Kuidas on krüptograafilised Oracle'id haavatavad Oracle'i rünnakute eest?

Kuidas on krüptograafilised Oracle'id haavatavad Oracle'i rünnakute eest?
Teiesugused lugejad aitavad MUO-d toetada. Kui teete ostu meie saidil olevate linkide abil, võime teenida sidusettevõtte komisjonitasu. Loe rohkem.

Kas ründajal on võimalik teie rakenduse andmeid dekrüpteerida ja krüpteerida ilma dekrüpteerimisvõtmeid teadmata? Vastus on jah ja see peitub krüptograafilises veas, mida nimetatakse krüpteerimisoraakliks.





MUO päeva video SISUGA JÄTKAMISEKS KERIMISE

Krüpteerimisoraaklid on potentsiaalseks väravaks, mille kaudu ründajad saavad koguda teavet krüpteeritud andmete kohta, ilma krüpteerimisvõtmele otsese juurdepääsuta. Niisiis, kuidas saavad ründajad krüptograafilisi oraakleid ära kasutada selliste tehnikate abil nagu oraaklite rünnakud? Kuidas saate vältida, et sellised haavatavused teid mõjutaksid?



Mis on krüptograafiline oraakel?

Krüpteerimine on turvaprotokoll milles lihttekst või andmed teisendatakse loetamatusse kodeeritud vormingusse (tuntud ka kui šifritekst), et kaitsta selle konfidentsiaalsust ja tagada, et sellele pääsevad juurde ainult volitatud osapooled dekrüpteerimisvõtmega. Krüptimist on kahte tüüpi: asümmeetriline ja sümmeetriline.





kuidas heledamaks muuta ekraani Windows 10 -s

Asümmeetriline krüptimine kasutab krüptimiseks ja dekrüpteerimiseks paari erinevat võtit (avalikku ja privaatset), samas kui sümmeetriline krüptimine kasutab nii krüptimiseks kui ka dekrüpteerimiseks ühte jagatud võtit. Saate krüpteerida peaaegu kõike, tekstisõnumeid, e-kirju, faile, veebiliiklust jne.

Teisest küljest on oraakel meedium, mille kaudu inimene saab tavaliselt teavet, mis tavaliselt poleks meestele kättesaadav. Mõelge oraaklile nagu spetsiaalsele kastile, kui te midagi läbite, ja see annab teile tulemuse. Te ei tea kasti sisu, kuid teate, et see töötab.



Krüptograafiline oraakel, tuntud ka kui polsterdusoraakel, on krüptograafia mõiste, mis viitab süsteemile või olemile, mis suudab krüpteeritud andmete kohta teavet krüpteerimisvõtit avaldamata pakkuda. Põhimõtteliselt on see viis krüpteerimissüsteemiga suhtlemiseks, et saada teadmisi krüptitud andmete kohta ilma krüpteerimisvõtmele otsese juurdepääsuta.

Krüptograafiline oraakel koosneb kahest osast: päringust ja vastusest. Päring viitab toimingule, mille käigus varustatakse oraaklile šifreeritud tekst (krüptitud andmed) ja vastuseks on tagasiside või teave, mille oraakel annab krüptteksti analüüsi põhjal. See võib hõlmata selle kehtivuse kontrollimist või vastava lihtteksti üksikasjade avaldamist, potentsiaalselt ründaja abistamist krüptitud andmete dešifreerimisel ja vastupidi.



Kuidas Padding Oracle Attacks töötavad?

kapuutsiga inimene, kes vaatab arvutiekraanil rohelist koodi

Üks peamisi viise, kuidas ründajad krüptograafilisi oraakleid ära kasutavad, on polsterdatud oraaklirünnak. Täitmise oraakli rünnak on krüptograafiline rünnak, mis kasutab krüpteerimissüsteemi või -teenuse käitumist, kui see avaldab teavet täidise õigsuse kohta šifreeritud tekstis.

lahedaid asju, mida taskeriga teha

Et see juhtuks, peab ründaja avastama vea, mis paljastab krüptograafilise oraakli, seejärel saatma sellele muudetud šifriteksti ja jälgima oraakli vastuseid. Neid vastuseid analüüsides saab ründaja tuletada lihtteksti kohta teavet, näiteks selle sisu või pikkust, isegi ilma krüpteerimisvõtmele juurdepääsuta. Ründaja arvab ja muudab korduvalt šifriteksti osi, kuni taastab kogu lihtteksti.



Reaalse stsenaariumi korral võib ründaja kahtlustada, et kasutajaandmeid krüptivas Interneti-pangarakenduses võib olla polsterdatud oraakli haavatavus. Ründaja püüab kinni seadusliku kasutaja krüpteeritud tehingutaotluse, muudab seda ja saadab selle rakenduse serverisse. Kui server reageerib muudetud šifritekstile erinevalt – vigade või päringu töötlemiseks kuluva aja kaudu, võib see viidata haavatavusele.

Seejärel kasutab ründaja seda hoolikalt koostatud päringute abil, dekrüpteerides lõpuks kasutaja tehingu üksikasjad ja omandades potentsiaalselt volitamata juurdepääsu nende kontole.

Ründaja, kes üritab pääseda juurde arvutisüsteemile

Teine näide on krüpteerimisoraakli kasutamine autentimisest möödahiilimiseks. Kui ründaja avastab andmeid krüpteeriva ja dekrüpteeriva veebirakenduse päringutest krüpteerimisoraakli, saab ründaja seda kasutada kehtivale kasutajakontole juurdepääsu saamiseks. Ta saab oraakli kaudu konto seansimärgi dekrüpteerida, lihtteksti muuta sama oraakli abil ja asendada seansimärgi meisterdatud krüptitud märgiga, mis annab talle juurdepääsu teise kasutaja kontole.

kas saate teada, kas keegi on teid googeldanud

Kuidas vältida krüptograafilisi Oracle'i rünnakuid

Krüptograafilised oraaklirünnakud tulenevad krüptosüsteemide kavandamise või rakendamise haavatavusest. Rünnakute vältimiseks on oluline tagada, et rakendate need krüptosüsteemid turvaliselt. Muud meetmed krüpteerimisoraaklite vältimiseks on järgmised:

  1. Autentitud krüpteerimisrežiimid : Autentitud krüpteerimisprotokollide, nagu AES-GCM (Galois/Counter Mode) või AES-CCM (CBC-MAC-iga loendur) kasutamine ei taga mitte ainult konfidentsiaalsust, vaid ka terviklikkuse kaitset, muutes ründajatel šifri võltsimise või dekrüpteerimise keeruliseks.
  2. Järjepidev vigade käsitlemine: Veenduge, et krüpteerimis- või dekrüpteerimisprotsess tagastaks alati sama veavastuse, olenemata sellest, kas täidis on kehtiv või mitte. See välistab erinevused käitumises, mida ründajad võivad ära kasutada.
  3. Turvatestimine: Viige regulaarselt läbi turvalisuse hindamisi, sealhulgas läbitungimise testimine ja koodide ülevaatamine , et tuvastada ja leevendada võimalikke haavatavusi, sealhulgas krüpteerimisoraakli probleeme.
  4. Määra piirang: Juurde jõu rünnakute tuvastamiseks ja ärahoidmiseks rakendage krüpteerimis- ja dekrüpteerimistaotluste kiiruse piiramist.
  5. Sisestuse kinnitamine: Enne krüptimist või dekrüpteerimist kontrollige ja desinfitseerige kasutaja sisestused põhjalikult. Veenduge, et sisendid järgiksid oodatud vormingut ja pikkust, et vältida polsterdatud oraakli rünnakuid manipuleeritud sisendite kaudu.
  6. Turvakasvatus ja -teadlikkus : koolitage arendajaid, administraatoreid ja kasutajaid krüptimise ja turvalisuse parimate tavade kohta, et edendada turvateadlikku kultuuri.
  7. Regulaarsed uuendused: Hoidke kõik tarkvarakomponendid, sealhulgas krüptograafilised teegid ja süsteemid, värskeimate turvapaikade ja värskendustega ajakohasena.

Parandage oma turvaasendit

Rünnakute, näiteks krüpteerimisoraaklite mõistmine ja nende eest kaitsmine on kohustuslik. Turvalisi tavasid rakendades saavad organisatsioonid ja üksikisikud tugevdada oma kaitset nende salakavalate ohtude vastu.

Haridus ja teadlikkus mängivad samuti keskset rolli turvakultuuri edendamisel, mis ulatub arendajatest ja administraatoritest kuni lõppkasutajateni. Selles jätkuvas võitluses tundlike andmete kaitsmise nimel on teie digitaalsete varade ja teile kallite andmete terviklikkuse säilitamise võti valvel, kursis olemine ja potentsiaalsetest ründajatest sammu võrra ees.