密碼學漏洞與他們的產地

Transcript

1. 密碼學漏洞與他們的產地 zuan@chroot.org

2. Who am I - Zuan - chroot讀書會成員 - 什麼都略懂一點，但什麼都不精通 -

   愛玩資訊跟電子領域的各種事務 - 興趣是騎腳踏車跟買學生證

3. Content - 非對稱式演算法 - 對稱式演算法 - 雜湊 - 其他

4. 這邊有人沒有聽過RSA的嗎? 請舉個手

5. c ≡ ne (mod (N)) n ≡ cd (mod (N))

   ed ≡ 1 (mod φ(N))

6. c -> 密文 n -> 明文 (e,N) -> 公鑰 (d,N)

   -> 私鑰

7. 一般為了加速計算，e會取很小 (e=65537 or e=17 or e=3)

8. 如果ne < N且e = 3

9. 那不是開方根就能解密了？

10. ...

11. OK，那如果效能不是問題，我e選大一點 總可以吧？

12. 如果要加密0或1

13. 0^e = 0 1^e = 1

14. ...

15. Encrypt(‘A’) = YCD6WGtUMNDedQ2HjC5KzSVT Encrypt(‘B’) = REfHH3SCzed6jkRhP6JZwytH Encrypt(‘C’) = aSWP4Z6cX2VYWMxwA9bGMKRA Encrypt(‘D’)

    = sRuHR8t8Vmy3th8Gf2RAVfkz Encrypt(‘E’) = F4ahebRHXUyzzeNgcBzN4r26 Encrypt(t) = aSWP4Z6cX2VYWMxwA9bGMKRA t = ?

16. 就說該都猜C

17. 一個加密演算法不該有那麼多毛

18. 以上這些弱點都可以透過Padding來解決

19. 加解密：PKCS #1 v1.5, OAEP 簽章：PKCS #1 v1.5, PSS

20. Plaintext n Padded Plaintext n Ciphertext n OAEP RSA

21. 如果自己實作Signature Padding 應依照標準驗證簽章

22. Python RSA出過類似包 CVE-2016-1494

23. [問掛] 有沒有RSA很慢的八卦？

24. None

25. 2048 bit/op * 768.3 op/s ≈ 200 kB/s 2048 bit/op

    * 26270.6 op/s ≈ 6.7 MB/s

26. 撥接喔？！╯-____-)╯~═╩════╩═

27. None
28. None

29. 加解密(AES): 75~90 MB/s 簽章(SHA2): 30~300 MB/s

30. RSA iPad AES/SHA!

31. RSA Weak Key

32. RSA的Key不是找兩個大質數就夠了

33. CVE-2008-0166

34. 亂數產生器不夠亂，某些質數出現機率高

35. => 直接猜那些質數可破密

36. => 拿一堆N來GCD也可以破一發 （shared factor)

37. N1 = p1*q1 N2 = p2*q2 若p1 = p2, p1

    = GCD(N1,N2)

38. Weiner’s Attack

39. 不常見，記得d > ⅓ N¼就好

40. Pollard p-1 Factorization

41. 也不常見，建議(p-1)/2也要是質數

42. TL;DR懶人包: 生Key? OpenSSL

43. [問掛] 有沒有RSA很慢的八卦？

44. ...

45. 你有聽過橢圓曲線嗎？

46. 對稱 RSA ECC 80 1024 160 112 2048 224 128

    3072 256 192 7680 384
47. None

48. 總時間上，橢圓曲線遠比同級的RSA快

49. ECDSA 256 bit Public Key: AAAAE2VjZHNhLXNoYTItbmlzdHAyNTYAAAAIbmlzdHAyN TYAAABBBCv5hlgEJBGfQfF/4RdBDMv0hiaeNbwqwkyW4n tYsUUroqqFQMROgYSdHr2bqmX0BCX87l95Hynh2nUPxbO vWtg=

50. RSA 2048 bit Public Key: AAAAB3NzaC1yc2EAAAADAQABAAABAQD4XK2ooKXQZFIrz Tlu6sIVOTdnLDcKc1Qn/WvrGCBFRx5jTfKlJflCVb0Bdh PayaYwibMzu87rn6IzfKdc3yEivcRIKJ0Vv/z86jjbK1V 7zlTXyhvp0I2IUgL46HTFQVykn88dcj0CX0vuuITfr+sH jSLG8icBrZHOoiAXYI8xdbZFZ5BZFp5IbeD5QZ2BNotK1

    SkMAt1ls2AZD48toBoX0lMiWf7pufdviQw8GIkQo7Jm52 QDFPj2QPUocVLeqCvzreWgu0SSfaIEDUMScM9alS/OBaj rorQI9/eT85H57sv3che8ascbwN48EpQngBwwzylUl0Wm sjYneybGW8xT

51. Key小就是爽啦

52. 下次也考慮下ECC系列吧

53. 但如果Public端為嵌入式，則可考慮RSA

54. 如果用ECDSA一定要記得

55. 不要Sony

56. None

57. Sony進行PS3的ECDSA簽章時每次k都一樣

58. 兩次k一樣的簽章 = 洩漏私鑰

59. RSA有Side Channel問題

60. 想想Modular Exponentiation

61. def modexp( base, exp, mod ): out = base if

    (exp[0] == 1) else 1 for i in range(1,len(exp)): out = (out * out) % mod; if exp[i] == 1: out = (out * base) % mod return out

62. def modexp( base, exp, mod ): out = base if

    (exp[0] == 1) else 1 for i in range(1,len(exp)): out = (out * out) % mod; if exp[i] == 1: out = (out * base) % mod return out

63. 量測CPU Cache Hit/執行時間/使用功率 可以看出這步有沒有執行

64. 執行在同一顆CPU的其他程式或是對CPU 有實體權限的攻擊者有機會破密

65. RSA要避免類似Side channel較麻煩 ECC也有類似問題(Double or add)

66. 進幾年HITCON有示範過

67. bit 0 1 2 3 4 ... 0 1 1

    1 1 1 ... 1 M^1 M^2 M^4 M^8 M^16 ...

68. 如果有這考量，可以用現成的Library， 或是用Ed25519

69. 玩夠非對稱式的，來聊聊對稱式的吧

70. 用過Stream Cipher吧？

71. RC4, OFB/CTR Mode的Block Cipher, Salsa20, ChaCha20

72. Stream Cipher的IV/Nounce每次加密一定 要不一樣，否則加密多少，就能解密多少

73. Win32/Dircrypt.A

74. 如果有使用某些舊的Block Cipher, 需要注意Weak Key

75. 尤其是Blowfish

76. AES沒這煩惱，把把都是好Key

77. Block Cipher跟RSA一樣不能單用

78. 要搭配Cipher Mode of Operation

79. 看維基百科秒懂

80. None

81. 那不然要用什麼？

82. 大多人會推薦CBC

83. Source: Wikipedia

84. 但是CBC有Padding Oracle問題

85. 解密時如果Padding不對，不能讓對方知道

86. if not VerifyPadding( … ): // ERROR return if not

    VerifyHMAC( … ): // ERROR return

87. 除了CBC以外，還有什麼可以用？

88. 看看Google用什麼吧

89. None
90. None

91. [問掛] 有沒有GCM的八卦

92. GCM其實很好用

93. 內帶驗證，且效能高

94. 考慮拿GCM取代CBC+HMAC

95. Hash

96. 還在用md5的舉手

97. md5跟sha1都已經過時 讓他們安息吧

98. 大家密碼都怎麼存？

99. a) 明碼 b) md5 c) sha1 d) sha256/sha512 e) md5+salt

    f) sha1+salt g) sha256/sha512+salt

100. salt可以避免Rainbow Table

101. 不要再猜了，答案是以上階非

102. Source: https://gist.github.com/epixoip/973da7352f4cc005746c627527e4d073

103. hash的設計都是在安全的狀況下盡量快

104. 所以要用另一類專門的函數 -- KDF

105. Key Derivation Function

106. 設計就是要慢

107. Source: https://gist.github.com/epixoip/973da7352f4cc005746c627527e4d073

108. 考慮使用PBKDF2, scrypt, bcrypt

109. 內建Salt, 可調運算強度

110. 純Hash不應該拿來做驗證

111. 不少Hash有Length Extension的 bug feature

112. 給H(A), 不知道A, 可以求H(A+B)

113. H(secret || msg) 不安全

114. 如果有驗證需求，請用HMAC

115. HMAC = H( K1 || H(K2 || M) )

116. 其他

117. 亂數?

118. rand()

119. 當然不是

120. 如果需要少量的亂數(生Key) 就跟系統拿Entropy

121. *nix: /dev/random Win: RtlGenRandom()

122. /dev/random是稀有資源

123. urandom沒有快到哪裡去

124. 需要大量亂數? 用entropy去seed PRNG

125. Hash_DBRG, CTR_DBRG

126. 不要Dual_EC_DBRG

127. 封包大小有Side Channel問題

128. 透過ssh tunnel上網

129. Google 台科大官網

130. 不難看出誰是誰

131. GFW就是這樣抓VPN的

132. 若要避免，可以用obfs4/ScrambleSuit

133. 語音也有一樣問題

134. None

135. HTTPS很好用

136. 但是它其實會洩漏Server的Domain

137. None

138. 最後，東西用完記得收

139. None

140. 有些勒索軟體可以用刪除復原/硬碟救援 工具還原

141. 因為他們檔案用完沒有Shred

142. *nix: shred win: sdelete

143. 記憶體也可能殘留，用完記得複寫再釋放

144. 結論

145. 能用現成整套的，就用

146. HTTPS/TLS, SSH, GnuPG

147. 如果需要單獨使用密碼學的元素 請用現成Library

148. Crypto++, CryptoJS, libsodium… etc

149. END 謝謝大家

150. 小抄/懶人包 1. 非對稱加密相關問題與建議 1a. 非對稱式加密應該搭配對稱式加密使用。 1b. RSA不能直接用，需要搭配專門的 Padding Scheme。 1c.

     RSA存在Weak Key。(Pollard p-1 Factorization, Shared Factor, Weiner)。 1d. 可以考慮ECC系列演算法，因為安全性下，需要較少運算。 1e. RSA跟ECC都存在Timing/Power Side Channel，如果要避免， 可以考慮Ed25519。 1f. ECDSA每次簽章的k必須隨機不重複。(PS3因此被破解) 1g. 簽章驗證應該依照標準檢測所有參數。 (ie. CVE-2016-1494) 2. 對稱演算法相關問題與建議 2a. Stream Cipher必須有Nounce，且必須每次不一樣。 2b. 部份Blocker Cipher有Weak Key。(例如Blowfish)。 2c. Block Cipher應注意Cipher Mode，不該單純用ECB。 2d. Block Cipher的Padding Oracle問題。 2e. Block Cipher Mode建議使用GCM模式，因為性能較優異且帶有驗證功能。 3. Hash相關問題與建議 3a. md5/sha1應淘汰。 3b. 密碼不應該用單純Hash存，應該使用PBKDF或scrypt。 3c. 注意Length Extension Attack，因此HMAC請照標準HMAC格式走。 4. 其他 4a. 亂數應該使用標準的亂數演算法 (NIST系列，DUAL_EC_DRBG除外)。 4b. 亂數應確保有足夠的Entropy。 4c. 封包的大小與Timing有Side Channel。 4d. 承4c，該漏洞可利用於破解通話加密，以及分析 TLS裡面瀏覽的網站內容。 4e. TLS有SNI會洩漏你瀏覽哪個網站。 4f. 除非必要，建議使用現成，常用的套件或協定 (ie. OpenSSL+TLS) 4g. 注意殘留，硬碟/記憶體需要Shred，如果使用現成套件，用完要釋放。