A kriptográfiai orákuszok nagyszerű eszközök lehetnek a hackerek számára. Íme, miért.

Lehetséges, hogy egy támadó visszafejtse és titkosítsa az Ön alkalmazásában lévő adatokat anélkül, hogy ismerné a visszafejtési kulcsokat? A válasz igen, és ez a titkosítási orákulumnak nevezett kriptográfiai hibában rejlik.

A titkosítási orákulumok potenciális átjáróként szolgálnak a támadók számára, hogy információkat gyűjtsenek a titkosított adatokról, mindezt a titkosítási kulcshoz való közvetlen hozzáférés nélkül. Szóval, hogyan tudják a támadók kihasználni a kriptográfiai orákulumokat olyan technikák révén, mint az orákulum támadások kitöltése? Hogyan akadályozhatod meg, hogy ilyen sebezhetőségek hatással legyenek rád?

Mi az a kriptográfiai orákulum?

A titkosítás egy biztonsági protokoll amelyben az egyszerű szöveget vagy adatot olvashatatlan kódolt formátummá, más néven titkosított szöveggé alakítják át védje meg a titkosságát, és biztosítsa, hogy csak a visszafejtéssel rendelkező felek férhessenek hozzá kulcs. Kétféle titkosítás létezik: aszimmetrikus és szimmetrikus.

instagram viewer

Az aszimmetrikus titkosítás egy pár különálló kulcsot (nyilvános és privát) használ a titkosításhoz és a visszafejtéshez, míg a szimmetrikus titkosítás egyetlen megosztott kulcsot használ mind a titkosításhoz, mind a visszafejtéshez. Szinte bármit titkosíthat, szöveges üzeneteket, e-maileket, fájlokat, webes forgalmat stb.

Másrészt az orákulum olyan médium, amelyen keresztül az ember általában olyan információkhoz jut, amelyek általában nem lennének elérhetőek a puszta férfiak számára. Gondolj egy orákulumra, mint egy különleges dobozra, amikor átengedsz valamit, és az eredményt ad. Nem ismeri a doboz tartalmát, de tudja, hogy működik.

A kriptográfiai orákulum, más néven padding oracle, egy olyan fogalom a kriptográfiában, amely egy olyan rendszer vagy entitás, amely a titkosítás felfedése nélkül tud információt szolgáltatni a titkosított adatokról kulcs. Lényegében ez egy módja annak, hogy interakcióba lépjen egy titkosítási rendszerrel, hogy ismereteket szerezzen a titkosított adatokról anélkül, hogy közvetlenül hozzáférne a titkosítási kulcshoz.

A kriptográfiai orákulum két részből áll: a lekérdezésből és a válaszból. A lekérdezés az orákulum titkosított szöveggel (titkosított adatokkal) való ellátására vonatkozó műveletre vonatkozik, és a válasz az orákulum által a titkosított szöveg elemzése alapján nyújtott visszacsatolás vagy információ. Ez magában foglalhatja az érvényesség ellenőrzését vagy a megfelelő egyszerű szöveg részleteinek felfedését, esetleg a támadó segítségét a titkosított adatok megfejtésében, és fordítva.

Hogyan működnek a Padding Oracle Attacks?

A kriptográfiai jóslatok kihasználásának egyik fő módja a támadók a kitöltő orákulum támadás. A padding oracle támadás egy titkosítási támadás, amely kihasználja a titkosítási rendszer vagy szolgáltatás viselkedését, amikor a rejtjelezett szövegben felfedi a kitöltés helyességére vonatkozó információkat.

Ahhoz, hogy ez megtörténjen, a támadónak fel kell fedeznie egy hibát, amely felfed egy kriptográfiai jóslatot, majd módosított titkosított szöveget kell küldenie rá, és figyelnie kell az orákulum válaszait. E válaszok elemzésével a támadó a titkosítási kulcshoz való hozzáférés nélkül is kikövetkezhet az egyszerű szöveggel kapcsolatos információkra, például annak tartalmára vagy hosszára. A támadó többször is kitalálja és módosítja a titkosított szöveg egyes részeit, amíg vissza nem állítja a teljes egyszerű szöveget.

Valós forgatókönyv esetén a támadó gyaníthatja, hogy egy online banki alkalmazás, amely titkosítja a felhasználói adatokat, tartalmazhat egy padding oracle sebezhetőséget. A támadó elfogja egy jogos felhasználó titkosított tranzakciós kérelmét, módosítja azt, és elküldi az alkalmazás szerverének. Ha a kiszolgáló eltérően válaszol – hibák vagy a kérés feldolgozásához szükséges idő miatt – a módosított rejtjelezett szövegre, az sérülékenységet jelezhet.

A támadó ezt követően gondosan kidolgozott lekérdezésekkel használja ki, végül dekódolja a felhasználó tranzakciós adatait, és esetleg jogosulatlan hozzáférést szerez a fiókjához.

Egy másik példa a titkosítási orákulum használata a hitelesítés megkerülésére. Ha egy támadó titkosítási orákulumot fedez fel egy webalkalmazás kéréseiben, amely adatokat titkosít és visszafejt, akkor a támadó felhasználhatja azt, hogy hozzáférjen egy érvényes felhasználói fiókhoz. Dekódolhatta a fiók munkamenet-tokenjét az orákulumon keresztül, módosíthatja az egyszerű szöveget ugyanazon orákulum segítségével, és cserélje ki a munkamenet tokent egy kialakított titkosított tokenre, amely hozzáférést biztosít egy másik felhasználóhoz fiókot.

Hogyan kerüljük el a kriptográfiai Oracle támadásokat

A kriptográfiai orákulum támadások a kriptográfiai rendszerek tervezésében vagy megvalósításában fellépő sebezhetőségek eredménye. Fontos, hogy ezeket a kriptográfiai rendszereket biztonságosan telepítse a támadások megelőzése érdekében. A titkosító orákulumok megelőzésére szolgáló egyéb intézkedések a következők:

  1. Hitelesített titkosítási módok: Nem csak olyan hitelesített titkosítási protokollok használata, mint az AES-GCM (Galois/Counter Mode) vagy az AES-CCM (Counter with CBC-MAC) titoktartást, de integritásvédelmet is biztosít, megnehezítve a támadók számára a titkosítás megváltoztatását vagy visszafejtését titkosított szöveg.
  2. Következetes hibakezelés: Győződjön meg arról, hogy a titkosítási vagy visszafejtési folyamat mindig ugyanazt a hibaválaszt adja vissza, függetlenül attól, hogy a kitöltés érvényes-e vagy sem. Ez kiküszöböli a viselkedésbeli különbségeket, amelyeket a támadók kihasználhatnak.
  3. Biztonsági tesztelés: Rendszeresen végezzen biztonsági értékeléseket, beleértve penetrációs tesztelés és kódellenőrzés, a lehetséges sebezhetőségek azonosítására és enyhítésére, beleértve a titkosítási oracle problémákat.
  4. Díjkorlátozás: Végezzen sebességkorlátozást a titkosítási és visszafejtési kérelmek számára a brute force támadások észlelése és megelőzése érdekében.
  5. Bemenet ellenőrzése: A titkosítás vagy visszafejtés előtt alaposan ellenőrizze és tisztítsa meg a felhasználói beviteleket. Győződjön meg arról, hogy a bemenetek megfelelnek a várt formátumnak és hosszúságnak, hogy megakadályozzák a manipulált bemeneteken keresztüli kitöltés Oracle támadásokat.
  6. Biztonsági nevelés és tudatosság: Oktasson fejlesztőket, rendszergazdákat és felhasználókat a titkosítási és biztonsági bevált módszerekről a biztonságtudatos kultúra előmozdítása érdekében.
  7. Rendszeres frissítések: Tartsa naprakészen az összes szoftverösszetevőt, beleértve a kriptográfiai könyvtárakat és rendszereket is, a legújabb biztonsági javításokkal és frissítésekkel.

Javítsa biztonsági testtartását

A támadások, például a titkosító orákulumok megértése és az ellenük való védekezés elengedhetetlen. A biztonságos gyakorlatok megvalósításával a szervezetek és az egyének megerősíthetik védekezésüket ezekkel az alattomos fenyegetésekkel szemben.

Az oktatás és a tudatosság szintén kulcsszerepet játszik egy olyan biztonsági kultúra előmozdításában, amely a fejlesztőktől és a rendszergazdáktól a végfelhasználókig terjed. Ebben a folyamatos küzdelemben az érzékeny adatok védelméért, éberség, tájékozottság és egy lépésben maradás A potenciális támadók megelőzésének kulcsa a digitális eszközei és a birtokában lévő adatok integritásának megőrzése kedves.