Chráněné transakce na internetu v ohrožení?

Čeští odborníci odhalili chybu v bezpečnosti šifrované internetové komunikace.

Čeští kryptologové ze společnosti ICZ upozornili na chybu ve vrstvě zabezpečené internetové komunikace, která v konečném důsledku může vést k rozluštění zasílaných šifrovaných zpráv.

Co je šifrovaná komunikace a kde se využívá

Šifrování se na internetu používá všude tam, kde je potřeba bezpečně přenášet citlivá data. Příklady, kde bychom šifrovanou komunikaci v dnešní době našli, je skutečně velmi mnoho. Zpravidla se dnes šifrují všechna data odesílaná při realizaci objednávek uskutečněných prostřednictvím internetových obchodů. Téměř vždy se šifrování prostřednictvím protokolů SSL/TLS (Secure Sockets Layer /Transport Layer Security) provádí v případech online komunikace mezi klienty a internetovým bankovnictvím nebo všude tam, kde se přes internet posílají čísla platebních karet. Šifrovat lze i zprávy elektronické pošty. Chráněnou (šifrovanou) komunikaci lze nejsnadněji poznat podle obrázku zámku či klíče v dolní liště vašeho prohlížeče. Pokud je tento znak viditelný, pak s právě navštíveným serverem probíhá šifrovaná komunikace.

Co je podstatou zmíněné chyby a jakým způsobem útok probíhá

První fáze spočívá v klasickém odchycení šifrované komunikace mezi serverem a klientem. Dnes se takový útok považuje za netriviální, ale pro technicky přiměřeně zdatného útočníka za možný.

Ve druhé fázi útočník na základě zachycené zašifrované transakce podle matematického algoritmu postupně sestavuje vlastní výzvy, které jako „řadový“ klient zasílá serveru, s nímž byla napadená transakce uskutečněna. Na každou takovou výzvu server reaguje, čímž útočníkovi poskytuje tzv. postranní informaci. Složení mnoha postranních informací dává dostatek podkladů, aby hacker dokázal rozluštit hodnotu hlavního symetrického klíče daného spojení (tzv. premaster-secret). Poté jednoduše dešifruje zachycenou komunikaci.

Na otázku v čem spočívá útok tzv. postranními kanály (side channels) odpovídá pan Vlastimil Klíma ze zmíněné společnosti ICZ: „Je to takový útok, kdy útočník využívá tzv. postranní informaci, například dobu trvání výpočtu (časovou odezvu serveru), spotřebu proudu (například u čipových karet) nebo obyčejné chybové hlášení. Námi popsaná slabost protokolů SSL/TLS využívá právě postranní informaci na základě chybových hlášení. Rozdílná chybová hlášení dávají útočníkovi postranní informaci o určitém vnitřním stavu serveru. Složením mnoha takových miniinformací na základě matematického algoritmu se získávají citlivé informace o napadeném kryptografickém modulu, v tomto případě dojde k odšifrování RSA operace. Z ní se získá hlavní klíč spojení (premaster secret) a odtud se odšifruje zbývající komunikace.“

Kromě fáze zachycení zašifrované cílové transakce popisovaný útok neklade žádné speciální požadavky na výpočetní či jiné vybavení útočníka. Vetřelci postačí běžný kancelářský počítač s kvalitní přípojkou k internetu. Náročnost vlastního provedení útoku je dána téměř výhradně pouze časem, který spotřebuje jeho druhá fáze. Ten je dán počtem výzev, které musí útočník vyslat a přijmout na ně odpovědi.

Typický internetový server využívající 1024bitovou šifru RSA podlehne útoku v polovině případů po méně než 13,34 milionech výzev. V testovacím prostředí (s použitím podprůměrného serveru) by každý druhý útok skončil do 55 hodin, nicméně při testech se zdařil i útok trvající jen 14 hodin a 23 minuty.

Jak se bránit?

Vzhledem k tomu, že celý problém je na straně serveru, nemusí se nijak bránit jednotliví uživatelé. Naopak zvýšenou pozornost by celé věci měli věnovat administrátoři serverů, které zmíněné protokoly využívají. Tomáš Rosa ze stejné společnosti k tomu dodává: „Administrátoři musí mít správně ošetřena chybová hlášení. Doporučujeme kontrolovat logy, zda neobsahují miliony neukončených spojení pocházejících z jednoho nebo několika směrů.“

Na otázku, zda existují rozdíly ve zranitelnosti mezi jednotlivými serverovými platformami nebo konfiguracemi a jaké jsou reakce od výrobců příslušného softwaru, Vlastimil Klíma odpovídá: „Konkrétní zranitelnost jsme podle jednotlivých výrobců netestovali. Zranitelná byla určitě OpenSSL, tým OpenSSL jsme informovali a patch už je vydán.“

Diskuze (3) Další článek: Chyba ve skriptech u Windows zase otevírá pole pro červíky

Témata článku: Prohlížeče, Druhý případ, Side, Útok, Transport Layer Security, Stejná zranitelnost, Rose, Testovací protokol, Útočník, Jednotlivá transakce, Fáze, Hlavní výrobce, Transport, Konečná fáze, Kancelářské potřeby online, Ohrožení, Secret


Určitě si přečtěte

Pojďme programovat elektroniku: Když už vás ten chumel součástek prostě nebaví

Pojďme programovat elektroniku: Když už vás ten chumel součástek prostě nebaví

** Levné cetky z Asie stojí dolar ** Postavíte s nimi skoro vše od teploměru po spínač zavlažování ** Má to ale jeden háček. Bude to ošklivé a povětšinou nekvalitní

Jakub Čížek | 22

Američtí mariňáci si tisknou kasárna z betonu na 3D tiskárně

Američtí mariňáci si tisknou kasárna z betonu na 3D tiskárně

** Americká námořní pěchota nedávno představila 3D tištěná kasárna pro vojáky ** Ty jim tiskne velká 3D tiskárna na beton ** Výsledkem je solidní obytný prostor, který je slušně chráněný před nepřátelskou palbou

Stanislav Mihulka | 18

Byli tam! Důkazy o přistání na Měsíci, Lunochody i čínská sonda jsou vidět z vesmíru

Byli tam! Důkazy o přistání na Měsíci, Lunochody i čínská sonda jsou vidět z vesmíru

** Sonda LRO pořídila z oběžné dráhy Měsíce zajímavé snímky ** Jsou na nich vidět artefakty všech misí programu Apolla, které přistály na povrchu Měsíce ** Jde například o části lunárních modulů, rovery a dokonce i vlajky

Petr Kubala | 65

Lenovo přivezlo na IFA 2018 skutečné inovace. Tyto tři notebooky stojí za to

Lenovo přivezlo na IFA 2018 skutečné inovace. Tyto tři notebooky stojí za to

** Yoga C930 nabídne revoluční reproduktor v kloubu displeje ** Yoga Book C930 představuje zdařilý reparát podivného Yoga Booku ** ThinkPad X1 Extreme se může pochlubit extrémní výbavou v tenkém těle

Tomáš Holčík | 16


Aktuální číslo časopisu Computer

Jak vytvořit a spravovat vlastní web

Velký test herních klávesnic a DVB-T2 tunerů

Vše o formátu RAW

Vybíráme nejlepší základní desku