Kriptografski oraklji so lahko odlično orodje za hekerje. Evo zakaj.

Ali je mogoče, da napadalec dešifrira in šifrira podatke v vaši aplikaciji, ne da bi poznal ključe za dešifriranje? Odgovor je pritrdilen in leži v kriptografski napaki, imenovani šifrirni orakelj.

Šifrirni oraklji služijo kot potencialni prehod za napadalce za zbiranje informacij o šifriranih podatkih, vse brez neposrednega dostopa do šifrirnega ključa. Torej, kako lahko napadalci izkoriščajo kriptografske oraklje s tehnikami, kot so napadi na oraklje z oblazinjenjem? Kako lahko preprečite, da bi vas takšne ranljivosti prizadele?

Kaj je kriptografski orakelj?

Šifriranje je varnostni protokol v kateri se golo besedilo ali podatki pretvorijo v neberljivo kodirano obliko, znano tudi kot šifrirano besedilo, da zaščitite njegovo zaupnost in zagotovite, da do njega lahko dostopajo samo pooblaščene osebe z dešifriranjem ključ. Obstajata dve vrsti šifriranja: asimetrično in simetrično.

Asimetrično šifriranje uporablja par različnih ključev (javnih in zasebnih) za šifriranje in dešifriranje, medtem ko simetrično šifriranje uporablja en sam skupni ključ tako za šifriranje kot za dešifriranje. Šifrirate lahko skoraj vse, besedilna sporočila, e-pošto, datoteke, spletni promet itd.

instagram viewer

Po drugi strani pa je orakelj medij, prek katerega oseba običajno pridobi informacije, ki navadno ne bi bile na voljo zgolj ljudem. Pomislite na orakelj kot na posebno škatlo, ko daste nekaj skozi, in to vam daje rezultat. Ne poznate vsebine škatle, vendar veste, da deluje.

Kriptografski orakelj, znan tudi kot padding oracle, je koncept v kriptografiji, ki se nanaša na sistem ali entiteta, ki lahko zagotovi informacije o šifriranih podatkih, ne da bi razkrila šifriranje ključ. V bistvu je to način interakcije s šifrirnim sistemom za pridobitev znanja o šifriranih podatkih brez neposrednega dostopa do šifrirnega ključa.

Kriptografski orakelj je sestavljen iz dveh delov: poizvedbe in odgovora. Poizvedba se nanaša na dejanje posredovanja oraklju šifriranega besedila (šifriranih podatkov), odgovor pa je povratna informacija ali informacija, ki jo zagotovi orakelj na podlagi svoje analize šifriranega besedila. To bi lahko vključevalo preverjanje njegove veljavnosti ali razkrivanje podrobnosti o ustreznem golem besedilu, morebitno pomoč napadalcu pri dešifriranju šifriranih podatkov in obratno.

Kako delujejo napadi Padding Oracle?

Eden glavnih načinov, kako napadalci izkoriščajo kriptografske oraklje, je napad z oblazinjenim orakljem. Napad oblazinjenega orakla je kriptografski napad, ki izkorišča vedenje šifrirnega sistema ali storitve, ko razkrije informacije o pravilnosti oblazinjenja v šifriranem besedilu.

Da se to zgodi, mora napadalec odkriti napako, ki razkrije kriptografski orakelj, nato mu poslati spremenjeno šifrirano besedilo in opazovati odzive oraklja. Z analizo teh odgovorov lahko napadalec sklepa o informacijah o golem besedilu, kot je njegova vsebina ali dolžina, tudi brez dostopa do šifrirnega ključa. Napadalec bo vedno znova ugibal in spreminjal dele šifriranega besedila, dokler ne pridobi celotnega navadnega besedila.

V resničnem scenariju lahko napadalec posumi, da ima aplikacija za spletno bančništvo, ki šifrira uporabniške podatke, ranljivost padding oracle. Napadalec prestreže šifrirano transakcijsko zahtevo zakonitega uporabnika, jo spremeni in pošlje strežniku aplikacije. Če se strežnik drugače odziva – zaradi napak ali časa, ki je potreben za obdelavo zahteve – na spremenjeno šifrirano besedilo, to lahko pomeni ranljivost.

Napadalec ga nato izkoristi s skrbno oblikovanimi poizvedbami, sčasoma dešifrira podrobnosti transakcije uporabnika in potencialno pridobi nepooblaščen dostop do njegovega računa.

Drug primer je uporaba šifrirnega orakulja za obhod avtentikacije. Če napadalec v zahtevah spletne aplikacije, ki šifrira in dešifrira podatke, odkrije šifrirni orakelj, ga lahko uporabi za dostop do veljavnega uporabniškega računa. Lahko je dešifriral žeton seje računa prek orakulja, spremenil golo besedilo z uporabo istega orakulja, in zamenja žeton seje z izdelanim šifriranim žetonom, ki mu bo omogočil dostop do drugega uporabnika račun.

Kako se izogniti kriptografskim napadom Oracle

Napadi na kriptografski orakelj so posledica ranljivosti v zasnovi ali implementaciji kriptografskih sistemov. Pomembno je zagotoviti, da te kriptografske sisteme izvajate varno, da preprečite napade. Drugi ukrepi za preprečevanje šifrirnih orakljev vključujejo:

  1. Preverjeni načini šifriranja: Uporaba šifrirnih protokolov s preverjeno pristnostjo, kot sta AES-GCM (način Galois/števec) ali AES-CCM (števec s CBC-MAC), ne samo zagotavlja zaupnost, pa tudi zaščito integritete, zaradi česar napadalci težko posegajo v ali dešifrirajo šifrirano besedilo.
  2. Dosledno obravnavanje napak: Zagotovite, da postopek šifriranja ali dešifriranja vedno vrne enak odziv na napako, ne glede na to, ali je oblazinjenje veljavno ali ne. To odpravlja razlike v vedenju, ki bi jih napadalci lahko izkoristili.
  3. Varnostno testiranje: Redno izvajati varnostne ocene, vključno z penetracijsko testiranje in pregled kode, za prepoznavanje in ublažitev morebitnih ranljivosti, vključno s težavami s šifriranjem Oracle.
  4. Omejitev stopnje: Izvedite omejitev hitrosti za zahteve za šifriranje in dešifriranje za odkrivanje in preprečevanje napadov s surovo silo.
  5. Preverjanje vnosa: Pred šifriranjem ali dešifriranjem temeljito preverite in očistite uporabniške vnose. Prepričajte se, da so vnosi skladni s pričakovano obliko in dolžino, da preprečite napade oblazinjenja Oracle prek manipuliranih vnosov.
  6. Varnostno izobraževanje in ozaveščanje: Usposobite razvijalce, skrbnike in uporabnike o najboljših praksah šifriranja in varnosti za spodbujanje kulture, ki se zaveda varnosti.
  7. Redne posodobitve: Posodabljajte vse komponente programske opreme, vključno s kriptografskimi knjižnicami in sistemi, z najnovejšimi varnostnimi popravki in posodobitvami.

Izboljšajte svojo varnostno držo

Razumevanje in zaščita pred napadi, kot so šifrirni oraklji, je nujna. Z izvajanjem varnih praks lahko organizacije in posamezniki okrepijo svojo obrambo pred temi zahrbtnimi grožnjami.

Izobraževanje in ozaveščanje imata tudi ključno vlogo pri spodbujanju kulture varnosti, ki sega od razvijalcev in skrbnikov do končnih uporabnikov. V tej nenehni bitki za zaščito občutljivih podatkov ostanite pozorni, obveščeni in ostanite v koraku pred morebitnimi napadalci je ključnega pomena za ohranitev celovitosti vaših digitalnih sredstev in podatkov, ki jih imate dragi.