密碼學漏洞與他們的產地zuan@chroot.org

Who am I

- Zuan

- chroot讀書會成員- 什麼都略懂一點，但什麼都不精通- 愛玩資訊跟電子領域的各種事務- 興趣是騎腳踏車跟買學生證

Content

- 非對稱式演算法- 對稱式演算法- 雜湊- 其他

這邊有人沒有聽過 RSA的嗎 ?請舉個手

c ≡ ne (mod (N))n ≡ cd (mod (N))

ed ≡ 1 (mod φ(N))

c -> 密文n -> 明文

(e,N) -> 公鑰(d,N) -> 私鑰

一般為了加速計算， e會取很小(e=65537 or e=17 or e=3)

如果 ne < N且 e = 3

那不是開方根就能解密了？

...

OK，那如果效能不是問題，我 e選大一點總可以吧？

如果要加密 0或 1

0^e = 01^e = 1

...

Encrypt(‘A’) = YCD6WGtUMNDedQ2HjC5KzSVTEncrypt(‘B’) = REfHH3SCzed6jkRhP6JZwytHEncrypt(‘C’) = aSWP4Z6cX2VYWMxwA9bGMKRAEncrypt(‘D’) = sRuHR8t8Vmy3th8Gf2RAVfkzEncrypt(‘E’) = F4ahebRHXUyzzeNgcBzN4r26

Encrypt(t) = aSWP4Z6cX2VYWMxwA9bGMKRAt = ?

就說該都猜 C

一個加密演算法不該有那麼多毛

以上這些弱點都可以透過 Padding來解決

加解密： PKCS #1 v1.5, OAEP簽章： PKCS #1 v1.5, PSS

Plaintext n

Padded Plaintext n

Ciphertext n

OAEP

RSA

如果自己實作 Signature Padding應依照標準驗證簽章

Python RSA出過類似包CVE-2016-1494

[問掛 ] 有沒有 RSA很慢的八卦？

2048 bit/op * 768.3 op/s ≈ 200 kB/s2048 bit/op * 26270.6 op/s ≈ 6.7 MB/s

撥接喔？！╯ -____-) ~═╩════╩═╯

加解密 (AES): 75~90 MB/s簽章 (SHA2): 30~300 MB/s

RSA iPad AES/SHA!

RSA Weak Key

RSA的 Key不是找兩個大質數就夠了

CVE-2008-0166

亂數產生器不夠亂，某些質數出現機率高

=> 直接猜那些質數可破密

=> 拿一堆 N來 GCD也可以破一發（ shared factor)

N1 = p1*q1N2 = p2*q2

若 p1 = p2, p1 = GCD(N1,N2)

Weiner’s Attack

不常見，記得 d > ⅓ N¼就好

Pollard p-1 Factorization

也不常見，建議 (p-1)/2也要是質數

TL;DR懶人包 : 生 Key? OpenSSL

[問掛 ] 有沒有 RSA很慢的八卦？

...

你有聽過橢圓曲線嗎？

對稱 RSA ECC

80 1024 160

112 2048 224

128 3072 256

192 7680 384

總時間上，橢圓曲線遠比同級的 RSA快

ECDSA 256 bit Public Key: AAAAE2VjZHNhLXNoYTItbmlzdHAyNTYAAAAIbmlzdHAyNTYAAABBBCv5hlgEJBGfQfF/4RdBDMv0hiaeNbwqwkyW4ntYsUUroqqFQMROgYSdHr2bqmX0BCX87l95Hynh2nUPxbOvWtg=

RSA 2048 bit Public Key: AAAAB3NzaC1yc2EAAAADAQABAAABAQD4XK2ooKXQZFIrzTlu6sIVOTdnLDcKc1Qn/WvrGCBFRx5jTfKlJflCVb0BdhPayaYwibMzu87rn6IzfKdc3yEivcRIKJ0Vv/z86jjbK1V7zlTXyhvp0I2IUgL46HTFQVykn88dcj0CX0vuuITfr+sHjSLG8icBrZHOoiAXYI8xdbZFZ5BZFp5IbeD5QZ2BNotK1SkMAt1ls2AZD48toBoX0lMiWf7pufdviQw8GIkQo7Jm52QDFPj2QPUocVLeqCvzreWgu0SSfaIEDUMScM9alS/OBajrorQI9/eT85H57sv3che8ascbwN48EpQngBwwzylUl0WmsjYneybGW8xT

Key小就是爽啦

下次也考慮下 ECC系列吧

但如果 Public端為嵌入式，則可考慮RSA

如果用 ECDSA一定要記得

不要 Sony

Sony進行 PS3的 ECDSA簽章時每次 k都一樣

兩次 k 一樣的簽章 = 洩漏私鑰

RSA有 Side Channel問題

想想Modular Exponentiation

def modexp( base, exp, mod ): out = base if (exp[0] == 1) else 1 for i in range(1,len(exp)): out = (out * out) % mod; if exp[i] == 1: out = (out * base) % mod return out

def modexp( base, exp, mod ): out = base if (exp[0] == 1) else 1 for i in range(1,len(exp)): out = (out * out) % mod; if exp[i] == 1: out = (out * base) % mod return out

量測 CPU Cache Hit/執行時間 /使用功率可以看出這步有沒有執行

執行在同一顆 CPU的其他程式或是對CPU有實體權限的攻擊者有機會破密

RSA要避免類似 Side channel較麻煩ECC也有類似問題 (Double or add)

進幾年 HITCON有示範過

bit 0 1 2 3 4 ...

0 1 1 1 1 1 ...

1 M^1 M^2 M^4 M^8 M^16 ...

如果有這考量，可以用現成的 Library，或是用 Ed25519

玩夠非對稱式的，來聊聊對稱式的吧

用過 Stream Cipher吧？

RC4, OFB/CTR Mode的 Block Cipher,Salsa20, ChaCha20

Stream Cipher的 IV/Nounce每次加密一定要不一樣，否則加密多少，就能解密多

少

Win32/Dircrypt.A

如果有使用某些舊的 Block Cipher,需要注意Weak Key

尤其是 Blowfish

AES沒這煩惱，把把都是好 Key

Block Cipher跟 RSA一樣不能單用

要搭配 Cipher Mode of Operation

看維基百科秒懂

那不然要用什麼？

大多人會推薦 CBC

Source: Wikipedia

但是 CBC有 Padding Oracle問題

解密時如果 Padding不對，不能讓對方知道

if not VerifyPadding( … ): // ERROR return

if not VerifyHMAC( … ): // ERROR return

除了 CBC以外，還有什麼可以用？

看看 Google用什麼吧

[問掛 ] 有沒有 GCM的八卦

GCM其實很好用

內帶驗證，且效能高

考慮拿 GCM取代 CBC+HMAC

Hash

還在用md5的舉手

md5跟 sha1都已經過時讓他們安息吧

大家密碼都怎麼存？

a)明碼md5sha1sha256/sha512md5+saltsha1+saltsha256/sha512+salt

salt可以避免 Rainbow Table

不要再猜了，答案是以上階非

Source:https://gist.github.com/epixoip/973da7352f4cc005746c627527e4d073

hash的設計都是在安全的狀況下盡量快

所以要用另一類專門的函數 -- KDF

Key Derivation Function

設計就是要慢

Source:https://gist.github.com/epixoip/973da7352f4cc005746c627527e4d073

考慮使用 PBKDF2, scrypt, bcrypt

內建 Salt, 可調運算強度

純 Hash不應該拿來做驗證

不少 Hash有 Length Extension的bug feature

給 H(A), 不知道 A, 可以求 H(A+B)

H(secret || msg) 不安全

如果有驗證需求，請用 HMAC

HMAC = H( K1 || H(K2 || M) )

其他

亂數 ?

rand()

當然不是

如果需要少量的亂數 (生 Key)就跟系統拿 Entropy

*nix: /dev/randomWin: RtlGenRandom()

/dev/random是稀有資源

urandom沒有快到哪裡去

需要大量亂數 ? 用 entropy去 seed PRNG

Hash_DBRG, CTR_DBRG

不要 Dual_EC_DBRG

封包大小有 Side Channel問題

透過 ssh tunnel上網

Google 台科大官網

不難看出誰是誰

GFW就是這樣抓 VPN的

若要避免，可以用 obfs4/ScrambleSuit

語音也有一樣問題

HTTPS很好用

但是它其實會洩漏 Server的 Domain

最後，東西用完記得收

有些勒索軟體可以用刪除復原 /硬碟救援工具還原

因為他們檔案用完沒有 Shred

*nix: shredwin: sdelete

記憶體也可能殘留，用完記得複寫再釋放

結論

能用現成整套的，就用

HTTPS/TLS, SSH, GnuPG

如果需要單獨使用密碼學的元素請用現成 Library

Crypto++, CryptoJS, libsodium… etc

END謝謝大家

小抄 /懶人包1. 非對稱加密相關問題與建議1a. 非對稱式加密應該搭配對稱式加密使用。1b. RSA不能直接用，需要搭配專門的 Padding Scheme。1c. RSA存在Weak Key。 (Pollard p-1 Factorization, Shared Factor, Weiner)。1d. 可以考慮 ECC系列演算法，因為安全性下，需要較少運算。1e. RSA跟 ECC都存在 Timing/Power Side Channel，如果要避免，

可以考慮 Ed25519。1f. ECDSA每次簽章的 k必須隨機不重複。 (PS3因此被破解 )1g. 簽章驗證應該依照標準檢測所有參數。 (ie. CVE-2016-1494)2. 對稱演算法相關問題與建議2a. Stream Cipher必須有 Nounce，且必須每次不一樣。2b. 部份 Blocker Cipher有Weak Key。 (例如 Blowfish)。2c. Block Cipher應注意 Cipher Mode，不該單純用 ECB。2d. Block Cipher的 Padding Oracle問題。2e. Block Cipher Mode建議使用GCM模式，因為性能較優異且帶有驗證功能。

3. Hash相關問題與建議3a. md5/sha1應淘汰。3b. 密碼不應該用單純 Hash存，應該使用 PBKDF或 scrypt。3c. 注意 Length Extension Attack，因此 HMAC請照標準 HMAC格式走。4. 其他4a. 亂數應該使用標準的亂數演算法 (NIST系列， DUAL_EC_DRBG除外 )。4b. 亂數應確保有足夠的 Entropy。4c. 封包的大小與 Timing有 Side Channel。4d. 承 4c，該漏洞可利用於破解通話加密，以及分析 TLS裡面瀏覽的網站內容。4e. TLS有 SNI會洩漏你瀏覽哪個網站。4f. 除非必要，建議使用現成，常用的套件或協定 (ie. OpenSSL+TLS)4g. 注意殘留，硬碟 /記憶體需要 Shred，如果使用現成套件，用完要釋放。