Experti zistili ako môže NSA dešifrovať šifrovanú komunikáciu

Značky: šifrovanieNSAbezpečnosťInternetSnowden

DSL.sk, 16.10.2015

Viac ako desiatka kryptoanalytikov tento týždeň zverejnila svoje zistenia, ktoré vysvetľujú ako by mohla teoreticky NSA dokázať dešifrovať veľkú časť šifrovanej komunikácie a to bez akejkoľvek špeciálnej znalosti verejne neznámych zraniteľností respektíve špecifického prístupu k zariadeniam.

Náznaky, že NSA dokáže dešifrovať veľké množstvo internetovej šifrovanej komunikácie, sa objavili na konci minulého roka. Na bezpečnostnej konferencii 31C3 o tom na základe dokumentov vynesených Snowdenom informoval Jacob Appelbaum z projektu Tor, detailne sme o tom informovali v tomto článku.

Dokumenty a Appelbaum hovoria o schopnosti NSA dešifrovať SSL / TLS, SSH a dvojicu protokolov používaných na VPN, PPTP a IPsec.

Kryptoanalytici už v máji informovali o zraniteľnosti Logjam, ktorá umožňuje útočníkovi realizujúcemu MITM, Man-In-The-Middle, útok dešifrovať časť SSL spojení. Zodpovednosť za to nesie algoritmus Diffie-Hellman Ephemeral, DHE, a možnosť prepnutia spojenia na slabšiu verziu s iba 512-bitovým kľúčom. Detailne sme o tom informovali v tomto článku.

Algoritmus Diffie-Hellman je kryptografickým algoritmom s verejným kľúčom používaným na bezpečné dohodnutie spoločného kľúča dvoch komunikujúcich strán. Jeho základom je dlhé prvočíslo a generátor, pričom následne si komunikujúce strany vymieňajú generátor umocnený na ich časť tajného kľúča modulo prvočíslo. V súčasnosti je štandardom používanie aspoň 1024-bitových prvočísiel.

A práve Diffie-Hellman, DH, umožňuje potenciálne dešifrovanie aj ďalších SSL spojení ale tiež protokolov SSH a IPsec. Veľká časť konfigurácií týchto služieb a protokolov totiž podľa zistení kryptoanalytikov používa len niekoľko rozličných 1024-bitových prvočísiel. To samo o sebe nepredstavuje ešte problém.

Kryptoanalytici ale navrhli praktický spôsob ako si pre konkrétne 1024-bitové prvočíslo predpočítať potrebné dáta, aby následne bolo možné z vymieňaných dát komunikujúcich strán vypočítať tajný kľúč a dešifrovať spojenie. Podľa ich odhadu by takýto výpočet bolo možné zrealizovať pre 1024-bitové prvočíslo na špeciálnom vyvinutom hardvéri s vlastnými ASIC čipmi za rok, pričom náklady by sa pohybovali v rádoch stoviek miliónov dolárov. To je samozrejme bez problémov v možnostiach NSA ale aj iných štátov ako USA.

Takéto predpočítanie iba pre jedno prvočíslo ale umožní dešifrovať komunikáciu až so 17.9% z milióna najnavštevovanejších HTTPS webov, 25.7% SSH serverov a 63.9% respektíve 66.1% IPsec VPN serverov, podľa verzie IKE IPsec. Úspešnosť pre weby si je možné výrazne zvýšiť predpočítaním pre desať najpoužívanejších prvočísiel, s ktorými by bolo možné dešifrovať spojenia s 24% zabezpečených najpopulárnejších webov.

Koncoví užívatelia, ktorí sa pripájajú na zabezpečené servery daných protokolov, zvyčajne priamo zraniteľnosť ich komunikácie nemôžu ovplyvniť, keď parametre DH volia servery a užívatelia zvyčajne nevedia zakázať používanie jednotlivých šifier. Prevádzkovatelia serverov sa riziku môžu vyhnúť nakonfigurovaním dlhšieho 2048-bitového prvočísla, prípadne použitím iného neštandardného 1024-bitového prvočísla, prechodom na Elliptic Curve DH alebo prípadne vypnutím podpory algoritmu DH ak jeho podpora nie je nutne vyžadovaná.




Najnovšie články:



Diskusia:

tamtung Od: tamtung | Pridané: 16.10.2015 12:28 Cize ako sa tomu branit? Odpovedať Známka: 5.5 Hodnotiť:

Re: tamtung Od: instalater | Pridané: 16.10.2015 12:31 musis sa odpojit od matrixu Odpovedať Známka: 9.6 Hodnotiť:

Re: tamtung Od: dndjdkdkdnnd | Pridané: 17.10.2015 11:44 musis prestat pocitat bitkoini Odpovedať Známka: -6.0 Hodnotiť:

Re: tamtung Od: karolkooooo | Pridané: 17.10.2015 18:25 branit sa da jedine takto: http://dopice.sk/f56 Odpovedať Známka: 4.3 Hodnotiť:

Re: tamtung Od: xvzf | Pridané: 16.10.2015 12:36 z diskusie pod orig. clankom: "The solution is to increase the size from 1024 bits to 2048. It is believed to be currently infeasible to crack such a long prime, even with a 10 billion dollar budget." Odpovedať Známka: 8.1 Hodnotiť:

Re: tamtung Od: xvzf | Pridané: 16.10.2015 12:37 na kt. nadvazuje odpoved: "Real-world performance is big issue. On some typical HW I’m familiar with, moving from 1024-bit DHE to 2048-bit DHE is a 5x performance cost, at minimum. So at best you now get 20% of the TLS transactions-per-second that you got at 1024-bit. And that’s dedicated crypto HW, optimized for this task. Going to 4096-bit from 2048-bit is even worse. The other issue is that there is currently no standard for negotiating Finite Field DHE key sizes, and 1024-bit is the default presumed size. If you have a client that only does 1024-bit, and the server negotiates DHE and tries to do 2048-bit – the connection will fail. (...) Note that ECDHE doesn’t have this problem because negotiation was built in from the start. So using ECDHE instead of DHE is a preferred real-world solution." Odpovedať Známka: 6.0 Hodnotiť:

Re: tamtung Od: PCsroby | Pridané: 16.10.2015 13:50 Lenze kto stoji za EC? Kto pretlaca od zaciatku EC? Osobne mam s tymto krivkami dost problem a preferujem radsej pridat dalsie SSL/VPN terminatory na dorovnanie vykonu. Odpovedať Známka: 2.3 Hodnotiť:

Re: tamtung Od: xvzf | Pridané: 16.10.2015 12:41 Dalsia zaujimava debata: http://is.gd/HY6pXA Odpovedať Známka: 7.1 Hodnotiť:

Re: tamtung Od: qwerwq | Pridané: 16.10.2015 12:43 2048 DHE zabije kazdy server. Preto sa zacinaju presadzovat eliptiky (ECDHE) Odpovedať Známka: 8.6 Hodnotiť:

Re: tamtung Od: quaso | Pridané: 16.10.2015 12:40 Vymysli si vlastne 1024-bitove prvocislo Odpovedať Známka: 7.6 Hodnotiť:

Re: tamtung Od reg.: ujo horar | Pridané: 17.10.2015 0:55 najlepsie, ked bude delitelne inym prvocislom.. Odpovedať Známka: 7.1 Hodnotiť:

Re: tamtung Od: wefwfds | Pridané: 16.10.2015 12:41 na serveri pouzivat eliptiky, kym sa nenajde pruser aj tam. :-) na klientovi - jedine zakazat DHE. a potom sa zaobist bez PFS a zaroven aj pristupu ku viacerym webom. :-/ Odpovedať Známka: 8.3 Hodnotiť:

Re: tamtung Od: xvzf | Pridané: 16.10.2015 14:14 Pre PFS potrebujes DH? Odpovedať Známka: 5.0 Hodnotiť:

Re: tamtung Od: asdfasfd | Pridané: 16.10.2015 20:29 A jak chces kurva ten novy kluc vyjednat bez mozosti odposluchu po ziskani predchadzajuceho kluca, ked budes pouzivat len RSA? Na to sluzi (aj v SSL a IPsec) DHE/ECDHE. Ak si na vpn GW klikal na polozky DH Group, tak to je presne to. Odpovedať Známka: -5.0 Hodnotiť:

Re: tamtung Od: xvzf | Pridané: 16.10.2015 22:24 Trochu slusnosti ;) Pokial zakazem iba DHE a ECDHE budem mat povolene, tak mam PFS tiez, nie? O to mi islo... Odpovedať Známka: 6.7 Hodnotiť:

Re: tamtung Od: Ghhhh | Pridané: 17.10.2015 18:16 Jasne. Nahrada dhe pomocou ecdhe sa uz spominala v prispevkoch skor. A to neslusne slovo pls povazuj za citoslovce. :-) Odpovedať Známka: 3.3 Hodnotiť:

Re: tamtung Od: reg.: x x l l | Pridané: 16.10.2015 17:41 Veru, s prichodom kvantovych pocitacov ECC padne skor ako RSA :) Ale uz sa pracuje na Lattice based cryptography... Odpovedať Známka: 6.0 Hodnotiť:

Re: tamtung Od: nsa | Pridané: 16.10.2015 14:46 mas pocit, ze niekomu zalezi na tom ta sledovat? :-) Odpovedať Známka: -9.1 Hodnotiť:

Re: tamtung Od: quix_ | Pridané: 17.10.2015 13:44 sledovanie jednotlivca je len dosledok sledovania vsetkeho Odpovedať Známka: 10.0 Hodnotiť:

Re: tamtung Od: syntaxterrorX | Pridané: 18.10.2015 14:01 dosledok = nutna podmienka ? to fakt? Odpovedať Hodnotiť:

Re: tamtung Od: quix_ | Pridané: 19.10.2015 9:01 ti menej chapavi si mozu dosledok nahradit slovom nasledok. Odpovedať Hodnotiť:

som rad, ze niekto ma cas rozmyslat nad takymito vecami Od: JozoNR | Pridané: 16.10.2015 12:59 ja rozmyslam, co si dam dnes na veceru Odpovedať Známka: 7.8 Hodnotiť:

Re: som rad, ze niekto ma cas rozmyslat nad takymito vecami Od: gambler | Pridané: 16.10.2015 13:12 .. daj si čo chceš, ale minimálne 2018-bitvé aby to bolo, nech ti potom nie je špatne... Odpovedať Známka: 6.0 Hodnotiť:

Re: som rad, ze niekto ma cas rozmyslat nad takymito vecami Od reg.: l1@p5 | Pridané: 16.10.2015 13:39 Z 2018 bitoveho mu bude urcite zle, lebo nie je zarovnane spravne na bity. Minimalne mu to pojde vyrazne pomalsie. Odpovedať Známka: 7.1 Hodnotiť:

Nove prvocisla Od: ph4r05 | Pridané: 16.10.2015 13:45 Na svojich projektoch vzdy generujeme nove DH grupy, cim sa utok predpocitavanim stane neefektivny. Ked kazdy defaultne pouziva NIST prvocisla pre DH grupy danej velkosti tak je logicke, ze sa to oplati pre NSA predpocitat. Jednoducho: openssl dhparam -out dhparams.pem 2048 Pripadne zaujimavy clanok o tom ako nastavit vlastnu DH grupu. https://weakdh.org/sysadmin.html Len pre predstavu, predpocitat 512 grup s 2048bit prvocislom mi na priemernom serverovom HW zabralo par dni. Odpovedať Známka: 7.4 Hodnotiť:

Re: Nove prvocisla Od: rolh | Pridané: 16.10.2015 15:19 Pan je asi odbornik. Si len ty myslis ze si kryptologicky genius, nevies cim disponuje NSA alebo podobne tajne sluzby. Odpovedať Známka: -7.9 Hodnotiť:

Re: Nove prvocisla Od: J.n | Pridané: 16.10.2015 20:45 Neviem preco je tento komentar tak nizko hodnoteny, ale toto je to spravne riesenie pre servery komunikujuce cez TLS - hlavne web servery. Inac odporucam vsetkym adminom web serverov overit si svoju konfiguraciu cez https://www.ssllabs.com/ssltest/ Odpovedať Známka: 7.1 Hodnotiť:

Re: Nove prvocisla Od: syntaxterrorX | Pridané: 17.10.2015 0:07 ako moze penetracny tester pozitivne hodnotit admina, kym mu kluc, vytvoreny offline, neposkytne na zabezpečenom prenosnom disku? Odpovedať Známka: -10.0 Hodnotiť:

na tesnom treťom mieste Od: syntaxterrorX | Pridané: 16.10.2015 13:47 Pche, NSA to zistila ešte skôr a paranoici ešte predtým. Odpovedať Známka: 8.9 Hodnotiť:

Re: na tesnom treťom mieste Od: Trololo | Pridané: 16.10.2015 15:59 NSA musi byt vdacna za paranoikov, ktori im vymyslaju tieto metody. Odpovedať Známka: 6.2 Hodnotiť:

nerozumiem Od: tajtrlik | Pridané: 16.10.2015 16:21 Nerozumel som ani clanku ani diskusii... Odpovedať Známka: 8.1 Hodnotiť:

Re: nerozumiem Od: syntaxterrorX | Pridané: 16.10.2015 16:47 Používame eliptiku, tak s DHčkom potrebuješ iracionálny key. Odpovedať Známka: 5.0 Hodnotiť:

Re: nerozumiem Od: matkooo | Pridané: 16.10.2015 17:39 si na dsl, malo by postacit poznat janku a poslat kvety vytlacene cez wifi Odpovedať Známka: 9.0 Hodnotiť:

Re: nerozumiem Od: syntaxterrorX | Pridané: 16.10.2015 17:48 a to akože install arch je optional!? Odpovedať Známka: 7.8 Hodnotiť:

Re: nerozumiem Od: quix_ | Pridané: 17.10.2015 13:46 samozrejme v dobrom Odpovedať Známka: 7.1 Hodnotiť:

Re: nerozumiem Od: baGoLo | Pridané: 16.10.2015 22:43 to ešte neznamená, že Ťa nesledujú. :P Odpovedať Známka: 8.0 Hodnotiť:

Re: nerozumiem Od: sensei-san | Pridané: 16.10.2015 23:29 U tej diskusie si z toho nič nerob. Väčšina je o ničom, alebo mimo. Podstatné je, že keď máš webserver s https, tak sa prenos šifruje - symetrickou šifrou[1], ktorej kľúč sa dohodne na začiatku spojenia pomocou asymetrickej šifry[2]. Asymetrická šifra používa spravidla vlastnosti prvočísiel - napr. to, že rozložiť súčin dvoch prvočísiel naspäť na tie prvočísla je komplikované. Spôsob výmeny kľúča[3] asymetrickou šifrou objavili páni Diffie a Hellman[4]. Ich postup začína voľbou prvočísla (nazvime ho P) a odvodením správy z neho. Pozor, nie je to jediné prvočíslo používané v celom procese. To, o čom je článok,je to, že takmer všetci používajú to isté P. Preto sa NSA oplatí analyzovať množinu problémov, ktoré začínajú voľbou toho konkrétneho P. Táto množina je podstatne menšia ako keď je P zvolené náhodne. Riešením je prečítať si dokumentáciu a nastaviť web server tak, aby používal iné P. Viď príspevok od ph4r05. Kľúčové slovné spojenia [1],[2],[3] a [4] nájdeš na wikipedii. Odpovedať Známka: 8.0 Hodnotiť:

Re: nerozumiem Od: sdasdasdasd | Pridané: 17.10.2015 1:06 Tak tomuto uz rozumel urcite :P Odpovedať Známka: 1.4 Hodnotiť:

Re: nerozumiem Od: prisiel Ahmed, posli spat | Pridané: 17.10.2015 3:21 Nabuduce prosim spravne formulovanie odkazov formou tu, tu a tu. Kacirstvo tu neuznavame. Odpovedať Známka: 7.0 Hodnotiť:

Re: nerozumiem Od: Fred vúc | Pridané: 1.2.2016 11:02 Drž piču ty decko Odpovedať Hodnotiť:

exporti zistili... Od: frante | Pridané: 16.10.2015 17:38 prechodom na Elliptic Curve DH. Ja tiez asi prejdem na nejaku curvu. Odpovedať Známka: 10.0 Hodnotiť:

Re: exporti zistili... Od: .em | Pridané: 16.10.2015 19:24 ale hlavne s dobrymi eliptickymi krivkami a namiesto DH radsej DT alebo DP... Odpovedať Známka: 10.0 Hodnotiť:

Re: exporti zistili... Od: Dddddddd | Pridané: 18.10.2015 8:58 A poriadne penetracne testy k tomu.... :-) Odpovedať Známka: 10.0 Hodnotiť:

Koho tam po tom Od reg.: Trolitel | Pridané: 16.10.2015 20:12 Ja všetko šifrujem výlučne cez SHA512... Len nerozumiem prečo mi stále neprišla odpoveď na tie kvety o ktoré som šifrovane žiadal asi 2 mesiace dozadu. Odpovedať Známka: 0.0 Hodnotiť:

Re: Koho tam po tom Od: dgsd | Pridané: 16.10.2015 20:34 robia specialne kvoli tebe nove duhove tabulky :-) Odpovedať Známka: 10.0 Hodnotiť:

stavím sa že tí kkti v NSA Od: Ferikuš | Pridané: 16.10.2015 21:37 nepoznajú ani PALERINOFUMY... určite by to nevedeli decoded/feedback/ Odpovedať Známka: -3.3 Hodnotiť:

Re: stavím sa že tí kkti v NSA Od: Ghhhh | Pridané: 16.10.2015 22:04 To na konci prispevku je regular expression? Odpovedať Známka: 6.7 Hodnotiť:

Re: stavím sa že tí kkti v NSA Od reg.: Trolitel | Pridané: 16.10.2015 22:12 To je nejaký divný nie? Odpovedať Hodnotiť:

Re: stavím sa že tí kkti v NSA Od: Ghhhh | Pridané: 17.10.2015 9:38 Hej, ale je to jedina cast prispevku, ktora dava nejaky zmysel. Odpovedať Známka: 8.0 Hodnotiť:

superpočítače Od: xyz. | Pridané: 17.10.2015 10:26 Takže na toto sú im dobré tie superpočítače čo neustále skladajú a vylepšujú... Odpovedať Hodnotiť:

Re: superpočítače Od: xyz. | Pridané: 17.10.2015 10:31 Žiadna liečba rakoviny či AIDS, crackovanie uživateľskej komunikácie je v kurze. Len som zvedavý že koho komunikáciu budú špehovať keď všetci umrú na smrteľné choroby na ktoré stále nie je liek o ktorých stále tvrdia že na ne hľadajú liek zatiaľ čo v skutočnosti jediné čo hľadajú je kľúč ku komunikácii medzi ľuďmi a servermi. Odpovedať Známka: 10.0 Hodnotiť:

Re: superpočítače Od: dbdjdosoks | Pridané: 17.10.2015 12:11 a vo volnom case sleduju mobily svojich priateliek Odpovedať Známka: 10.0 Hodnotiť:

Re: superpočítače Od: syntaxterrorX | Pridané: 17.10.2015 12:49 Teoreticky je možné aj použitie "ich priateliek", čo je však, pri zachovaní platnosti sémantiky, podmienené existenciou voľného času, tvoreného, pre zjednodušenie porozumenia, napríklad dematerializáciou hmoty vo "vnútri" priestoru, určeného Buosseho holografickou hranicou kvantovej gravitácie. Odpovedať Známka: 0.0 Hodnotiť:

otazocka.. Od reg.: shapira | Pridané: 17.10.2015 14:37 Len teoreticka otazka... Dobre,dajme tomu NSA vie odpocuvat.. Ale,teoreticky model : clovek sa pripoji dk sifrovanej VPNky, je v sieti c1,ize tej tzv.virtualnej, v nej prechadza cez EoIP,dalej ide na inu siet,kde sa vsetko loguje viac detailne,v tejto sieti este raz vytoci VPNku.. tiez sifrovanu.. Je mozne prejst cez tolko vrstiev bez toho aby bol niekde nejaky log? EoIP je rieseny nie cez verejne ip,ale je to privatna fyzicka siet Clovek teda vytoci sifrovanu VPN do privatnej sieti -> prechadza cez EoIP na druhu stranu,nasledne vytaca v privatnej sieti dalsiu VPN pre kominukaciu ale internu.. Neukamenujte ma.. to je len teoreticka otazka.. Odpovedať Hodnotiť:

Re: otazocka.. Od: syntaxterrorX | Pridané: 17.10.2015 14:46 :-) teoretický popis princípu teleportácie je v predchádzajúcom vlákne, príspevok "Od: syntaxterrorX | Pridané: 17.10.2015 12:49" Odpovedať Známka: -3.3 Hodnotiť:

Pridať komentár