มีโปรโตคอลสมัยใหม่ (หลังสงครามโลกครั้งที่ 2) และโปรโตคอลที่มีชื่อเสียงที่ได้รับการพิสูจน์แล้วว่าปลอดภัย (ในทุกรุ่น: ตามเกม, UC...) แต่การพิสูจน์ของใครผิดและอาจนำไปสู่การโจมตีในโลกแห่งความเป็นจริงหรือไม่
โปรดทราบว่า:
ตามหลักการแล้ว ฉันชอบที่จะเรียนรู้ว่า "ความผิดพลาด" ในการพิสูจน์นั้นเป็นความผิดพลาดจริงๆ หรือมีแนวโน้มที่จะสร้างขึ้นโดยเจตนา (ลับๆ ของ NSA...)
แก้ไข
คุณสามารถระบุได้อย่างแม่นยำเมื่อเป็นไปได้หรือไม่ว่าการโจมตีเกิดจากความผิดพลาดในการพิสูจน์ตัวเอง หรือหากไม่ได้เลือกรูปแบบการรักษาความปลอดภัยอย่างเหมาะสม
ตัวอย่างหนึ่งคือ OCB2;
อย่างไรก็ตาม Akiko Inoue และ Kazuhiko Minematsu อธิบาย การโจมตีปลอมแปลงที่ใช้งานได้จริงกับ OCB2 ในปี 2561 จากบทคัดย่อ;
เรานำเสนอการโจมตีเชิงปฏิบัติกับ OCB2 ซึ่งเป็นมาตรฐาน ISO รูปแบบการเข้ารหัสที่รับรองความถูกต้อง (AE) OCB2 เป็นโหมดการทำงานแบบเข้ารหัสที่มีประสิทธิภาพสูง มีการศึกษาอย่างกว้างขวางและกว้างขวาง เชื่อว่าจะปลอดภัยด้วยหลักฐานความปลอดภัยที่พิสูจน์ได้ การโจมตีของเรา อนุญาตให้ฝ่ายตรงข้ามสร้างการปลอมแปลงด้วยแบบสอบถามการเข้ารหัสเดียวของ ข้อความธรรมดาที่เกือบจะรู้จักกัน การโจมตีนี้สามารถขยายไปสู่พลังที่รุนแรงได้ การปลอมแปลงเกือบสากลและสากลโดยใช้ข้อความค้นหาเพิ่มเติม ที่มา การโจมตีของเราเป็นวิธีที่ OCB2 ใช้ AE โดยใช้ blockcipher ที่ปรับแต่งได้ ซึ่งเรียกว่า XEXâ . เราได้ตรวจสอบการโจมตีของเราโดยใช้รหัสอ้างอิง ของ OCB2. การโจมตีของเราไม่ได้ทำลายความเป็นส่วนตัวของ OCB2 และไม่เป็นเช่นนั้น ใช้กับอื่นๆ รวมถึง OCB1 และ OCB3
และงานอื่น ๆ ที่ปรับปรุงงานของ Inoue และ Minematsu;
2018 การโจมตีการกู้คืนข้อความธรรมดาของ OCB2 เท็ตสึ อิวาตะ
2018 ทำลายความลับของ OCB2 โดย Bertram Poettering
2019 การวิเคราะห์การเข้ารหัสของ OCB2: การโจมตีความถูกต้องและการรักษาความลับ Akiko Inoue และ Tetsu Iwata และ Kazuhiko Minematsu และ Bertram Poettering (กระดาษรวม)
ครึ่งเดียว;
2012 การปรับปรุงการเรียงสับเปลี่ยนของประตูกล โดย Oded Goldreich และ Ron D. Rothblum พวกเขาระบุว่าการเรียงสับเปลี่ยนประตูกลที่เพิ่มขึ้นเป็นสองเท่าเพียงพอสำหรับการก่อสร้างแล้ว $NIZK$สำหรับ $NP$. ต่อมา Canetti และ Lichtenberg การปรับปรุงที่เสนออาจไม่เพียงพอสำหรับการสมัครของ NIZK
บางที "การกู้คืนข้อความธรรมดาโจมตี SSH“มีคุณสมบัติ?
ผู้อ่านบางท่านอาจสงสัยว่า ณ จุดนี้เราจะสามารถโจมตี SSH แบบต่างๆ ที่ได้รับการพิสูจน์แล้วว่าปลอดภัยใน [1] ได้อย่างไร เหตุผลพื้นฐานก็คือ ในขณะที่ผู้เขียน [1] ตระหนักดีว่าการดำเนินการถอดรหัสใน SSH ไม่ใช่ âatomicâ และอาจล้มเหลวในรูปแบบต่างๆ แบบจำลองความปลอดภัยของพวกเขาไม่ได้แยกความแตกต่างระหว่างรูปแบบต่างๆ ของความล้มเหลวเมื่อรายงานข้อผิดพลาด ต่อปฏิปักษ์ ยิ่งไปกว่านั้น แบบจำลองของพวกเขาไม่ได้คำนึงถึงความจริงที่ว่าจำนวนข้อมูลที่จำเป็นในการดำเนินการถอดรหัสเสร็จสมบูรณ์นั้นถูกกำหนดโดยข้อมูลที่ต้องถอดรหัส (ฟิลด์ความยาว) น่าเสียดายที่ดูเหมือนว่าการใช้งานการเข้ารหัสในโลกแห่งความเป็นจริงนั้นซับซ้อนกว่าโมเดลความปลอดภัยปัจจุบันสำหรับการจัดการ SSH
แล้วดู"Surfeit ของ SSH Cipher Suites"สำหรับการติดตาม
บางทีเราอาจนับมาตรฐานสากลฉบับแรกเกี่ยวกับลายเซ็นดิจิทัล ISO/IEC 9796:1991ซึ่งระบุลายเซ็น RSA และ Rabin โดยใช้ช่องว่างภายในที่ซ้ำซ้อนของข้อความที่จะลงนาม ความปลอดภัยได้รับการพิสูจน์แล้ว เหตุผลล้ำสมัย, ตีพิมพ์ใน การดำเนินการของ Eurocrypt 1990. ที่ระบุคุณสมบัติของการเติมลายเซ็นของมาตรฐาน จำเป็น เพื่อความปลอดภัยแม้จะมีคุณสมบัติการคูณของฟังก์ชัน RSA แบบดิบก็ตาม $x\mapsto x^d\bmod n$, ชอบ:
- การเปลี่ยนแปลงหรือการเติมเต็มองค์ประกอบตัวแทนจะไม่ส่งผลให้เกิดองค์ประกอบอื่น
- ผลคูณตามธรรมชาติขององค์ประกอบที่เป็นตัวแทนโดยค่าคงที่ใดๆ ที่ไม่ใช่ 1 ไม่ใช่องค์ประกอบที่เป็นตัวแทน
คุณสมบัติเหล่านี้เป็นจริง แต่พวกเขาไม่ได้สร้างหลักฐานความปลอดภัยในความหมายสมัยใหม่ พวกเขาเพียงพิสูจน์ความเป็นไปไม่ได้ของ บาง การโจมตีมากกว่าของ ใดๆ จู่โจม.
และพบในปี 1999 เป็นวิธีการคำนวณที่ไม่แพงซึ่งแสดงข้อความประเภทต่างๆ จำนวนมาก เช่น ลายเซ็นของอันหนึ่งถูกพบโดยการส่งอีกอันหนึ่ง (ตอนแรกสามอัน) สำหรับลายเซ็น RSA; หรือพบรหัสส่วนตัว (ตัวแบ่งทั้งหมด) โดยส่งข้อความสองข้อความเพื่อขอลายเซ็น Rabin มาตรฐานถูกถอนออกในอีกหนึ่งปีต่อมา
แม้จะมีการใช้มาตรฐานนั้นในทางปฏิบัติ การโจมตีไม่เคยลดระดับไปสู่การแสวงหาประโยชน์เท่าที่ฉันทราบ เนื่องจากแอปพลิเคชันไม่อนุญาตให้ได้รับลายเซ็นของข้อความแม้แต่น้อยที่ตรงกับข้อจำกัดที่แม่นยำ
ตัวอย่างที่คล้ายกันคือ ISO/IEC 9796-2:1997 ลายเซ็น (แต่มาพร้อมกับการเรียกร้องความปลอดภัยแม้แต่น้อย) ถูกทำลายโดยการโจมตี: Jean-Sébastien Coron, David Naccache, Mehdi Tibouchi, Ralf-Philipp Weinmann's การเข้ารหัสเชิงปฏิบัติของ ISO 9796-2 และลายเซ็น EMV, ใน วารสารวิทยาการเข้ารหัสลับ (2558) และกจอนใน การดำเนินการของ Crypto 2009. โครงร่างนี้ใช้กันอย่างแพร่หลายในสมาร์ทการ์ดของธนาคาร โดยมีพารามิเตอร์ที่ช่วยให้สามารถคำนวณข้อความไม่กี่แสนข้อความที่เป็นไปได้ เช่น ควร ฝ่ายตรงข้ามจัดการเพื่อให้ได้ลายเซ็นของทั้งหมดยกเว้นอันเดียว ซึ่งช่วยให้สามารถค้นหาลายเซ็นของข้อความสุดท้ายได้ แต่ไม่สามารถลดลงถึงการแสวงหาผลประโยชน์ในทางปฏิบัติ
เอกสารอ้างอิงเกี่ยวกับการโจมตีคือ Don Coppersmith, Jean-Sébastien Coron, François Grieu, Shai Halevi, Charanjit Jutla, David Naccache, Julien P. Stern: การวิเคราะห์ด้วยการเข้ารหัสของ ISO/IEC 9796-1, ใน วารสารวิทยาการเข้ารหัสลับ (2550). จัดกลุ่มการโจมตีก่อนหน้านี้ใหม่:
ล่าสุด, WPA2 ถูกตรวจพบว่ามีความเสี่ยงต่อการโจมตี Key Reinstallationแม้ว่าการจับมือแบบ 4 ทิศทาง WPA2 ได้รับการพิสูจน์แล้วว่าปลอดภัย
จากเว็บไซต์ของพวกเขา
การจับมือแบบ 4 ทิศทางได้รับการพิสูจน์ทางคณิตศาสตร์แล้วว่าปลอดภัย การโจมตีของคุณเป็นไปได้อย่างไร?
คำตอบสั้น ๆ คือ การพิสูจน์ที่เป็นทางการไม่รับประกันว่าจะติดตั้งคีย์เพียงครั้งเดียว แต่เป็นการรับรองว่าคีย์การเจรจายังคงเป็นความลับ และไม่สามารถปลอมแปลงข้อความจับมือได้
คำตอบที่ยาวกว่านี้จะกล่าวถึงในบทนำของงานวิจัยของเรา: การโจมตีของเราไม่ละเมิดคุณสมบัติด้านความปลอดภัยที่พิสูจน์แล้วในการวิเคราะห์อย่างเป็นทางการของการจับมือกัน 4 ทิศทาง โดยเฉพาะอย่างยิ่ง หลักฐานเหล่านี้ระบุว่าคีย์การเข้ารหัสที่เจรจายังคงเป็นส่วนตัว และมีการยืนยันตัวตนของทั้งไคลเอนต์และจุดเข้าใช้งาน (AP) การโจมตีของเราไม่ทำให้คีย์การเข้ารหัสรั่วไหล นอกจากนี้ แม้ว่าเฟรมข้อมูลปกติสามารถปลอมแปลงได้หากใช้ TKIP หรือ GCMP แต่ผู้โจมตีไม่สามารถปลอมแปลงข้อความจับมือได้ และด้วยเหตุนี้จึงไม่สามารถปลอมแปลงไคลเอ็นต์หรือ AP ในระหว่างการจับมือได้ ดังนั้นคุณสมบัติที่ได้รับการพิสูจน์ในการวิเคราะห์อย่างเป็นทางการของการจับมือกัน 4 ทิศทางยังคงเป็นจริง อย่างไรก็ตาม ปัญหาคือ การพิสูจน์ไม่ได้ติดตั้งโมเดลคีย์ พูดอีกอย่างก็คือ แบบจำลองที่เป็นทางการไม่ได้กำหนดว่าควรติดตั้งคีย์การเจรจาเมื่อใด ในทางปฏิบัติ หมายความว่าสามารถติดตั้งคีย์เดียวกันได้หลายครั้ง ดังนั้นจึงรีเซ็ต nonces และตัวนับการเล่นซ้ำที่ใช้โดยโปรโตคอลการเข้ารหัส (เช่น โดย WPA-TKIP หรือ AES-CCMP)
นี่อาจเป็นผลที่แขวนอยู่ต่ำกว่าที่คุณตั้งใจไว้ เนื่องจาก "เวกเตอร์การโจมตีในโลกแห่งความจริง" อาจไม่มีประโยชน์มากนักในการโจมตี เนื่องจากมีเพียง เอทีแอนด์ที ทีเอสดี-3600-อี เป็นอุปกรณ์ที่ทราบกันดีว่าได้ดำเนินการนี้เพื่อสิ่งนี้ และอุปกรณ์อื่น ๆ ส่วนใหญ่ดูเหมือนจะซื้อโดยกระทรวงยุติธรรมแห่งสหรัฐอเมริกาเท่านั้น สิ่งนี้กล่าวว่าอาจช่วยอธิบายความคิดเห็นของ @Kevin อย่างละเอียดเกี่ยวกับวิธีการที่ช่องทางด้านข้างมักเป็นเวกเตอร์การโจมตีสำหรับอัลกอริทึมดังกล่าว เนื่องจากเหตุผลที่ทราบกันดีที่สุดว่าไม่ได้ใช้งานอีกต่อไป
LEAF มีวัตถุประสงค์เพื่อให้รัฐบาลสามารถอ่านข้อมูลที่จำเป็นเพื่อให้สามารถระบุคีย์เข้ารหัส และสามารถถอดรหัสข้อความได้เมื่อมีหมายสำคัญให้ทำเช่นนั้น
ซึ่งพบปัญหาใหญ่ 2 ประการในภายหลังคือ
1.) Matt Blaze ในปี 1994 ค้นพบว่าสามารถใช้ความจริงที่ว่า ระบบ LEAF ต้องการแฮช 16 บิตสำหรับคีย์เข้ารหัสเพื่อตรวจสอบว่าเป็นข้อความที่ถูกต้องในการเข้ารหัส (เช่นสามารถถอดรหัสได้) เป็นไปได้ที่จะใช้การตรวจสอบแบบ 16 บิตใหม่ประมาณ 30-50 นาทีสำหรับคีย์การเข้ารหัสที่แตกต่างจากที่ใช้เข้ารหัสข้อความ โดยผ่านขั้นตอน "ถอดรหัสได้หากจำเป็น" อย่างมีประสิทธิภาพ .
2.) Yair Frankel และ Moti Yung ในปี 1995 ค้นพบว่าสามารถใช้มันได้ อุปกรณ์ที่สามารถใช้ LEAF เพื่อสร้างการตรวจสอบที่แนบมากับข้อความที่เข้ารหัสบนอุปกรณ์อื่นจึงข้ามขั้นตอน "ถอดรหัสได้หากจำเป็น" แบบเรียลไทม์
ท้ายที่สุดแล้ว ปัญหาเหล่านี้น่าจะนำไปสู่การเลิกใช้วิธีนี้ โดยรัฐบาลสหรัฐฯ เป็นลูกค้ารายใหญ่ที่สุดของ AT&T TSD-3600-E ฉันไม่รู้ว่าจริง ๆ แล้วใช้กล่องเหล่านี้ไปกี่กล่อง เนื่องจากมีรายงานว่ากล่องส่วนใหญ่ยังไม่ได้เปิด ซึ่งทำให้เราเกี่ยวข้องกับรหัส Skipjack จริง
นี่คือการเข้ารหัสที่ฉันเข้าใจ ถูกใช้โดยชิป Clipper ซึ่งหากไม่มี LEAF ที่ถูกต้องจากแฮชด้านบน จะปลอดภัยจากผู้ที่ถอดรหัสสิ่งที่อยู่ในข้อความ
นี่เป็นเรื่องยากที่จะพิสูจน์ว่าได้รับการพิสูจน์แล้วว่าปลอดภัย เนื่องจากเดิมทีมันถูกจัดประเภท แต่... นักวิจัยทางวิชาการถูกนำเข้ามาเพื่อประเมิน Skipjack และพบว่า "ดังนั้นจึงไม่มีความเสี่ยงที่สำคัญที่ SKIPJACK จะถูกทำลายโดยการค้นหาอย่างละเอียดถี่ถ้วนในอีก 30-40 ปีข้างหน้า"
25 มิถุนายน พ.ศ. 2541 เมื่อ Skipjack ไม่เป็นความลับอีกต่อไป Eli Biham และ Adi Shamir ค้นพบว่าเมื่อ Skipjack ลดลงเหลือ 16 รอบแทนที่จะเป็น 32 รอบมันสามารถแตกหักได้ด้วยเวกเตอร์การโจมตีที่ค้นพบในเวลานั้น ต่อมาในปี 1999 กับ Alex Biryukov พวกเขาสามารถขยายได้ถึง 31 รอบจาก 32 รอบ
เห็นได้ชัดว่า ณ ปี 2009 การทะลุทะลวงทั้งหมด 32 รอบยังไม่ถูกทำลายทั้งหมด แต่ดูเหมือนว่าสิ่งเหล่านี้บ่งชี้ว่าหลักฐานเดิมอาจผิดพลาด เนื่องจากปรากฏว่า 31 รอบแรกของ Skipjack 32 รอบอาศัยเป็นหลัก การจำแนกประเภทของอัลกอริทึมในขณะนั้น
ดังที่ @Kevin กล่าวในความคิดเห็นของเขาต่อคำถามข้างต้น โดยหลักแล้วช่องทางด้านข้างจะเป็นหนทางที่จะทำลายมัน - และในกรณีนี้ Clipper Chip และโปรโตคอล LEAF ของมันเองได้รับการพิสูจน์แล้วว่าเป็นลิงค์ที่อ่อนแอกว่า - การทำลายโปรโตคอลที่จะมี ถูกใช้เพื่อถอดรหัสข้อความที่เข้ารหัสภายใต้การรับประกัน
ในปี 2019 มีการค้นพบช่องโหว่ปลอมแปลงใน Zcash [ดู ที่นี่].
ก่อนการแก้ไข ผู้โจมตีอาจสร้าง Zcash ปลอมโดยไม่ถูกตรวจพบ!
ด้วยมูลค่าตลาดปัจจุบันที่ 1.7 พันล้านดอลลาร์ ดูเหมือนว่า Zcash อย่างน้อยวันนี้ เพลิดเพลินกับการยอมรับอย่างกว้างขวางเกินกว่าผู้ใช้ที่เชี่ยวชาญเพียงไม่กี่คน ช่องโหว่นี้เกิดจากข้อบกพร่องด้านการเข้ารหัสเล็กน้อยใน [บีซีทีวี14] กระดาษที่อธิบายโครงสร้าง zk-SNARK ที่ใช้ในการเปิดตัว Zcash ดั้งเดิม ช่องโหว่นี้มีความละเอียดอ่อนมากจนสามารถหลบเลี่ยงการวิเคราะห์โดยผู้เชี่ยวชาญด้านการเข้ารหัสเป็นเวลาหลายปี นอกจากนี้ ผลงานที่ตามมาบางชิ้นของนักวิจัยที่มีชื่อเสียงก็ได้รับข้อบกพร่องเช่นเดียวกัน
ที่สำคัญ [บีซีทีวี14] การก่อสร้างไม่มีหลักฐานด้านความปลอดภัยโดยเฉพาะ ดังที่ระบุไว้ใน [พาร์โน15] และอาศัยเป็นหลักในการ [PGHR13] การพิสูจน์ความปลอดภัยและความคล้ายคลึงกันระหว่างสองแผน ทีมงาน Zcash Company พยายามเขียนหลักฐานความปลอดภัยใน [บีจี17] แต่ก็ไม่ได้เปิดเผยช่องโหว่นี้ Zcash มีตั้งแต่นั้นเป็นต้นมา อัปเกรดเป็นระบบพิสูจน์ใหม่ [Groth16] ซึ่งมีหลายรายการ การพิสูจน์ที่เป็นอิสระและการวิเคราะห์ที่ดีกว่าอย่างเห็นได้ชัด
สำหรับอัลกอริทึมการเข้ารหัสที่ทันสมัยส่วนใหญ่ไม่มีข้อพิสูจน์ทางคณิตศาสตร์ที่เข้มงวดว่าปลอดภัย บ่อยครั้งเมื่อมีการเผยแพร่หรืออภิปรายหลักฐานดังกล่าว สมมติฐาน ซึ่งเชื่อได้ว่าเป็นความจริงเท่านั้น หากข้อสันนิษฐานเหล่านี้ไม่เป็นไปตามข้อพิสูจน์ หลักฐานจะแตกสลายแม้ว่าจะไม่มีข้อผิดพลาดก็ตาม ตัวอย่างเช่น ความปลอดภัยของ Triple-DES ตั้งอยู่บนสมมติฐานว่า DES ปกติมีความปลอดภัย (แม้ว่าจะมีขนาดคีย์ไม่เพียงพอที่จะป้องกันการโจมตีแบบดุร้าย) หากพบข้อบกพร่องร้ายแรงใน DES ก็อาจส่งผลต่อความปลอดภัยของ 3DES เช่นกัน
สมมติฐานประเภทที่สองในการพิสูจน์ความปลอดภัยมาจากความจริงที่ว่าพวกเขากำลังพยายาม พิสูจน์เชิงลบ. ดังนั้น แทนที่จะพิสูจน์ว่าอัลกอริทึมไม่สามารถถูกทำลายได้ การวิจัยประเมินความปลอดภัยด้วย w.r.t. การโจมตีที่รู้จัก หากอัลกอริทึมเป็นที่รู้จักอย่างแพร่หลายมานานหลายทศวรรษ เชื่อว่าอัลกอริทึมนั้น "ได้รับการพิสูจน์แล้วในทางปฏิบัติ" ซึ่งอันที่จริงแล้วเป็นข้อสันนิษฐานว่าไม่สามารถออกแบบการโจมตีใหม่ๆ เพื่อต่อต้านมันได้
ประเด็นสองข้อข้างต้นมานอกเหนือจากข้อผิดพลาดซ้ำซากในตรรกะของการพิสูจน์
ดังนั้น ขึ้นอยู่กับระดับของหลักฐานที่คุณพิจารณาว่าเพียงพอ คุณสามารถพูดอย่างนั้นก็ได้ ไม่มี ของโปรโตคอลที่มีชื่อเสียงในโลกแห่งความเป็นจริงได้รับการพิสูจน์แล้วว่าปลอดภัย หรือว่าโปรโตคอลเหล่านั้นซึ่งถูกแคร็กในภายหลังได้รับการ "พิสูจน์" ว่าปลอดภัยในบางจุด (ไม่เช่นนั้นพวกเขาจะไม่ถูกใช้งาน) แต่การพิสูจน์นั้นไม่ถือเอาเสียเลย
คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา
