The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Атака Marvin для расшифровки RSA на основе измерения времени операций

30.09.2023 13:12

Хьюберт Карио (Hubert Kario), чешский исследователь безопасности, работающий в компании Red Hat, представил на завершившемся вчера Европейском симпозиуме по компьютерной безопасности технику атаки Marvin, позволяющую определить исходные данные через измерение задержек при выполнении операций расшифровки на базе алгоритма RSA. На практике предложенный метод позволяет расшифровать трафик или сформировать цифровые подписи без знания закрытого RSA-ключа. Для тестирования применимости атаки опубликован специальный скрипт для проверки TLS-серверов и инструментарий для выявления проблем в библиотеках.

Атака представляет собой вариацию метода Блейхенбахера, предложенного в 1998 году, и продолжает развитие атак ROBOT (Return Of Bleichenbacher's Oracle Threat) и New CAT (New Cache ATtack), опубликованных в 2017 и 2019 годах. Суть метода в том, что атакующий на основании разной реакции сервера и разного времени выполнения операций может отделить корректные и некорректные блоки добавочного заполнения (padding oracle), добавленные в соответствии со стандартом PKCS #1 v1.5 для выравнивания зашифрованных данных по границе блока. Манипулируя информацией о корректности блоков добавочного заполнения атакующий может путём перебора воссоздать подходящий шифротекст.

При этом атака непосредственно не восстанавливает закрытый ключ, а только позволяет расшифровать шифротекст или сформировать поддельное подписанное сообщение. Для успешного проведения атаки требуется отправка очень большого объёма пробных сообщений для расшифровки. Отличие метода Marvin сводится к усовершенствованию техники разделения корректных и некорректных добавочных данных, фильтрации ложных срабатываний, более точному определению задержек при вычислениях и задействованию дополнительных сторонних каналов при измерении.

Применение атаки против TLS-серверов, использующих шифрование на основе ключей RSA, даёт возможность атакующему пассивно сохранить перехваченный трафик и позднее расшифровать его. Для серверов, поддерживающих PFS (Perfect forward secrecy), проведение атаки значительно усложняется и успех зависит от того, как быстро будет проведена атака. Кроме того, метод позволяет сформировать фиктивную цифровую подпись, заверяющую содержимое сообщений ServerKeyExchange в TLS 1.2 или CertificateVerify в TLS 1.3, передаваемых на этапе обмена ключами, что может применяться для совершения MITM-атак по перехвату TLS-соединения между клиентом и сервером.

Проведение MITM-атак существенно усложняется из-за того, что цифровые подписи охватывают не только передаваемые данные, но и случайное значение, выбранное клиентом, а также из-за необходимости подделки подписи за относительно небольшое время, до того как клиент закроет соединение после истечения таймаута (для оптимизации подбора предлагается параллельно отправлять большое число проверочных запросов).

Проблема затрагивает различные реализации протоколов в которых применяется RSA и PKCS #1 v1.5, такие как TLS, XML Encryption, интерфейсы PKCS#11, JWT (JSON Web Token), JOSE (Javascript Object Signing and Encryption) и S/MIME. Несмотря на то, что в современных криптографических библиотеках присутствует та или иная защита от атак на базе метода Блейхенбахера, в ходе проведённого исследования было выявлено, что в библиотеках остаются незакрытые каналы утечки и не обеспечено постоянное время обработки пакетов с корректным и ошибочным добавочным заполнением. Например, реализация атаки Marvin на GnuTLS не привязывается к коду, непосредственно выполняющего вычисления, связанные с RSA, а использует разное время выполнения кода, который принимает решение о выводе того или иного сообщения об ошибке.

Возможность совершения атаки Marvin выявлена в реализациях TLS, предлагаемых в библиотеках:

  • OpenSSL (CVE-2022-4304). Уязвимость вызвана утечкой информации в коде дешифровки RSA. Проблема устранена в февральских обновлениях OpenSSL (3.0.8 и 1.1.1t).
  • GnuTLS (CVE-2023-0361). Уязвимость вызвана различием времени ответа при обработке шифротекста RSA в сообщении ClientKeyExchange с корректным и некорректным добавочным заполнением PKCS#1 v1.5. Проблема устранена в февральском выпуске GnuTLS 3.8.0.
  • Mozilla NSS (CVE-2023-4421). Выявлены проблемы, связанные с непостоянным временем выполнения некоторых операций RSA в зависимости от обрабатываемых данных. Частично уязвимость устранена в выпуске 3.61. Дополнительные исправления ожидаются в выпуске NSS 3.94, который намечен на следующую неделю.
  • pyca/cryptography (CVE-2020-25659). Изменения, блокирующие уязвимость, внесены в 2020 году, но их оказалось недостаточно без добавленных в 2021 году исправлений в OpenSSL.
  • M2Crypto (CVE-2020-25657). Защита была добавлена год назад, но она эффективна только вместе с изменениями в API OpenSSL.
  • OpenSSL-ibmca. Исправления, решающие проблемы с непостоянным временем обработки добавочного заполнения RSA PKCS#1 v1.5 и OAEP, добавлены в мартовский выпуск 2.4.0.

Кроме того, в библиотеке GNU MP (функция mpz_powm_sec) и Go-модуле crypto/rsa (функция DecryptPKCS1v15SessionKey) выявлены уязвимые вызовы API, приводящие к утечкам, которые можно использовать для совершения атак, анализирующих зависимость скорости выполнения операций от обрабатываемых данных (timing attacks). Из протестированных проектов, которые не подвержены атаке, отмечена библиотека BoringSSL.

Так как атака основана на фундаментальной уязвимости в операциях расшифровки на базе RSA с добавочным заполнением, соответствующим стандарту PKCS#1 v1.5, и за 25 лет существования проблемы в библиотеках так и не обеспечили постоянное время обработки пакетов с корректным и ошибочным добавочным заполнением, в качестве оптимального решения предлагается прекратить использование RSA на TLS-серверах в пользу шифров на основе ECDH (Elliptic Curve Diffie Hellman).

Автор исследования также полагает, что рассмотренный класс уязвимостей не ограничивается RSA и может затрагивать многие другие криптографические алгоритмы, зависящие от типовых библиотек для целочисленных вычислений, например, использующих BIGNUM из OpenSSL, MPI из из NSS, Java BigInteger, Python int, Rust apint, GnuMP mpz_t, Go math/big Int и т.п. В качестве примера потенциальной применимости метода приводится атака Minerva на реализации алгоритма создания цифровой подписи ECDSA/EdDSA.

Для подтверждения возможности совершения атаки Marvin на практике исследователь продемонстрировал применимость метода к приложениям на базе библиотек M2Crypto и pyca/cryptography, для компрометации шифрования в которых оказалось достаточно нескольких часов при проведении эксперимента на среднем ноутбуке. Например, в экспериментах с библиотекой M2Crypto на ноутбуке Lenovo T480 с CPU Intel i7-8650U атака по дешифровке шифротекста при использовании 1024-разрядных ключей RSA заняла 9 часов и потребовала отправки 163 тысячи проверочных запросов.

Организация практических атак на TLS-серверы по сети требует более сложных манипуляций, сильно зависящих от размеров ключей, модели CPU на системе жертвы, особенностей конфигурации оборудования, операционной системы, применяемой реализации RSA и расстояния между сервером к атакующим (для учёта сетевых задержек). В наиболее оптимальном варианте проведение целевой сетевой атаки на систему жертвы, подключённую через один сетевой коммутатор с атакующим, потребует нескольких дней при использовании на стороне жертвы OpenSSL и нескольких часов, при использовании NSS.

  1. Главная ссылка к новости (https://www.theregister.com/20...)
  2. OpenNews: Уязвимость в OpenSSL и LibreSSL, приводящая к утечке содержимого памяти
  3. OpenNews: Раскрыты детали новой атаки на различные реализации TLS
  4. OpenNews: Новый метод атаки на TLS, затрагивающий 27 из 100 крупнейших сайтов
  5. OpenNews: Google опубликовал Wycheproof, инструментарий для проверки криптографических библиотек
  6. OpenNews: В Libgcrypt/GnuPG выявлена уязвимость, позволяющая воссоздать RSA-ключи
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/59848-rsa
Ключевые слова: rsa, attack, marvin, openssl
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (116) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (1), 13:41, 30/09/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +44 +/
    Писец, сколько времени отнимает написание такой новости? Даже гадить в каментах расхотелось из уважения к труду.
     
     
  • 2.2, Аноним (2), 13:50, 30/09/2023 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Часа 3 ушло.
     
  • 2.3, Витюшка (?), 14:02, 30/09/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Таких статей в рунете больше нет, разве что на phoronix.

    Не не понятен вопрос с эллиптическими кривыми. Советует переходить на них.

    Но дальше что-то написано про атаку и на них.

     
     
  • 3.4, Аноним (4), 14:36, 30/09/2023 [^] [^^] [^^^] [ответить]  
  • –8 +/
    Заходи почаще на дзен, чатгпт клепает миллионы таких статей. Я вообще сомневаюсь, что есть значительный спрос на качественный контент на русском языке. Всем нормально жрать, что дают, лишь бы побольше.
     
     
  • 4.6, Аноним (6), 14:49, 30/09/2023 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Нормальных ценителей и не может быть много как и с едой. Даже если новость прочитает только ЦА которая понимает что там написано это все равно будет каплей в море по сравнению с новостью о новой версии раста.
     
     
  • 5.12, Аноним (4), 15:00, 30/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Кто оплатит банкет? Волонтёры за всё хорошее быстро утонут и останется на плаву только известная субстанция.
     
     
  • 6.22, Аноним (6), 15:45, 30/09/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ну автор сайта оплачивает всё сам последние 27 лет. Работая чуть ли не фул тайм на опеннет. Особой монетизации у него не заметно. Возможно у него какой-то психологический момент
     
     
  • 7.24, Аноним (4), 15:54, 30/09/2023 [^] [^^] [^^^] [ответить]  
  • –7 +/
    Так не из своего кармана же. Донотоны вон устраивал, хостинг халявный, баннеры, проплаченные статьи, левые скрипты встраивал на страницы. А качество контента довольно низкое в среднем, так что вполне по силам заменить на чатгпт и ничего не потерять я думаю.
     
     
  • 8.43, по (?), 20:32, 30/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    всмысле ничего, а как же эпические срачи между анонимами, ну где еще так можно... текст свёрнут, показать
     
  • 8.48, microcoder (ok), 21:22, 30/09/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Качество контента отличное, на уровне ... текст свёрнут, показать
     
  • 8.50, Аноним (50), 22:32, 30/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Потрудитесь привести доказательства ваших домыслов Или вы под левыми скриптами ... текст свёрнут, показать
     
  • 8.74, microcoder (ok), 12:55, 01/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Так, чтобы всё соединять, даже те же донаты устраивать, нужно свою энергию трати... текст свёрнут, показать
     
  • 7.47, microcoder (ok), 21:19, 30/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    У вас у всех прямо сейчас существует возможность продлить что-то хорошее в этом мире своим пожертвованием, чтобы не остались одни пи..ки и с..ки в этом мире
     
  • 6.46, microcoder (ok), 21:16, 30/09/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Для того жертвователи и существуют. Мир в них заинтересован, чтобы тот самый мир окончательно в коричневой субстанции не захлебнулся и не схлопнулся. Жертвователи лучшие в мире люди.
     
  • 6.101, Admino (ok), 17:06, 02/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Открой для себя sponrs.com. Там авторам платят читатели напрямую, без рекламы и SMS. Некачественный контент там долго не проживёт — голосуют рублём.
     
     
  • 7.102, Аноним (4), 17:41, 02/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > Открой для себя sponrs.com. Там авторам платят читатели напрямую, без рекламы и
    > SMS. Некачественный контент там долго не проживёт — голосуют рублём.

    Те, кто создают качественный контент, не выдержат конкуренции с теми, кто создаёт низкокачественный контент.

     
     
  • 8.103, Admino (ok), 18:22, 02/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Какая чушь ... текст свёрнут, показать
     
     
  • 9.104, Аноним (4), 18:26, 02/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Чушь не чушь, а это то, что происходит ... текст свёрнут, показать
     
  • 3.8, Аноним (-), 14:51, 30/09/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Не не понятен вопрос с эллиптическими кривыми. Советует переходить на них.

    Там операции за фиксированное время сделать как правило заметно проще. Это избавляет от целых классов вот таких вот дурацких атак.

    И кстати это к вопросу почему AES'у пеняют его S-boxes и почему гуры алгоритмы с S-box считают легаси, предпочитая чистую математику вместо этого. Избавляет от более 9000 подобных атак на ровном месте, ога. Дада, DJB с своими Salsa/Chacha/25519 и ко приветы передавал, он то отлично в курсе что за нафиг с таймингами.

     
     
  • 4.66, Ivan_83 (ok), 00:50, 01/10/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Нет, в ECDSA RSA снизу обычная математическая библиотека, из которой тогда пот... большой текст свёрнут, показать
     
     
  • 5.75, Аноним (-), 12:57, 01/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Вот не надо тут гнать, покрывая всякий ХЛАМ и в результате задвигая качественную... большой текст свёрнут, показать
     
     
  • 6.108, Ivan_83 (ok), 00:07, 03/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Осталось найти таких же проверяющих которым можно доверять Думаю если постара... большой текст свёрнут, показать
     
     
  • 7.119, Аноним (-), 04:32, 03/10/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Хотите сказать что ящерки скупили ВСЮ ПЛАНЕТУ А если даже, они и RSA скупили, ... большой текст свёрнут, показать
     
     
  • 8.128, Ivan_83 (ok), 01:47, 04/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    А как с кетайской чумкой то было Где были разоблачители падунов Где разоблачит... большой текст свёрнут, показать
     
     
  • 9.130, Аноним (-), 17:50, 04/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Знаете, эксперт по всему, а мне вот доки которых я лично знаю показывали как они... большой текст свёрнут, показать
     
     
  • 10.132, Ivan_83 (ok), 00:33, 05/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Пандемия это когда болеет и умеер людей миллионами, или хотя бы сотнями тыщ Сло... большой текст свёрнут, показать
     
     
  • 11.133, Аноним (-), 19:29, 06/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Только в РФ не менее 200К, чтоли, лишних смертей за тот год Это косвенный инд... большой текст свёрнут, показать
     
  • 3.9, Аноним (9), 14:52, 30/09/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Не не понятен вопрос с эллиптическими кривыми. Советует переходить на них.

    Я не крыптограф!

    Лет 20 назад, автор одной из реализаций RSA, сказал мне что RSA4096 сверх сильное шифрование и лично рекомендовал. Но для него надо сравнимо много хорошей энтропии и на старых компах, USB хрантелях ключей, RSA тормозит.

    Слыхал что квантовые компьютера безсильны против RSA, а элиптическая крипто слабенькая для квантовых алгоритмов.

    Возможно с оптическими компьютерами на классической архитектуре перебор для взлома небольшого размера ключа RSA станет реальным.

     
     
  • 4.54, Аноним (54), 23:46, 30/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > Слыхал что квантовые компьютера безсильны против RSA, а элиптическая крипто слабенькая
    > для квантовых алгоритмов.

    Как раз скорее наоборот - квантовые версии алгоритмов первыми сформулированы как раз для RSA и он как раз первым и получит свое если это еще и работает, теория взлома там самая проработанная.

    Однако теоретики считают что если это работает - тогда и взлом эллиптики это похожий класс проблем и значит и к нему могут быть применимы подобные по общей идее атаки.

     
     
  • 5.65, Ivan_83 (ok), 00:41, 01/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    И там же считается что нужно х2 минимум кубитов для взлома к битности *DSA.
    Те первыми полягут ED25519, ECDSA начиная с параметров малых до больших и уже сильно-сильно потом настанет очередь RSA, куда битность можно досыпать в абсолютно любой момент просто сгенериров ключ/серт нужной длинны.
    А вот для ECDSA нужно добавлять новые параметры в стандарты.
    ED25519 просто выкидывать целиком.
     
     
  • 6.71, Аноним (71), 06:40, 01/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    >куда битность можно досыпать в абсолютно любой момент просто сгенериров ключ/серт нужной длинны.

    Это неправда. То есть, сгенерить ключ можно, но энтропия ключа не зависит от размера ключа линейно.

    Вот цитата из мейлинг листа gpg:

    A 2048-bit key is hypothesized to possess about 112 bits of entropy; a
    3072-bit key, about 128; a 16k-bit, about 256.  You very rapidly reach a
    point of dramatically diminishing returns.  A 32k key gives you
    essentially nothing in terms of resistance to cryptanalysis, while
    making it impossible for the rest of the OpenPGP ecosystem to work with
    you because your public certificate is so unreasonably large.

     
     
  • 7.109, Ivan_83 (ok), 00:09, 03/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Да пофиг, ты кубитов столько поди насобирай в начале, ими всё равно не вымышленную энтропию а реальные биты ключа нужно переваривать.
     
  • 6.76, Аноним (-), 13:24, 01/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Удвоить кубиты если их уж научатся делать нормально - много времени не займет И... большой текст свёрнут, показать
     
     
  • 7.111, Ivan_83 (ok), 00:18, 03/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Так научились делать, иди удвояй Ходят слухи то эллиптика фсё На публику АНБ... большой текст свёрнут, показать
     
     
  • 8.120, Аноним (-), 05:46, 03/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    В смысле научились Они как я понимаю нестабильные, в чем утык и состоит Мы буд... большой текст свёрнут, показать
     
     
  • 9.127, Ivan_83 (ok), 00:39, 04/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Там уже чуть ли не домашние киты выпускают для желающих, на пару кубит Купи тыщ... большой текст свёрнут, показать
     
     
  • 10.134, Аноним (134), 05:25, 07/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Пара нестабильных кубитов - это ну вот реально для дома только и годится, там да... большой текст свёрнут, показать
     
  • 6.81, Аноним (81), 14:12, 01/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Я не крыптограф, но меня учили (до квантовых компьютеров), что ECDSA-512 эквивалентен по крыптостойкости при полном переборе RSA-16384.

    В квантовою эпоху оказалось что для квантовых алгоритмов RSA неудобен и даже RSA-4096 квантовым компам не позубам.

    Мощи сегодняшних процов легко хватит чтобы воротить и RSA-8192 и RSA-16384.

     
     
  • 7.86, Аноним (-), 16:17, 01/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > Я не крыптограф, но меня учили (до квантовых компьютеров), что ECDSA-512 эквивалентен
    > по крыптостойкости при полном переборе RSA-16384.
    > В квантовою эпоху оказалось что для квантовых алгоритмов RSA неудобен и даже
    > RSA-4096 квантовым компам не позубам.
    > Мощи сегодняшних процов легко хватит чтобы воротить и RSA-8192 и RSA-16384.

    А мне вот на VDSку приперся выводок ботов - и вгрузили проц в полку брутфорсом ssh. И хрен на сервак зайдешь - там такая очередь из желающих посчитать на моем процессоре, что пока до меня очередь дойдет - таймаут случается. И это с RSA-4096 всего лишь. И вот сидишь ты как дурак с ботами - и без VDSки. Очень удобно, #%$!

     
     
  • 8.94, Аноним (94), 08:15, 02/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    А ты запускай ssh и если надо сетевые сервисы с nice -n -10 Безопасные дист... текст свёрнут, показать
     
     
  • 9.121, Аноним (-), 07:26, 03/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Ну правильно - а попадать на свой сервак видимо не планируется Да и проц оно жр... текст свёрнут, показать
     
  • 8.112, Ivan_83 (ok), 00:20, 03/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Это решается не криптой а административными мерами, наймите админа ... текст свёрнут, показать
     
     
  • 9.122, Аноним (-), 07:31, 03/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Вот сейчас я буду тупняки крипто затыкать наймом админа К тому же вопрос в том ... большой текст свёрнут, показать
     
     
  • 10.126, Ivan_83 (ok), 00:16, 04/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Вопрос исключительно в том что ВЫ не умеете администрировать, потому что если бы... большой текст свёрнут, показать
     
     
  • 11.135, Аноним (-), 05:49, 07/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Я думал, системда и корпы уже достаточно понятно объяснили ветеран-чудакам где и... большой текст свёрнут, показать
     
     
  • 12.140, Ivan_83 (ok), 02:34, 09/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Вы похоже спорите с голосами у себя в голове, потому что я явные связи между про... текст свёрнут, показать
     
  • 5.143, Tron is Whistling (?), 14:34, 26/05/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Квант в 4096 _строгих_ бит?
    Он размером будет со всю Швейцарию. И в высоту тоже.
     
     
  • 6.144, Tron is Whistling (?), 14:35, 26/05/2024 [^] [^^] [^^^] [ответить]  
  • +/
    И дело даже не в размерах - его банально энергией прокормить может не получиться.
     

  • 1.5, Аноним (5), 14:47, 30/09/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Паяльник рулит.
     
     
  • 2.7, фнон (?), 14:49, 30/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    для этого нужен тесный физ. контакт
    а так можно ломать полностью сервак который на другой стороне земли
     
     
  • 3.10, Аноним (6), 14:52, 30/09/2023 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Ломать сервак который неизвестно где и непонятно что там полезного лежит.
     
     
  • 4.17, фнон (?), 15:26, 30/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    так если это легко, автоматизируемо...
    просто ломать все до чего дотянулись, а там смотреть что есть вкусного
     
     
  • 5.23, Аноним (6), 15:47, 30/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Да я вижу логи соединения со своим дефолтным ссш портом. Там адок. Хорошо что там ничего нет.
     
     
  • 6.67, Ivan_83 (ok), 00:53, 01/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Так и я вижу, там OpenSSH, рут с паролем разрешён и это никак не помогает ботам :)
     
  • 2.13, Аноним (13), 15:13, 30/09/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ограниченный инструмент этот ваш паяльник. Внезапно, но на стороне потенциальной жертвы тоже может быть сила или рычаги влияния. Не нужно думать, что все сценарии ограничиваются случаем "кровавая гэбня против Васи Пупкина".
     
     
  • 3.16, Витюшка (?), 15:26, 30/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Самое интересное что паяльник не поможет восстановить 1024битный RSA ключ.

    Если к тебе начнут ломиться - ты просто выдернешь флешку и сломаешь её. И никакой паяльник не поможет.

    Конечно уже потом, с паяльником в жопе, ты будешь сильно жалеть что вообще что-то шифровал. Но это будет уже потом)))

     
     
  • 4.25, Аноним (13), 15:55, 30/09/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Ну тут уже нужен не паяльник, а специалист по восстановленю данных с поврежденных носителей
     
  • 4.34, Аноним (34), 19:05, 30/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Паяльник в жопе бесполезен становится. А вот посадить тебя, строго по закону, это не помешает. Если в бриташке - то за невыдачу ключа по закону. Если в сшашке - то за неисполнение приказа судьи выдать ключ на не определённый срок - до тех пор, пока не выдашь. Ну а в остальных юрисдикциях - за "мелкое хулиганство" карусельно.
     
  • 2.15, Sw00p aka Jerom (?), 15:19, 30/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    лол, кек, зиро-траст :)
     

  • 1.11, Аноним (13), 14:55, 30/09/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Хороший пример того, что безопасность это не только про криворуких (или продавшихся АНБ) программистах. Даже если написать на коленке свой софт с нуля, то вас всё равно смогут взломать за счет фундаментальных проблем в самих стандартах, алгоритмах, програмно-аппаратной архитектуре, и т.д.
     
     
  • 2.52, seL4 (?), 23:43, 30/09/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    KRY10 смеется над вами https www perplexity ai search 3af2f727-9f74-45b0-8a84... большой текст свёрнут, показать
     
     
  • 3.58, Аноним (54), 23:50, 30/09/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Kry10 is a company that provides a modern platform, tools, and management
    > services to help businesses realize the full potential of IoT and
    > high-value connected devices1

    О да, о да, как говорится:
    - Доктор, Мойша говорит что ему 90 и он - может!
    - Не вижу что и вам мешает говорить это же самое.

    Тупая реклама короче.

     
     
  • 4.70, seL4 (?), 06:03, 01/10/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    https://www.perplexity.ai/search/c073d891-fec6-4514-9e49-7af4071599b6?s=u

    According to the search results, the cost of producing formally verified, high-assurance systems using seL4 is on the order of $200-400/LoC (Lines of Code) for critical code1
    . However, the total cost for development of seL4 and its functional correctness proof is $362/LOC, which is low cost compared to the industry rule-of-thumb cost5
    . Additionally, the cost of the proof for seL4 is higher, in total about 20 person years, which includes significant research and about 9 person years invested in formal language frameworks, proof tools4
    . It is important to note that building a system on seL4 requires more work compared to building on other operating systems like Linux2
    .

     
     
  • 5.89, Аноним (89), 18:24, 01/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Ну доказали соответствие кода спецификации,молодцы. Но вот только где гарантия того, что в самой спецификации нет дыр и прочих проблем? Тоже самое с протоколами. Я не говорю, что это бесполезно, нет. Но это не панацея.
     
  • 2.64, Ivan_83 (ok), 00:37, 01/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Тут вопрос в том, почему вас такое заботит :)
    Взломают вас и что дальше?
     

  • 1.18, Аноним (18), 15:31, 30/09/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >в качестве оптимального решения предлагается прекратить использование RSA на TLS-серверах в пользу шифров на основе ECDH (Elliptic Curve Diffie Hellman).

    Вот так и палятся агенты NWO. Вместо того, чтобы дополнить время до константы с помощью ожидания, предлагают дропнуть RSA и принудительно всех перевести на криптоалгоритмы, о которых ходят слухи, что их на классическом компьютере взломали.

    Не удивлюсь, если всё это исследование ради одного повода для этого предложения и делалось.

     
     
  • 2.21, Аноним (21), 15:42, 30/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    >Автор исследования также полагает, что рассмотренный класс уязвимостей не ограничивается RSA и может затрагивать многие другие криптографические алгоритмы

    Как RSA устранят - можно будет и NTRU Prime устранить и всех на SIKE перевести.

     
  • 2.60, Аноним (-), 00:03, 01/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Ну конечно, всех криптографов в враги надо записать - потому что RSA они недолюб... большой текст свёрнут, показать
     
     
  • 3.63, Ivan_83 (ok), 00:35, 01/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    1, 2) Так ему уже лет 50. Это отличное и хорошо изученное решение, которое до сих пор актуально.
    За это время все другие криптоалгоритмы ушли на пенсию, даже сильно более молодые.

    3) Вы не понимаете сути.
    До констант тайм его никогда и никто не думал доводить потому что это тупо.
    Там снизу гора математики, выкинуть от туда все оптимизации это как с машины снять колёса и нанять носильщиков вместо них. (ниже я расписал в отдельном сообщении подробнее)
    Насчёт ботов по ssh вы совсем не правы. У меня ключ хоста 16к бит RSA и как раз таки боты на этом и обламываются часто: пока они там на своём дохлом проце считают у них или память кончается или по таймауту отваливаются.

    PSK вы упомянули, а чего тогда не упомянуть фльдегерей и почтовых голубей?)

     
     
  • 4.78, Аноним (78), 13:40, 01/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Это дряхлый дедушкин запорожец, который еще каким-то чудом ездит После многочис... большой текст свёрнут, показать
     
     
  • 5.83, Аноним (83), 15:50, 01/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    >Это дряхлый дедушкин запорожец, который еще каким-то чудом ездит. После многочисленных латаний гнилых порогов эпоксидкой и матюками, вечной переборки движка и запуска с толкача.

    Зато
    1. команды на CAN-шину через сотовую сеть с планшета полицая отдавать нельзя.
    2. не рассыпается в хлам через 5 лет эксплуатации, чтобы заставить лохов раз в 5 лет за 20 тысяч баксов машину новую покупать.

     
     
  • 6.87, Аноним (-), 16:25, 01/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Зато при столкновении - у вон того с CAN видите ли подушки в морду вылетают когд... большой текст свёрнут, показать
     
     
  • 7.92, Аноним (92), 01:09, 02/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    1. Спасибо, я предпочту не испытывать резкое торможение благодаря посланным через CAN несанкционированным вредоносным командам.
    2. Ещё раз. Крипта - это пострашнее чем rocket science. Всех, кто достаточно квалифицирован в ней, либо купили, либо запугали, либо непрерывно ведут и при необходимости ликвидируют. Поэтому чем проще крипта - тем лучше. Эллиптика слишком сложна для нематематика, решётки ещё страшнее. А вулны в либах гипотетические и их закрыть я уже сказал как надо. Константное время - это нужно, но навесная защита тоже даст константное время. Без всякого навязывания сомнительных криптосистем и без слома совместимости.
     
     
  • 8.93, Аноним (-), 07:16, 02/10/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Вон тот, с CAN, вылетевший на встречку, может быть не в курсе этого желания Да ... большой текст свёрнут, показать
     
     
  • 9.107, Аноним (107), 21:10, 02/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Поэтому никаких электроусилителей руля Их к счастью намного меньше, чем гидроус... большой текст свёрнут, показать
     
     
  • 10.123, Аноним (123), 08:30, 03/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Электрика может даже надежнее гидравлики быть Извините, это самолетам уже ок А... большой текст свёрнут, показать
     
     
  • 11.125, Аноним (125), 19:12, 03/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Спасибо, что предупредили А куда ты денешься с подводной лодки Насяльника прик... большой текст свёрнут, показать
     
     
  • 12.136, Аноним (-), 09:01, 07/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Пешком ходите Я не понимаю почему система трубочек, критичных к малейшей потере... большой текст свёрнут, показать
     
  • 5.84, Аноним (84), 15:54, 01/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    >Только юзать куда проще, приятнее

    Ну представления иллюзионистов в роли и зрителя, и самого выступающего иллюзиониста приятны. Но повторить сможет не каждый, а кто знает в чём фишка - тому смотреть на фокусы не так восторженно, как обычным зрителям.

    Но у нас тут речь идёт о безопасности, а не о походе в цирк.

     
  • 5.85, Аноним (84), 15:56, 01/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    >Что RC4, что MD4/5, да в общем то почти все что массово использовалось на поверку оказалось хламом. R в RC4 так то - то же что R в RSA :)

    Зато у S всё в порядке. Система разделения ключа вообще имеет информационно-теоретическую безопасность.

     
     
  • 6.88, Аноним (-), 16:35, 01/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Насколько я вижу - RSA пришлось немало костылять для более-менее безопасного исп... большой текст свёрнут, показать
     
     
  • 7.98, Аноним (98), 12:05, 02/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Что ты к Ривесту прицепился, его поделки не используются уже сейчас. Ни MD, ни RC. RSA - труд не одного Ривеста. Я не удивлюсь, если перед публикацией Диффи, Хэллман и Мёркл всё это отревьювили - в одной лаборатории работали как-никак.
     
     
  • 8.129, Аноним (-), 14:09, 04/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Да у меня и к RSA как всей корпе претензии есть Например, попытка бэкдора в PGP... текст свёрнут, показать
     
     
  • 9.131, Аноним (131), 18:42, 04/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    RSA Security - это торговая марка Когда пошёл позор - никто из указанной троицы... текст свёрнут, показать
     
     
  • 10.137, Аноним (-), 09:05, 07/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Т е RCx и MDx сломанные от и до - но с активным желанием денег за все из них - ... текст свёрнут, показать
     
  • 5.117, Ivan_83 (ok), 00:49, 03/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Вы не понимаете разницы между legacy и best practices TLS везде и не нужен, как... большой текст свёрнут, показать
     
     
  • 6.138, Аноним (-), 13:02, 07/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Что из вашего спича best practices Тормозить RSA16K Игнорить атаки Костылят... большой текст свёрнут, показать
     

  • 1.38, YetAnotherOnanym (ok), 19:35, 30/09/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Джиттер? Нет, не слышали. Fail2Ban и over9000 аналогов? Даже не знаем, о чём это.
     
     
  • 2.100, коллега автора (?), 16:01, 02/10/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Ну, хреново, что вы не знаете. А вот автор в курсе, и весь ужас как раз в том, что автор умеет в статистику и с миллионом коннектов джиттер ваш ему больше не помеха. Что делает конкретно эту атаку относительно нестрашной в сравнении с мрачными перспективами от его умения чихать на джиттер.

    Так что навешивай fail2ban на все свои web-сервера.

     
     
  • 3.110, YetAnotherOnanym (ok), 00:15, 03/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Навесил давно, и не только fail2ban. Удачи вашему автору продраться через тарпит со своим миллионом коннектов и что-то выловить в полученной статистике.
     
     
  • 4.118, коллега автора (?), 01:27, 03/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Прям-таки на все порты с TLS навестил? И на 443? =D

    Пиши ещё.

     
     
  • 5.124, YetAnotherOnanym (ok), 09:54, 03/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > Пиши ещё.

    Обязательно. Ожидайте.

     
  • 3.145, Tron is Whistling (?), 08:24, 27/05/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Не только джиттер, но ещё и параллельное исполнение, виртуализация, параллельные потоки данных у провайдеров, делающие джиттер вообще плохо оцениваемым явлением, в итоге всё это "статистическое чудо" за пределами локалхоста/локалнета практического применения не имеет.
     

  • 1.40, Anonim (??), 20:01, 30/09/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    А зачем вообще приводить время на ключ рса 1024, есть меньше 2048 давно и не подписывают, а массово используют 4096.. время там не в разы отличается..
     
     
  • 2.42, Атон (?), 20:31, 30/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    попробуй думать над прочитанным.

    там написано: микропроцессор современной кофеварки раскрыл текст диалога за приемлемое время.

    это значит: мощности cloud computing (aws, yandex, DO) позволяют читать (и вмешиваться) в реальном времени.

     
     
  • 3.44, Anonim (??), 20:41, 30/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    ну 9 женщин не родят 1 ребёнка за месяц..
    Ботнет на 100500 клаудов упрётся в возможности тестируемой стороны. на за ДДОСят они удалённый сервак и всё.
     
     
  • 4.45, Anonim (??), 20:47, 30/09/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    зы
    плюс они еще и друг другу будут мешать.. при сильно большой нагрузке время ответа начнёт расти.. как тут задержки измерять, если они плавают ?
    поэтому только в мало потоков по несколько раз перепроверяя, чтобы исключит флуктуации от левых факторов... и да, 1024 vs 2048 это не в разы увеличение времени.
     
  • 2.68, Аноним (-), 01:37, 01/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > А зачем вообще приводить время на ключ рса 1024, есть меньше 2048
    > давно и не подписывают, а массово используют 4096.. время там не
    > в разы отличается..

    Это как-то отменяет тайминг атаки? Зануда DJB давно предупреждал. Как и прочие, только кто их слушает. А вот в своем коде они почему-то повернуты на фиксированных таймингах, что как бы намекает.

     

  • 1.41, Аноним (41), 20:10, 30/09/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    К вопросу о безопасности. Третьего дня отключил все CPU mitigations в ядре - всё летает, настроение улучшилось. Все эти штуки специально сделаны для того чтобы их отключать и радоваться.
     
  • 1.62, Ivan_83 (ok), 00:28, 01/10/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Да, бежим и чепчики теряем переходить с RSA на ECDSA ED25519 Только ECDSA не co... большой текст свёрнут, показать
     
     
  • 2.69, morphe (?), 01:57, 01/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Пара лишних измерений - и задержку можно отбрасывать как шум
    Если подобное по сети гоняют, где есть непредсказуемая задержка сети, с чего вдруг искуственная, стабильно рандомная задержка должна помогать?
    https://crypto.stanford.edu/~dabo/papers/ssl-timing.pdf
     
     
  • 3.113, Ivan_83 (ok), 00:23, 03/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Как вы отбросите задержку если это будет +-50% времени рассчётов? А 150%?
    Ответ прост - вы будете собирать не энтропию с крипто алгоритма а энтропию из рандома+крипты.
    Успехов вам в отсеве.
     
  • 3.142, Tron is Whistling (?), 14:33, 26/05/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Это если знаешь, чем вызвана задержка. А если задержка состоит из самой сети и ещё пачки факторов неизвестной степени рандомности, превышающей уровень полезного сигнала - будет отбрасываться шум океанов Марса. Вместе с полезным сигналом.
     
  • 2.80, Аноним (78), 13:48, 01/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Ну вот не надо, у меня tweetnacl весьма близок к этому И даже так - на порядки ... большой текст свёрнут, показать
     
     
  • 3.114, Ivan_83 (ok), 00:28, 03/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Обозримое время для вас это сколько?
    Что вы понимаете под аудитом?


    > Особенно когда либы пишет абы кто как openssl где в итоге CVE пачками и очень много стремных мест.

    Других людей у нас для вас нет.
    Но вы можете заплатить огрызку или МС, у них крипту пишет не абы кто. )
    Ещё вам может само RSA, с отцами основателями открытой припты продать Dual_EC_DRBG :))))

     
     
  • 4.139, Аноним (-), 13:27, 07/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Это открыть и посмотреть - что оно такое И что делает Чем меньше тем лучше В ... большой текст свёрнут, показать
     
  • 2.91, Аноним (91), 23:03, 01/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    >сколько оно будет пыхтеть с моими 16к RSA бит ключами?

    Уже только ради экологии одной пора это прекращать. Через 5 лет у вас будет сколько? 32К?

     
     
  • 3.105, Аноним (107), 20:31, 02/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Простите за цинизм, но мне  новая резиновая страшилка: в добавок для "для защиты детей" и "борьбы с терроризмом" теперь ещё "для защиты экологической ситуации". На самом деле это в целях внутривидовой конкуренции, и в то же время всё правда:
    для защиты (положения) детей (господствующей формы жизни);
    для борьбы с терроризмом (конкурентов этой самой господствующей формы жизни);
    для защиты экологической ситуации(: все ресурсы шарика (которые ограничены и без разбазаривания которых невозможна жизнедеятельность) будут принадлежать господствующей форме жизни, а на всяких Иванов их разбазаривать не следует: меньше на будущее останется).

    Хороший, годный раб. Возьми с полки 15 рублей. Всё равно рано или поздно всё что взял обратно отдашь, и сверху ещё дашь себе в убыток.

     
     
  • 4.106, Аноним (107), 20:32, 02/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    *но мне новая резиновая страшилка на уши не вешается
     
  • 3.115, Ivan_83 (ok), 00:30, 03/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Ради защиты экологии вам надо сделать =роскомнадзор=, ибо вы столько ресурсов потребляете и и так сильно загрязняеете окружающую среду, и помножте это на предполагаемый срок дожития - это просто катастрофа!
     

  • 1.72, Аноним (72), 09:40, 01/10/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Спасибо автору за труд.
     
  • 1.82, RTuser (?), 15:50, 01/10/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    ещё одно подтверждение ненадёжности RSA
     
  • 1.90, Аноним (91), 23:01, 01/10/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Лет десять назад уже было понятно, что RSA шифрование с ключами короче 2К уже в зоне риска. С ключами 4К и более оно становится непрактично из-за их размера. Сейчас все это тем более актуально.
    ED25519 и точка.
     
     
  • 2.116, Ivan_83 (ok), 00:31, 03/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Ололо!!! Будь как все!
    Не слушай рекомендации АНБ для своих, это не модно!
     

  • 1.97, Аноним (97), 10:04, 02/10/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    djb was right all along
     
  • 1.99, Tron is Whistling (?), 15:02, 02/10/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    2K по сети нереал, этого достаточно.
     
  • 1.141, Tron is Whistling (?), 14:31, 26/05/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > при использовании 1024-разрядных ключей RSA заняла 9 часов и потребовала отправки 163 тысячи проверочных запросов

    Очередное лабораторное исследование, расходимся.
    При длине ключа в 2048-4096 толку нет, рост сложности всё равно экспоненциальный.

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру