r   e   k   l   a   m   a
r   e   k   l   a   m   a

Dla NSA to był kryptograficzny przełom, który pozwolił odszyfrować większość połączeń VPN

Strona główna AktualnościBEZPIECZEŃSTWO

Plotki o tym, że NSA potrafi dobrać się do znacznej części zaszyfrowanego ruchu internetowego krążą po Sieci od kilku lat. Jeszcze przed Edwardem Snowdenem wypłynęła wypowiedź, z której wynika, że amerykańska agencja uzyskała przełomowe wyniki w kryptoanalizie, pozwalające jej na złamanie obecnie stosowanych szyfrów. Dokumenty od Snowdena też to potwierdzały – w końcu nie budowano by tej całej ogromnej infrastruktury do przechwytywania ruchu sieciowego, gdyby nie było sposobu na jego odczytanie. Długo jednak nikt nie wiedział, jak NSA zdołało to osiągnąć.

Międzynarodowa grupa matematyków opublikowała w maju tego roku artykuł pt. Imperfect Forward Secrecy: How Diffie-Hellman Fails in Practice, z którego wynika, że algorytm wymiany kluczy Diffiego-Hellmana, pozwalający stronom komunikacji na uzgodnienie bezpiecznego klucza sesji i dalsze szyfrowanie za jego pomocą, obarczony jest poważnymi wadami. Atak, któremu nadano nazwę Logjam, pozwalał na osłabienie szyfrowania do poziomu zgodnego z amerykańskimi licencjami eksportowymi. Słaby, co najwyżej 512-bitowy klucz, łatwo padał ofiarą superkomputerów.

Jak wiadomo, w algorytmie stosowanym do zabezpieczenia m.in. HTTPS, IPsec (VPN), czy SSH chodzi o wyznaczenie przez obie strony rozmowy sekretnej wartości, której podsłuchujący nie mógłby poznać. Zaczyna się od dwóch liczb pierwszych, p i q, następnie jedna strona generuje sobie losową liczbę a (którą trzyma w tajemnicy), a druga generuje liczbę b. Z liczb tych powstaje współdzielony klucz szyfrujący, za pomocą zabezpieczona zostaje komunikacja.

r   e   k   l   a   m   a

Matematycy odkryli jednak, że choć bardzo trudno wyliczyć klucz szyfrujący nie znając a i b, to jednak problem ten dzieli się na dwie części – bardzo trudne są obliczenia dla dowolnych a i b przy tych samych p i q, zaś bardzo łatwe dla kolejnych a i b przy tych samych p i q. Tymczasem zdecydowana większość serwerów korzystających z protokołu IPSec korzysta z tych samych 1024-bitowych par p i q. Dzięki temu napastnik, który dysponowałby pracującymi całe miesiące a może i lata superkomputerami niezbędnymi do rozwiązania trudnego problemu, by złamać daną parę p i q, mógłby później szybko rozpracować każdą wymianę kluczy, wykorzystującą te liczby pierwsze. Z przystępnym opisem tego ataku można zapoznać się na slajdach, przygotowanych przez autorów odkrycia. Zreasumujmy to tak:

Złamanie jednej 1024-bitowej liczby pierwszej pozwoliłoby NSA pasywnie deszyfrować komunikację przez 2/3 połączeń VPN i 1/4 połączeń SSH globalnie. Złamanie drugiej 1024-bitowej liczby pierwszej pozwoliłoby na pasywny nasłuch połączeń niemal 20% najpopularniejszych na świecie witryn korzystających z HTTPS.

O odkryciu było głośno w maju, czemu więc zrobiło się głośno ponownie? Otóż dokument został zaprezentowany ponownie, na konferencji ACM Computer and Communications Security. Tym razem towarzyszyło mu przedstawienie, jak to wszystko miałoby działać w ramach wartej setki milionów dolarów infrastruktury. Na podstawie artykułu o słabości algorytmu Diffiego-Hellmana interesującą analizę działalności NSA przygotował Nicholas Weaver, ekspert od bezpieczeństwa z Berkeley, znany m.in. jako twórca sieciowego debuggera Netalyzr. Jego słowa przywołuje sam Bruce Schneier, tak więc warto się nad nimi pochylić.

Przede wszystkim Weaver jest przekonany, że publikacja artykułu musiała bardzo zdenerwować ludzi w NSA. Najpewniej stosowali właśnie tę sztuczkę, korzystając z unikatowych dla siebie możliwości wywiadowczych – ale nawet jeśli jej nie znali, to tym gorzej, mogą teraz być wściekli, że utracili taką okazję do odszyfrowania takiej ilości ruchu sieciowego. Jednak bazując na tym, jak NSA podgląda ten ruch, wszystko wskazuje na to, że słabości Diffiego-Hellmana w ramach kryptoanalizy na wielką skalę były analitykom agencji dobrze znane i wykorzystywane przede wszystkim w atakach na protokół IPsec.

Informatyk wyjaśnia, że aby odszyfrować IPsec, NSA w wielu miejscach Sieci nasłuchuje powitań handshake z wymianą kluczy (IKE), ustanawiających szyfrowane połączenie. Przechwycone powitania trafiają do wyroczni – czarnej skrzynki, której zadaniem jest zwrócić prywatne klucze. Jednocześnie punkt nasłuchu rozpoczyna gromadzenie ruchu sieciowego, czekając na odpowiedź wyroczni. Teraz opcje są dwie, albo uda się wydobyć klucze, albo wyrocznia się poddaje. W pierwszym wypadku klucze zwracane są do punktu nasłuchu, który deszyfruje komunikację niemal na bieżąco.

Czemu akurat taki system miałby sugerować, że wyrocznia wykorzystuje opisany we wspomnianym artykule atak? Gdyby nie przełom w kryptoanalizie, taki nasłuch byłby wielką przesadą. Byłoby znacznie łatwiej przekierować deszyfrowalne połączenia do centralnego systemu, jeśli wyrocznia mogłaby po prostu je odszyfrować. Ułatwiałoby to też zachowanie poufności takich operacji. Tymczasem hurtowe deszyfrowanie w punktach podsłuchowych, wykorzystujących sprzętową akcelerację by nadążyć za dużą liczbą szyfrowanych strumieni połączeń po IPsec ma oznaczać, że wyrocznia właśnie robi tylko to – oblicza klucze już wyłącznie rozwiązując „proste” zadanie. Trudne zostało rozwiązane wcześniej.

Zarazem, jak zauważa Weaver, IPsec jest jedynym znaczącym protokołem kryptograficznym, który wykorzystuje standardowo algorytm Diffiego-Hellmana w podatnej na atak formie, z 1024-bitowymi liczbami pierwszymi. NSA z kolei jest zaś praktycznie jedyną siłą, dysponującą superkomputerową mocą do takich ataków, przynajmniej na dzisiaj. Oczywiście nie oznacza to, że tak samo będzie jutro czy za dziesięć lat, kiedy to np. etiopskie służby mogą mieć dość mocy obliczeniowej, by robić to, co NSA robi dziś. Z tego też powodu, na własne potrzeby, amerykańska agencja korzysta wyłącznie ze sprzętu i oprogramowania zgodnego z zatwierdzonym przez Narodowy Instytut Standardów i Techniki (NIST) pakietem algorytmów kryptograficznych, tzw. Suite B. Zgodnie z jego wytycznymi, w algorytmie Diffiego-Hellmana wykorzystuje się klucze 3072-bitowe.

Gorzej wygląda sytuacja prywatnych osób i firm. W wielu wypadkach działanie podatnych VPN-ów zależy od zbudowanego całe lata temu sprzętu, którego łatwo się nie zaktualizuje. Oznacza to, że już niebawem, gdy moc obliczeniowa trochę potanieje, szyfrowane połączenia IPsec padną łupem wywiadów i cyberprzestępców z całego świata.

© dobreprogramy
r   e   k   l   a   m   a
r   e   k   l   a   m   a

Komentarze

r   e   k   l   a   m   a
r   e   k   l   a   m   a
Czy wiesz, że używamy cookies (ciasteczek)? Dowiedz się więcej o celu ich używania i zmianach ustawień.
Korzystając ze strony i asystenta pobierania wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki.