Решетчатые атаки: новый способ взлома SSH и IPsec с помощью ошибок в подписях

Группа исследователей из Калифорнийского университета в Сан-Диего и Массачусетского технического университета обнаружила недостаток безопасности в криптографических ключах, используемых для защиты данных в SSH-соединениях.

Уязвимость проявляется при возникновении вычислительных ошибок в процессе установления соединения и затрагивает ключи, использующие алгоритм RSA. Проблема касается примерно 1 миллиарда из 3,2 миллиардов проверенных подписей (свыше 30%), причём одна из миллиона подписей может раскрыть приватный ключ хоста.

Открытие удивительно, так как большинство программного обеспечения SSH, включая OpenSSH, давно использует контрмеры для проверки подписей на наличие ошибок. Ранее считалось, что SSH-трафик защищён от таких атак, в отличие от TLS-протокола.

Киган Райан, один из авторов исследования, подчеркнул, что даже редкие случаи утечки ключей важны, учитывая огромный объём интернет-трафика. По его словам, необходимо обеспечить защиту от подобных вещей, так как даже одна неправильная подпись может раскрыть ключ.

Новое исследование показывает, что пассивные атаки на SSH и IPsec возможны благодаря решетчатым атакам, позволяющим восстановить ключ из неисправной подписи. Это даёт атакующему возможность мониторить соединения и перехватывать данные, как только обнаруживается подходящая ошибка.

Анализ обширных данных SSH и IPsec выявил несколько уязвимых реализаций, привязанных к аппаратным неисправностям. Из 5,2 миллиардов записей SSH было обнаружено более 590 000 недействительных подписей RSA, что привело к получению приватных ключей для 189 уникальных публичных ключей RSA.

Ключи, подвергшиеся компрометации, были связаны с устройствами, использующими индивидуальные закрытые реализации SSH, не включающие стандартные контрмеры. Среди производителей таких устройств — Cisco, Zyxel, Hillstone Networks и Mocana.

Райан заявил, что причины ошибок могут быть разнообразными, включая программные ошибки и аппаратные сбои. Подчёркивается важность контрмер, обнаруживающих и подавляющих такие ошибки.

Исследование подтверждает необходимость разработки более устойчивых протоколов и реализаций для защиты от вычислительных ошибок, подобных защите, предоставляемой TLS 1.3 и некоторыми конфигурациями IPsec.