RSA fing wieder in NSA Subversion von Dual-EC-Verschlüsselung

Die Zusammenarbeit zwischen EMC-besessenem RSA Security und der US-amerikanischen National Security Agency (NSA) war offenbar tiefer als zuerst angenommen, nachdem ein Forscherteam einen klaffenden Fehler in der “Extended Random” -TLS-Erweiterung gefunden hatte, die in den RSA-BSAFE-Verschlüsselungsbibliotheken gefunden wurde .

Anstatt zusätzliche Zufälligkeit der Verschlüsselung hinzuzufügen, fanden die Forscher heraus, dass die Erweiterung einen Angriff auf den bereits fehlerhaften Dual Elliptic Curve Deterministic Random Bit Generator (Dual EC) um einen maximalen Faktor von 65.000 beschleunigte.

“Wenn Dual Elliptic Curve verwendet wird, ist es wie das Spielen mit Streichhölzern, dann Hinzufügen Extended Random ist wie Dousing selbst mit Benzin”, sagte einer der Forscher Reuters, die zuerst die Geschichte berichtet.

RSA nicht bestreiten die Forschung, wenn sie von Reuters kontaktiert.

Das Forschungsteam untersuchte RSA BSAFE Share für C / C ++, RSA BSAFE Share für Java, Microsoft SChannel und OpenSSL für die Implementierung von Daul EC und stellte fest, dass RSAs BSAFE “besonders einfach zu nutzen” war.

Die C-Version von BSAFE macht eine drastische Beschleunigung in den Angriff möglich durch die Übertragung von langen zusammenhängenden Strings von zufälligen Bytes und durch Zwischenspeichern der Ausgabe von jedem Generator-Aufruf “, schrieb die Forscher.” Die Java-Version von BSAFE enthält Fingerabdrücke in Verbindungen, so dass es relativ Einfach, sie in einem Strom des Netzverkehrs zu identifizieren.

OpenSSL wurde gefunden, um einen Fehler zu haben, einer, der zuvor unbekannt war, der verhindert, dass die Bibliothek ausgeführt wird, wenn Dual EC aktiviert wurde. Das Team patched die Bibliothek, und festgestellt, dass es zusätzliche Entropie auf jeden Bibliotheksaufruf, die seine Version von Dual-EC schwerer anzugreifen würde.

Mit einem 16-CPU-Cluster, um jede Implementierung anzugreifen, sagten die Forscher, dass alle Implementierungen für einen motivierten Angreifer praktisch waren, auch für eine große Anzahl von Zielen.

Die BSAFE-Java- und SChannel-Angriffe erfordern mehr Rechenleistung, um fehlende Bits der Dual-EC-Ausgangsleistung wiederzuerlangen. Der BSAFE-C-Angriff ist praktisch sofort, sogar auf einem alten Laptop. Die OpenSSL-Angriffskosten hängen grundsätzlich davon ab, wie viel Informationen über den zusätzlichen Eingang zur Verfügung stehen.

Aufgrund der Fähigkeit, Fingerabdrücke der verschiedenen Implementierungen zu erkennen, fanden die Forscher nur 720 Servern BSAFE-Java in einem ZMap-Scan von 21,8 Millionen IPv4-Adressen ausgesetzt. SChannel wurde auf 2,7 Millionen Servern gefunden, aber weil Dual EC nicht standardmäßig für SChannel aktiviert ist, konnte das Team nicht sagen, wie viele anfällig waren. Da BSAFE-C keinen Fingerabdruck aufweist, ist nicht bekannt, wie viele Server für den schnellsten gefundenen Angriff anfällig sind.

Unsere Ergebnisse zeigen, dass ansonsten unschädliche Implementierungsentscheidungen die Ausnutzbarkeit stark beeinflussen “, so die Forscher.” Zum Beispiel ist RSA BSAFE-C durch das Zwischenspeichern nicht genutzter Bytes der Dual-EC-Ausgabe bei weitem am leichtesten auszubeuten.

Abhängig von den Entwurfswahlen in den Implementierungen kann ein Angreifer TLS-Sitzungsschlüssel innerhalb von Sekunden auf einer einzelnen CPU wiederherstellen oder kann einen Cluster von mehr als 100.000 CPUs für dieselbe Aufgabe erfordern, wenn eine andere Bibliothek verwendet wird.

Innovation, M2M-Markt springt zurück in Brasilien, Sicherheit, FBI verhaftet angebliche Mitglieder von Crackas mit Attitude für Hacking US gov’t Beamten, Security, WordPress fordert die Nutzer jetzt zu aktualisieren kritische Sicherheitslücken, Sicherheit, White House ernennt erste Bundesoberhäuptling Sicherheitsbeauftragter

Unsere Arbeit unterstreicht weiterhin die Notwendigkeit, den [Dual-EC] -Algorithmus so schnell wie möglich abzuwerten.

? M2M Markt springt zurück in Brasilien

FBI verhaftet angebliche Mitglieder von Crackas mit Haltung für das Hacken US gov’t Beamte

WordPress fordert Benutzer auf jetzt zu aktualisieren kritische Sicherheitslücken zu aktualisieren

White House ernennt ersten Chief Information Security Officer