In einer neuen Wendung hat der ROBOT-Kryptoangriff auf RSA zurückgeschlagen, als Marvin aufgetaucht ist. Ein Ingenieur hat langjährige und unentdeckte Schwachstellen in einer 25 Jahre alten Methode zur Verschlüsselung von Daten mit RSA-Public-Key-Kryptographie identifiziert. Hubert Kario, Senior Quality Engineer im QE BaseOS-Sicherheitsteam bei Red Hat, zeigt in einem Artikel mit dem Titel "Everlasting ROBOT: Der Marvin-Angriff", dass viele Software-Implementierungen des PKCS#1-V1.5-Padding-Schemas für RSA-Schlüsselaustausch, die zuvor als immun gegen Daniel Bleichenbachers weit verbreiteten Angriff galten, tatsächlich anfällig sind. Bereits im Jahr 1998 zeigte Bleichenbacher, ein Schweizer Kryptograph, der derzeit für Google arbeitet, dass ein Client eines SSL/TLS-Servers ein Oracle verwenden konnte - in diesem Fall Informationen aus Serverfehlermeldungen -, um genügend über das Padding - hinzugefügte Daten zu einer Byte-Reihenfolge, um die richtige Länge zu gewährleisten - zu erfahren, um die geschützte Nachricht zu entschlüsseln.
Diese Schwachstelle ist wiederholt aufgetaucht, zuletzt im Jahr 2017, als Sicherheitsforscher mindestens acht IT-Anbieter und Open-Source-Projekte identifizierten, die anfällig waren für eine Variation des ursprünglichen Angriffs von Bleichenbacher. Die Forscher nannten ihren Angriff ROBOT, was für Return Of Bleichenbachers Oracle Threat steht. Kario nennt seine Technik Marvin, in Anlehnung an Marvin, "den ängstlichen Androiden" aus dem "Per Anhalter durch die Galaxis" von Douglas Adams und als Anspielung auf den ROBOT-Namen. "In diesem Artikel zeigen wir, dass Bleichenbacher-ähnliche Angriffe auf RSA-Entschlüsselungen nicht nur möglich sind, sondern dass auch viele verwundbare Implementierungen häufig vorkommen", erklärt der Artikel. "Wir haben erfolgreich mehrere Implementierungen angegriffen, indem wir nur die Zeitnahme der Entschlüsselungsoperation verwendet haben, und gezeigt, dass viele andere verwundbar sind.
" Im Wesentlichen besteht die Möglichkeit, indem speziell gestaltete RSA-Chiffren an einen Server gesendet und die Zeit gemessen werden, die benötigt wird, um die Nachrichten zu verarbeiten, letztendlich ein zielgerichtetes Klartextlesen - um die Nachricht zu entschlüsseln. Der Angreifer kann auch diese Informationen verwenden, um digitale Signaturen zu fälschen. "Für einen TLS-Server, der standardmäßig RSA-Verschlüsselungsschlüsselaustausche verwendet, bedeutet das, dass der Angreifer eine Sitzung aufzeichnen und später entschlüsseln kann", erklärt die Website Marvin. "Für TLS-Hosts, die Ciphersuiten mit Vorwärtssicherheit verwenden, müsste der Angreifer einen massiv parallelen Angriff durchführen, um vor dem Timeout eines Clients während des Verbindungsaufbaus eine Server-Signatur zu fälschen. Das macht den Angriff schwierig, aber nicht unmöglich.
" Karios Artikel beschreibt einen praktischen Angriff auf die M2Crypto-Bibliothek unter Verwendung von 1024-Bit-RSA-Schlüsseln auf einem Lenovo T480s, Intel i7-8650U, der in der Lage war, RSA-Chiffren in 163.000 Oracle-Aufrufen zu entschlüsseln, die die Padding-Konformität testeten. Der Angriff dauerte etwa neun Stunden, um abzuschließen. Laut dem Artikel wurde das Problem im Oktober 2020 gemeldet, unter der CVE-2020-25657 zugewiesen und eine teilweise Lösung implementiert. Es wird jedoch angenommen, dass die Bibliothek immer noch verwundbar ist.
Die Schätzung der Angriffszeiten auf TLS-Server sei kompliziert, so der Artikel, und hänge von der Hardware und Software sowie vom Zugriff des Angreifers ab. "Für einen Angreifer, der Zugriff auf einen Host erhalten kann, der mit demselben Netzwerkswitch wie das Opfer verbunden ist, würde ein Worst-Case-Szenario (für das Opfer) einige Tage dauern, um den Angriff gegen eine verwundbare Version von OpenSSL durchzuführen, und ein paar Stunden, um NSS anzugreifen", sagt der Artikel. Karios Empfehlung ist es, die Verwendung von RSA PKCS#1 V1.5-Verschlüsselung zu stoppen, da nur Server betroffen sind, die RSA-Verschlüsselung implementieren. Die meisten modernen Clients stützen sich hauptsächlich auf den elliptischen Kurvendiffie-Hellman, so dass es außerhalb von Umgebungen, die Legacy-Systeme unterstützen, möglich sein sollte, Ciphersuiten zu deaktivieren, die RSA verwenden.
Kario hat mindestens sieben betroffene Implementierungen identifiziert, von denen einige bestätigte Fixes haben, aber sagt, dass die meisten kryptografischen Implementierungen von RSA PKCS#1 V1.5 wahrscheinlich verwundbar sind. APIs in Go (crypto/rsa DecryptPKCS1v15SessionKey) und GNU MP (mpz_powm_sec) wurden ebenfalls als fehlerhaft identifiziert, was sie anfällig für zeitgesteuerte Angriffe macht. Wer Interesse daran hat, ihre Systeme zu testen, könnte Karios Skript für die Prüfung von TLS-Servern und die dazugehörigen Anweisungen nutzen. Kario schließt: "Schließlich glauben wir nicht, dass dies auf RSA selbst beschränkt ist.
Jede Implementierung, die eine allgemeine Integer-Implementierung verwendet (wie der Standardmodus von OpenSSl's BIGNUM, NSS's MPI, Java's BigInteger, Pythons int, Rusts apint, GNU MP's mpz_t, Go's math/big Int usw.), wird unter denselben Problemen leiden.".
