Kryptologové RNDr. Vlastimil Klíma a Ing. Tomáš Rosa ze společnosti Decros si v rámci výzkumně vývojových prací na projektech pro český Národní bezpečnostní úřad povšimli nedostatečného zajištění tzv. privátních podpisových klíčů.
Zdůrazněme, že privátní podpisové klíče představují nejcitlivější, a proto nejutajovanější informaci ve všech systémech elektronického podpisu. Oba autoři útok popsali v rozsáhlé výzkumné zprávě, která bude v nejbližších dnech v plném znění volně k dispozici odborné i laické veřejnosti na
internetu. Část poznatků z odhalení slabin privátního klíče Vám přinášíme již nyní.
|
|
Privátní podpisový klíč je základní utajovanou informací celého systému, kterou uživatel používá k elektronickému podpisu. Ve všech systémech, i v OpenPGP, je proto zašifrován silnou šifrou. Při praktickém útoku byl dokonce použit AES, jeden z nejnovějších silných algoritmů. Ukazuje se však, že tato ochrana je iluzorní.
Autoři ukázali, že útočník může tuto šifru obejít a nemusí útočit ani proti ní ani proti tajnému přístupovému heslu uživatele. Místo toho postačuje určitým způsobem modifikovat soubor s privátním klíčem a následně zachytit jednu podepsanou zprávu. Jsou to úkony, které mohou být provedeny bez znalosti uživatelova hesla a za jeho zády. Poté může útočník za pomoci běžného kancelářského PC spustit speciální program, který na základě zachycené zprávy v průměru za půl vteřiny vypočítá hledaný privátní klíč uživatele. Útočník pak může za uživatele neoprávněně podepisovat libovolné zprávy. Přestože výpočet je velmi rychlý, je za ním skryto speciální kryptologické know-how.
|
|
Nedostatečné zajištění integrity veřejných i privátních částí podepisovacích klíčů ve formátu OpenPGP je analyzováno u algoritmů DSA a RSA a na základě toho je ukázán postup útoků na oba privátní podpisové klíče. Útoky se týkají všech délek parametrů (modulů, klíčů) RSA a DSA.
Předvedené typy útoků mají značný dopad na bezpečnost zmiňovaných programů. K provedení popsaného útoku není přitom vždy nezbytné navštívit přímo pracovní stanici napadeného uživatele. Citlivým místem systému jsou také soubory s exportovanými privátními klíči, které uživatel používá k přenosu svých klíčů mezi různými stanicemi. Fakt, že privátní klíč je v těchto souborech uložen v zašifrovaném tvaru, může vzbuzovat falešný pocit bezpečí. Dostane-li se však k takovému souboru nebo disketě během přepravy (přenosu) útočník, je bezpečnost uživatelova privátního klíče vážně ohrožena.
Jiný, v praxi velmi častý, případ je, že uživatel ukládá soubor s privátním klíčem (s ohledem na snadnou dostupnost) na sdílené zařízení v počítačové síti. Protože privátní klíč je chráněn silnou šifrou, uživatel se tohoto způsobu uložení nijak neobává. Autoři však ukazují, že se jedná o falešný pocit bezpečí. Typicky zde může být útočníkem například správce serveru.
|
|
Samotného uživatele programů na bázi OpenPGP staví existence popsaného útoku do nelehké situace v okamžiku, kdy zjistí, že byla vygenerována chybná hodnota podpisu. V takové situaci může být právem na rozpacích, zda se jedná o důsledek záměrného útoku nebo "jen" o technické selhání. Prakticky je zřejmé, že každý soubor s neplatným podpisem si zasluhuje stejnou pozornost, jako by se jednalo o soubor obsahující privátní klíč v otevřeném tvaru! To zahrnuje zejména odpovídající péči věnovanou jeho neobnovitelnému odstranění z příslušné stanice nebo dokonce serveru.
Provedená analýza vycházela z formátu OpenPGP, v němž byly odhaleny závažné nedostatky, které mohou vyústit ve snadnou zranitelnost aplikací vytvořených na jeho základě. Praktickým příkladem je program PGPTM, který není odolný proti útoku na algoritmus DSA, ale je odolný proti útoku na RSA díky dodatečným ochranám nad rámec formátu OpenPGP.
Ačkoliv se útok týká algoritmů RSA a DSA v OpenPGP, lze očekávat obdobnou zranitelnost i u dalších asymetrických kryptosystémů, včetně systémů na bázi eliptických křivek. Rovněž tak formát OpenPGP a s ním program PGPTM nebudou patrně jediným případem, kdy díky nesprávné ochraně zmíněných parametrů může dojít k napadení daného systému. Autoři v závěru výzkumné zprávy navrhují kryptografická opatření pro opravu formátu OpenPGP i programu PGPTM a chtěli by důrazně apelovat na pozornost při návrhu kryptografických systémů.
|
