Embed Size (px)
Citation preview
1Digital Security, Informatica
Kraken in de praktijk
Ronny Wichers Schreur
Digital Security Radboud Universiteit Nijmegen
2Digital Security, Informatica
Overzicht
• Kraken in de praktijk
– aan de hand van OV-chip hack
• Praktische gebruik cryptografie
– aan de hand van (aanvallen op) RSA
3Digital Security, Informatica
• De beste (enige?) manier om te kijken of beveiliging
goed is:
– probeer de beveiliging te breken
– denk als een aanvaller
4Digital Security, Informatica
De OV chipkaart
5Digital Security, Informatica
Een OV chipkaart van binnen
antennechip
6Digital Security, Informatica
Hoe hack je een RFID systeem?
7Digital Security, Informatica
• Luister af wat ov chipkaart tegen de lezer zegt;
• Communicatie protocol tussen poortje en kaart.
Reverse Engineering: Hoe werkt het.
Wie bent u?
Ik ben kaart 987312
?
8Digital Security, Informatica
replay attack
• luister af wat ov chipkaart tegen de lezer zegt
en maak apparaat dat precies hetzelfde zegt
Wie bent u?
Ik ben kaart 987312
9Digital Security, Informatica
replay attack werkt voor wegwerp ov chipkaart!
poortje ziet geen verschil
tussen echte kaart en
de kloon
Ghost device van
Roel Verdult
10Digital Security, Informatica
Hoe kun je een replay attack voorkomen?
• zorg dat communicatie tussen RFID en lezer steeds
anders is (zgn challenge-response mechanisme)
vraag
antwoord
??
11Digital Security, Informatica
challenge-response protocol
• hierbij wordt versleuteling gebruikt:
het antwoord is een versleuteling van de vraag met
een geheime sleutel
n?
versleutelKEY{n}
wie bent u?
ik ben kaart K
12Digital Security, Informatica
challenge-response protocol
• Eerste sessie:
2499?
5014
wie bent u?
ik ben kaart 987312
13Digital Security, Informatica
challenge-response protocol
• Volgende sessie:
9811?
2944
wie bent u?
ik ben kaart 987312
14Digital Security, Informatica
reverse engineering
Hoe kun je zo'n challenge-response mechanisme kraken?
1. probeer achter het versleutelingsalgoritme te komen
– vaak is dat een openbare standaard, soms niet
2. probeer achter de sleutel te komen, door
– alle mogelijke sleutels te proberen
– kost meestal (te)veel tijd
of
– bij slecht ontworpen versleutelingsalgoritme, is de sleutel
vaak sneller te bepalen
– algoritme op Mifare Classic RFID kaarten is slecht
ontworpen...
15Digital Security, Informatica
kraken
Reverse-engineering OV-chip
• Globale structuur bekend
• Schuifregister + niet-lineair filter
16Digital Security, Informatica
LFSR
Linear Feedback Shift Register
(Schuifregister met lineaire terugkoppeling)
17Digital Security, Informatica
LFSR
• Voorbeeld
⊕ staat voor optellen modulo 2
18Digital Security, Informatica
LFSR
• Voorbeeld
19Digital Security, Informatica
LFSR
• Voorbeeld
20Digital Security, Informatica
LFSR
• Voorbeeld
21Digital Security, Informatica
LFSR
• Voorbeeld
22Digital Security, Informatica
LFSR
• Voorbeeld
23Digital Security, Informatica
LFSR
Voorbeeld
24Digital Security, Informatica
LFSR
• Voorbeeld
25Digital Security, Informatica
Two-table attack
26Digital Security, Informatica
Feedback op regelmatige posities
27Digital Security, Informatica
28Digital Security, Informatica
29Digital Security, Informatica
30Digital Security, Informatica
31Digital Security, Informatica
32Digital Security, Informatica
33Digital Security, Informatica
Twee-tabellen aanval
Even en oneven gedeelte van LFSR kunnen
afzonderlijk berekend worden
20-bits invoer: gemiddeld 220/2= 219 (half
millioen) fragmenten passen bij keystream
Breid elk fragment uit: gemiddeld 219
fragmenten in elke tabel
Combineer de twee tabellen
34Digital Security, Informatica
Cryptanalysis
Vele andere zwakheden gevonden:
langere nonces geacceptreed door lezers
cijferstroom hergebruikt voor pariteitsbits
kaartnonce versleuteld voor volgende sector
linker bit niet gebruikt in filterfunctie
regelmatig posities bits voor filterfunctie
versleutelde foutmeldingen
parititeitsbit over klare tekst
lage entropy nonces (16 bits)
voorspelbare kaartnonces
cijferstroom verbuigbaar
35Digital Security, Informatica
• OV-Chip (Mifare) gehackt
• Responsible disclosure
• AIVD op bezoek
• Rechtzaak NXP
• OV-chip nog in gebruik (maar wel wat verbeterd)
Ander onderzoek: geheugenchips, femtocel,
startonderbrekers (rechtzaak VW vooralsnog
verloren)
Gevolgen
36Digital Security, Informatica
1. Kies priemgetallen p en q, waarbij p = q .
2. Bereken m=p⋅q en φ(m).
3. Kies een restklasse e.
4. Bereken de restklasse d (e-1 in Zφ(m))
5. Vernietig de getallen p, q en φ(m)!
6. Publieke sleutel (m, e), geheime sleutel (m, d )
7. c = be in Zm b = cd in Zm
RSA
37Digital Security, Informatica
Waar zitten mogelijke problemen?
38Digital Security, Informatica
1. Kies priemgetallen p en q, waarbij p = q .
2. Bereken m=p⋅q en φ(m).
3. Kies een restklasse e.
4. Bereken de restklasse d (e-1 in Zφ(m))
5. Vernietig de getallen p, q en φ(m)!
6. Publieke sleutel (m, e), geheime sleutel (m, d )
7. c = be in Zm b = cd in Zm
RSA
39Digital Security, Informatica
• Berekeningen zijn deterministisch
• Vergaar entropie (toeval) van buiten: timing van
gebeurtenissen (toetsaanslagen, aankomst
netwerkprocessen, timing harde schijf, levensduur
processen, etc)
• gebruik fysieke toevalsgenerator
Kies priemgetallen p en q willekeurig!
40Digital Security, Informatica
• Door programmeerfout meeste entropie niet gebruikt
• Fout geïntroduceerd in OpenSSL open Debian/Linux
(en dus ook in afgeleide Ubuntu, etc)
• Slecht enkele honderdduizenden mogelijke sleutels
• Fout gemaakt in 2006, ontdekt in 2008
• Alle gegeneerde sleutels uit deze periode zwak en
dus de systemen kwetsbaar (SSL, ssh, etc.)
Voorbeeld 1 :Debian/OpenSSL debacle
41Digital Security, Informatica
• Router thuis beschikt over weinig entropie
– sleutels gegenereerd bij eerste keer opstarten
– géén toetsenbord
– géén harde schijf
– weinig processen
– weinig/géén netwerkverkeer
• Gevolg: grote kans dat twee verschillende routers
een RSA priemfactor delen.
• Gemeenschappelijke factor snel te vinden: Hoe?
Voorbeeld 2: Routers
42Digital Security, Informatica
• Heninger et all. verzamelden miljoenen publieke
(SSL en SSH) sleutels op het internet
• Tienduizenden publieke sleutels met
gemeenschappelijke factor gevonden
Voorbeeld 2: Routers, vervolg
43Digital Security, Informatica
1. Kies priemgetallen p en q, waarbij p = q .
2. Bereken m=p⋅q en φ(m).
3. Kies een restklasse e.
4. Bereken de restklasse d (e-1 in Zφ(m))
5. Vernietig de getallen p, q en φ(m)!
6. Publieke sleutel (m, e), geheime sleutel (m, d )
7. c = be in Zm b = cd in Zm
RSA
44Digital Security, Informatica
• Sleutelmateriaal moet geheim blijven, maar moet wel
gebruikt kunnen worden.
• Gebruik HSM (hardware secure module): sleutel kan
niet worden gekopieerd
• Beveilig toegang tot sleutelmateriaal
– wachtwoorden
– goed beveiligde, up-to-date systeem
Houd sleutelmateriaal geheim!
45Digital Security, Informatica
• DigiNotar: Certificaatautoriteit, ondertekende
publieke sleutels, werd vertrouwd door alle browsers
• Computersysteem werd gekraakt
• Aanvaller kon zelf certificaten ondertekenen in naam
van DigiNotar
• Hiermee man-in-the-middle aanvallen mogelijk
• Gevolg: DigiNotar niet meer vertrouwd, vele NL
overheidssites tijd niet bruikbaar
Voorbeeld: DigiNotar affaire
46Digital Security, Informatica
1. Kies priemgetallen p en q, waarbij p = q .
2. Bereken m=p⋅q en φ(m).
3. Kies een restklasse e.
4. Bereken de restklasse d (e-1 in Zφ(m))
5. Vernietig de getallen p, q en φ(m)!
6. Publieke sleutel (m, e), geheime sleutel (m, d )
7. c = be in Zm b = cd in Zm
RSA
47Digital Security, Informatica
• Side-channel analyse: observeer gedrag berekening
en probeer hier informatie uit te halen
• Tijd: hoe lang duurt een berekening
• Stroom: (power analysis) wanneer gebruikt de
berekening hoeveel stroom
• Geheugen: wanneer gebruikt de berekening hoeveel
geheugen (bijvoorbeeld cache)
• Straling, geluid, enzovoorts
Lek geen geheimen
48Digital Security, Informatica
• Ondertekening bericht a met geheime RSA-sleutel
(d, m): s = ad mod m
• functie powermod (base, exp, m):
r = 1
while exp > 0:
if exp mod 2 = 1:
r = base * r mod m
base = base2 mod m
exp = exp div 2
return r
Voorbeeld: Power analysis RSA ondertekening
49Digital Security, Informatica
• Meet het stroomverbruik tijdens de powermod
• Onderscheid vermenigvuldigen en kwadrateren
• Voorbeeld trace (RFID):
Power Analysis
50Digital Security, Informatica
• Aanvaller verstoort de berekening (fault injection)
• Uit de foute uitkomst is informatie over de sleutel te
achterhalen
Fouten veroorzaken
51Digital Security, Informatica
• RSA digitale handtekening
• snelle CRT versie van s = ad mod m
• q’ = q-1 mod p
• sp = sd mod p
• sq = sd mod q
• s = sq + ((sp – sq) q’ mod p) q
• GGD(a – se, m) = 0
Voorbeeld
52Digital Security, Informatica
• RSA digitale handtekening
• snelle CRT versie van s = ad mod m
• q’ = q-1 mod p
• s’p = sd mod p + x = sp+ x
• sq = sd mod q
• s’ = sq + ((s’p – sq) q’ mod p)⋅q = s + y⋅q
• GGD(a – s’e, m) = q
Voorbeeld
53Digital Security, Informatica
• Wiskundige correct geen garantie voor veilig
• Gebruik standaard, open algoritmes (Kerckhoffs)
• Gebruik standaard bibliotheken
• Zeer terughoudend zijn met zelf knutselen
Conclusie
