Дефект во всемирно признанном формате безопасности OpenPGP
Прага, 20.3.2001
Криптологи из чешской компании ICZ обнаружили серьезный недостаток
в криптологической системе безопасности международного значения.
Дефект обнаружен во всемирно признанном формате безопасности
OpenPGP. Этот дефект может провести к подделке частных ключей
пользователя для использования его в системах цифровой подписи.
Формат OpenPGP широко используется во многих приложениях криптографии,
которые признаны во всех странах, включая чрезвычайно популярные
программы подобно PGP™, GNU Privacy Guard, и других. Обнаружение
дефекта произошло в то время, как Philip Zimmermann, создатель
программы PGP, оставил Network Associates, Inc. и решил заняться
популяризацией формата OpenPGP в других продуктах для безопасности
в Internet. С научной точки зрения, сделанное открытие значительно
больше, чем использование для фактических программ – оно имеет
широкое теоретическое и практическое значение.
Два чешских криптолога – Vlastimil Klima и Tomas Rosa, из
компании Decros (члены группы ICZ) обнаружили недостаточную
защиту безопасности частных ключей для подписи, работая над
исследованием для Czech National Security Authority. Частный
ключ подписи наиболее уязвим и, следовательно, наиболее защищающее
информацию в цифровых системах подписи. Атака описана подробно
в научно-техническом отчете, который опубликован кратко в
Internet () на чешком и английском.
Атака на OpenPGP ведущяя к подделке частных ключей для подписи
DSA и RSA описана в научно-техническом отчете. Формат OpenPGP
был предложен как стандарт криптографии в Internet для точного
контроля содержания и значение записанных данных, это касается
шифрования и цифровой подписи.
Этот формат использован не только в группах программ названных
PGP™, но также в других приложениях, включая GNU Privacy Guard.
Список продуктов базировавшихся на OpenPGP доступен в Internet
на . Формат OpenPGP и все приложения
должны быть пересмотрены теперь тем же путем, как и сама программа
PGP™.
Атака успешно проверялась и демонстрировалась на PGP™(*)
версии 7.0.3, в которой использованы алгоритмы AES и DH/DSS,
которые по заслугам считаются очень безопасными.
Этот серьезный дефект вызван неправильной реализацией вышеупомянутой
прочной шифровальной техники. Частный ключ подписи является
основным и наиболее уязвимым местом в целой системе. Пользователь
использует его для цифровой подписи. Во всех системах, включая
OpenPGP, он должен защищается прочным шифром. AES, один из
самых последних прочных алгоритмов, использован в атакованной
системе. Тем не менее, защита оказалась иллюзорная.
Авторы доказали, что нападающему не нужно атаковать сам стойкий
шифр. Он может просто обойти его, а также секретный пароль
пользователя. Легкой модификация файла частного ключа сопровождаемой
вводом перехваченного подписанного сообщения достаточно, чтобы
подделать частный ключ. Эти задания могут выполняться без
знания пароля пользователя. После этого, специальная программа
может быть запущена на любой офисной рабочей станции (компьютере).
Основываясь на захваченном сообщении, программа может создать
пользователя частного ключа за пол секунды. Нападающий может
затем подписать любые сообщения вместо атакованного пользователя.
Несмотря на очень быстрые вычисления, программа базируется
на специальном шифровальном ноу-хау.
Недостаточная безопасность общественных и частных частей
подписи в формате OpenPGP проанализирована для алгоритмов
DSA и RSA. Пошаговое описание атаки в обоих частных ключах
подписи демонстрируется в описании. Атака применительна ко
всем параметрам длины RSA и DSA (модули, ключи).
Демонстрированная атака имеет прочное влияние на безопасность
программ, упомянутых выше. Чтобы завершить атаку, не обязательно
посещать рабочую станцию атакованного пользователя. Уязвимое
место системы в файлах экспортируемых с частными ключами,
использованных пользователем для передачи ключей между рабочими
станциями. То, что частный ключ загружается в закодированной
форме, может вызвать ложное чувство безопасности. Если файл
или дискета будут захвачены нападающим в процессе передачи,
безопасность частного ключа пользователя в серьезной опасности.
Мы можем часто увидеть, как пользователи загрузили файлы
частных ключей на коллективные сервера в сети, чтобы поддержать
легкий доступ к ним. Зная, что ключ будет защитщен стойким
шифром, пользователь рассматривает, что такое хранение вполне
надежно. Авторы атаки доказали, что это чувство ошибочно.
Да и сам администратор сервера может быть атакующим.
Зная деталей демонстрируемой атаки, пользователи программ,
базировавшихся на OpenPGP, оказываются в трудной ситуации,
когда он/она понимают, что неправильная величина подписи сгенерирована.
А реально пользователь не может быть уверенным – случилось
это из-за атаки, или, только, из-за технической проблемы при
передаче данных. Это очевидно, что к каждому файлу, у которого
неправильная подпись необходимо относиться осторожно, тот
же, как и к файлу с частным ключом, полученным в открытой
форме! Это включает тщательное и безопасное стирание файла
на рабочей станции или сервере.
Завершенный анализ формата OpenPGP обнаружил серьезные дефекты,
которые делают приложения основывающиеся на OpenPGP уязвимыми.
Практическим примером является программа PGP™, которая не
поддалась атаке на алгоритм DSA. Тем не менее, программа,
поддавшаяся атаке на алгоритм RSA это формат OpenPGP, несмотря
на доплнительную защиту.
Хотя атака имеют отношение к алгоритмам RSA и DSA в OpenPGP,
аналогичные уязвимые места могут быть найдены в других несимметричных
шифровальных системах, включая системы базировавшиеся на elliptic
curves. Формат OpenPGP и программа PGP™ , вероятно, не единственные
примеры систем, которые могут атаковаться из-за недостаточной
защиты параметров упомянутых выше. В конце своего научно-технического
отчета, авторы предлагают меры корректировки шифрования в
формате OpenPGP и программе PGP™. Они сильно призывают к очень
тщательной разработки шифровальных систем.
Miroslav Votruba
Marketing Director ICZ
Tel.: 02/81 00 21 43
e-mail: m.votruba@i.cz
Примечание: PGP – зарегестрированный товарный знак Network
Associates, Inc. Все другие зарегистрированные и не зарегистрированные
торговые знаки, указанные в этом документе, принадлежат их
соответствующим владельцам.
|
