriškas.
Asimetriniam šifravimui šifravimui ir iššifravimui naudojama pora skirtingų raktų (viešųjų ir privačių), o simetriniam šifravimui naudojamas vienas bendrai naudojamas raktas šifravimui ir iššifravimui. Galite užšifruoti beveik viską, tekstinius pranešimus, el. laiškus, failus, žiniatinklio srautą ir kt.
Kita vertus, orakulas yra priemonė, per kurią žmogus paprastai gauna informaciją, kuri paprastai nebūtų prieinama paprastiems vyrams. Pagalvokite apie orakulą kaip apie specialią dėžę, kai ką nors praleidžiate, ir tai duoda jums rezultatą. Jūs nežinote dėžutės turinio, bet žinote, kad ji veikia.
Kriptografinis orakulas, taip pat žinomas kaip užpildymo orakulas, yra kriptografijos sąvoka, nurodanti sistema arba subjektas, galintis teikti informaciją apie užšifruotus duomenis neatskleisdamas šifravimo Raktas. Iš esmės tai yra būdas sąveikauti su šifravimo sistema, siekiant įgyti žinių apie užšifruotus duomenis, neturint tiesioginės prieigos prie šifravimo rakto.
Kriptografinis orakulas susideda iš dviejų dalių: užklausos ir atsakymo. Užklausa reiškia veiksmą, kai orakului suteikiamas šifruotas tekstas (šifruoti duomenys), o atsakymas yra grįžtamasis ryšys arba informacija, kurią orakulas pateikia remdamasis šifruoto teksto analize. Tai gali apimti jo galiojimo patikrinimą arba informacijos apie atitinkamą paprastą tekstą atskleidimą, galimą pagalbą užpuolikui iššifruoti užšifruotus duomenis ir atvirkščiai.
Kaip veikia „Oracle Attacks“ užpildymas?
Vienas iš pagrindinių būdų, kaip užpuolikai išnaudoja kriptografinius orakulus, yra užpildymo orakulų ataka. Padding Oracle ataka yra kriptografinė ataka, kuri išnaudoja šifravimo sistemos ar paslaugos elgseną, kai atskleidžia informaciją apie užpildymo teisingumą šifruotame tekste.
Kad tai įvyktų, užpuolikas turi atrasti trūkumą, atskleidžiantį kriptografinį orakulą, tada nusiųsti į jį pakeistą šifruotą tekstą ir stebėti orakulo atsakymus. Analizuodamas šiuos atsakymus, užpuolikas gali gauti informaciją apie paprastą tekstą, pvz., jo turinį ar ilgį, net neturėdamas prieigos prie šifravimo rakto. Užpuolikas pakartotinai atspės ir keis šifruoto teksto dalis, kol atkurs visą paprastą tekstą.
Realiame scenarijuje užpuolikas gali įtarti, kad internetinės bankininkystės programa, kuri šifruoja vartotojo duomenis, gali turėti užpildymo orakulo pažeidžiamumą. Užpuolikas perima teisėto vartotojo užšifruotą operacijos užklausą, ją modifikuoja ir siunčia į programos serverį. Jei serveris į modifikuotą šifruotą tekstą reaguoja kitaip – dėl klaidų arba per laiką, kurio reikia užklausai apdoroti, tai gali reikšti pažeidžiamumą.
Tada užpuolikas ja išnaudoja kruopščiai parengtas užklausas, galiausiai iššifruodamas vartotojo operacijų informaciją ir galbūt įgydamas neteisėtą prieigą prie savo paskyros.
Kitas pavyzdys yra šifravimo orakulo naudojimas autentifikavimui apeiti. Jei užpuolikas žiniatinklio programos, kuri šifruoja ir iššifruoja duomenis, užklausose aptinka šifravimo orakulą, užpuolikas gali jį naudoti, kad gautų prieigą prie galiojančios vartotojo paskyros. Jis galėjo iššifruoti paskyros seanso ženklą per orakulą, pakeisti paprastą tekstą naudodamas tą patį orakulą, ir pakeiskite seanso prieigos raktą sukurtu šifruotu prieigos raktu, kuris suteiks jam prieigą prie kito vartotojo sąskaitą.
Kaip išvengti kriptografinių Oracle atakų
Kriptografinės orakulų atakos atsiranda dėl kriptografinių sistemų projektavimo ar diegimo pažeidžiamumo. Svarbu užtikrinti, kad šias kriptografines sistemas įdiegtumėte saugiai, kad išvengtumėte atakų. Kitos priemonės, skirtos užkirsti kelią šifravimo orakulams, yra šios:
- Autentifikuoti šifravimo režimai: Autentifikuotų šifravimo protokolų, tokių kaip AES-GCM (Galois / skaitiklio režimas) arba AES-CCM (skaitiklis su CBC-MAC), naudojimas ne tik užtikrina konfidencialumą, bet ir vientisumo apsaugą, todėl užpuolikams sunku sugadinti arba iššifruoti šifruotas tekstas.
- Nuolatinis klaidų tvarkymas: Įsitikinkite, kad šifravimo arba iššifravimo procesas visada pateikia tą patį atsakymą į klaidą, neatsižvelgiant į tai, ar užpildymas tinkamas, ar ne. Tai pašalina elgesio skirtumus, kuriais gali pasinaudoti užpuolikai.
- Saugumo testas: Reguliariai atlikite saugumo vertinimus, įskaitant skverbties testavimas ir kodų peržiūros, siekiant nustatyti ir sumažinti galimus pažeidžiamumus, įskaitant šifravimo orakulo problemas.
- Kainos ribojimas: Įdiekite šifravimo ir iššifravimo užklausų greičio apribojimą, kad aptiktumėte ir užkirstumėte kelią brutalios jėgos atakoms.
- Įvesties patvirtinimas: Prieš šifruodami arba iššifruodami kruopščiai patikrinkite ir išvalykite naudotojo įvestus duomenis. Užtikrinkite, kad įvestis atitiktų numatytą formatą ir ilgį, kad išvengtumėte užpildymo oracle atakų per manipuliuojamas įvestis.
- Saugumo ugdymas ir sąmoningumas: mokykite kūrėjus, administratorius ir vartotojus apie geriausią šifravimo ir saugos praktiką, kad būtų skatinama saugos kultūra.
- Reguliarūs atnaujinimai: Atnaujinkite visus programinės įrangos komponentus, įskaitant kriptografines bibliotekas ir sistemas, naudodami naujausius saugos pataisymus ir naujinimus.
Pagerinkite savo saugos laikyseną
Būtina suprasti ir apsisaugoti nuo atakų, tokių kaip šifravimo orakulai. Taikydami saugią praktiką, organizacijos ir asmenys gali sustiprinti savo apsaugą nuo šių klastingų grėsmių.
Švietimas ir informuotumas taip pat atlieka pagrindinį vaidmenį skatinant saugos kultūrą, apimančią nuo kūrėjų ir administratorių iki galutinių vartotojų. Šioje nuolatinėje kovoje už neskelbtinų duomenų apsaugą, išlikti budriems, būti informuotiems ir išlikti vienu žingsniu prieš galimus užpuolikus yra raktas į jūsų skaitmeninio turto ir jūsų turimų duomenų vientisumo išsaugojimą brangusis.