Fatal
crypto flaw in some government-certified smartcards makes forgery a
snap
Với
những chứng thực của chính phủ cho điều này bị gãy,
NSA
có thể không cần các cửa hậu.
With
government certifications this broken, the NSA may not need
backdoors.
by Dan Goodin - Sept 16
2013, 10:25pm ICT
Bài được đưa lên
Internet ngày: 16/09/2013
by Dan
Goodin - Sept 16 2013, 10:25pm ICT
10.000 thẻ thông minh
đó có thể đưa ra ít hoặc không sự bảo vệ mật mã
nào, bất chấp việc nhận 2 chứng chỉ được quốc tế
thừa nhận.
As
many of 10,000 of these smartcards may provide little or no
cryptographic protection despite receiving two internationally
recognized certifications.
Lời
người dịch: Với lỗi trong
tiêu chuẩn mật mã mà Viện Tiêu chuẩn và Công nghệ
Quốc gia Mỹ (NIST) tạo ra với sự can thiệp của Cơ quan
An ninh Quốc gia Mỹ (NSA),
rồi sau đó lại được Tổ chức Tiêu chuẩn hóa Quốc
tế - ISO phê chuẩn, thì việc nhiều chính phủ trên thế
giới với các chương trình bắt buộc sử dụng thẻ ID
dựa vào hạ tầng khóa công khai - PKI đã trở nên rất
nguy hiểm mà bài viết này mô tả trường hợp điển
hình của Đài Loan. Rất có thể đây cũng là một bài
học cho Việt Nam khi triển khai chữ ký điện tử.
“Những phát hiện là quan trọng đáng kể đối với các
công dân mà đã được phát các thẻ có lỗi, vì bất kỳ
kẻ tấn công nào cũng có thể đóng vai họ trên trực
tuyến, đội nghiên cứu đã viết trong một thư điện tử
cho Ars. “Rộng lớn hơn, nghiên
cứu của chúng tôi sẽ trao sự dừng tạm thời cho bất
kỳ nước nào mà đang triển khai dạng này của hạ tầng
khóa công khai quốc gia. Các
thẻ thông minh đó đã được chứng thực đối với các
tiêu chuẩn quốc tế đáng kính về an ninh, và các lỗi
đã dẫn chúng tới việc tạo ra các khóa mật mã bị gãy
một cách thông thường. Nếu
một chính phủ tiên tiến về công nghệ đang cố gắng
đi theo những thực tiễn tốt nhất mà vẫn còn có các
vấn đề, thì ai có thể làm đúng được đây?””. Xem các phần [01] và [02]. Xem
thêm: 'Chương
trình gián điệp PRISM trên không gian mạng'.
Việc dấy lên các
câu hỏi lo ngại về trách nhiệm của các chứng chỉ mật
mã do chính phủ bắt buộc được sử dụng trên khắp
thế giới, các nhà khoa học đã không nối đất được
các lỗi trong hệ thống mã ID số an ninh của Đài Loan mà
cho phép những kẻ tấn công thủ vai một số công dân
dựa vào nó để trả thuế, đăng ký ô tô, và đệ trình
các giấy tờ xuất nhập cảnh.
Các điểm yếu què
quặt được phát hiện trong chương trình Chứng thực Số
Công dân của Đài Loan tạo ra sự nghi ngờ các chứng chỉ
đó được thiết kế để đảm bảo cho những bảo vệ
mật mã được các chính phủ và các tổ chức nhạy cảm
khác sử dụng không thể bị các kẻ địch phá vỡ, các
nhà khoa học đã nêu trong một tài liệu nghiên cứu được
đặt lịch sẽ được trình diễn cuối năm nay tại Hội
nghị Asiacrypt 2013 ở Bangalore, Ấn Độ. Các lỗi đó có
thể nhấn mạnh các điểm yếu trong các hệ thống mật
mã tương tự được các chính phủ khác sử dụng khắp
thế giới kể từ khi các thẻ thông minh bị tổn thương
được sử dụng trong chương trình của Đài Loan đã vượt
qua các tiêu chuẩn FIPS
140-2 Level
2 và Common
Criteria. Các chứng chỉ đó, được Viện Tiêu chuẩn
và Công nghệ Quốc gia - NIST (National
Institute of Standards and Technology) và các đối tác của
nó trên khắp thế giới quản lý, áp đặt một tập hợp
cứng nhắc các yêu cầu trong tất cả các phần cứng và
phần mềm mật mã được một lượng lớn các nhà thầu
và các cơ quan chính phủ sử dụng.
“Các khóa bị gãy
một cách tầm thường”
Đội các nhà khoa học
đã phát hiện những gì tài liệu của họ gọi là một
“lỗi chết người” trong bộ sinh số ngẫu nhiên phần
cứng (RNG) được sử dụng để đảm bảo các số mà
tạo thành các tư liệu thô của các khóa mật mã không
dựa vào các mẫu có thể nhận thức được rõ. Tính
ngẫu nhiên là một thành tố sống còn trong việc đảm
bảo các kẻ địch không thể pháp được các khóa mật
mã chống trụ cho các thẻ thông minh được phát hành cho
các công dân Đài Loan.
Ngoài khoảng hơn 2
triệu khóa RSA 1024 bit mà các nhà nghiên cứu đã kiểm
tra, 184 khóa gây ngạc nhiên đã được tạo ra tồi tệ
tới mức chúng có thể bị phá chỉ trong vài giờ bằng
việc sử dụng các phương pháp toán học và các máy tính
tiêu chuẩn được biết để tìm các số lớn ban đầu ở
lõi của chúng. Các khóa mà từng được tạo ra đúng,
thì việc phá chúng quá nhanh có thể đã phải cần tới
một siêu máy tính hoặc botnet lớn. Thậm chí một tỷ lệ
phần trăm các khóa nhỏ như vậy đã được thấy là quá
dễ dàng bị phá nhấn mạnh tính dễ vỡ của các bảo
vệ mật mã mà hàng triệu người đang ngày càng dựa vào
để bảo vệ cho hầu hết các bí mật riêng tư và các
bí mật nhạy cảm của các doanh nghiệp của họ.
Những
phát hiện là quan trọng đáng kể đối với các công dân
mà đã được phát các thẻ có lỗi, vì bất kỳ kẻ tấn
công nào cũng có thể đóng vai họ trên trực tuyến, đội
nghiên cứu đã viết trong một thư điện tử cho Ars.
“Rộng lớn hơn, nghiên cứu của chúng tôi sẽ trao sự
dừng tạm thời cho bất kỳ nước nào mà đang triển
khai dạng này của hạ tầng khóa công khai quốc gia. Các
thẻ thông minh đó đã được chứng thực đối với các
tiêu chuẩn quốc tế đáng kính về an ninh, và các lỗi
đã dẫn chúng tới việc tạo ra các khóa mật mã bị gãy
một cách thông thường. Nếu một chính phủ tiên tiến
về công nghệ đang cố gắng đi theo những thực tiễn
tốt nhất mà vẫn còn có các vấn đề, thì ai có thể
làm đúng được đây?”.
Xếp ngăn lớp phủ
Nghiên cứu đang được
xuất bản 2 tuần sau khi các tài liệu bị cựu nhà thầu
của NSA Edward Snowden đã phác họa cánh tay giấu giếm mà
các đặc vụ tình báo đã đóng trong việc cố tình làm
suy yếu các tiêu chuẩn mã hóa quốc tế. Kết quả là,
NSA và các
đối tác Anh của nó có thể hầu hết có khả năng vượt
qua được nhiều công nghệ mã hóa được sử dụng trên
Internet. Các nhà mật mã học có liên quan, và độc lập
với, nghiên cứu đã đồng ý rằng các điểm yếu bị
lộ trong tài liệu hầu như chắc chắn là kết quả lỗi
của con người, hơn là sự phá hoại cố tình. Họ đã
dựa vào đánh giá trong sự quan sát thấy rằng các mẫu
có thể đoán được được gây ra bởi PRNG hoạt động
không đúng là quá dễ để chộp lấy.
“Một số đầu tiên
được phát hiện trong công việc này là quá rõ ràng
không ngẫu nhiên mà, nếu chúng là kết quả của các
điểm yếu cố tình, thì tôi muốn yêu cầu trả lại
tiền từ cơ quan 3 ký tự của tôi”, Kenneth G. Paterson,
một nhà khoa học của Royal Holloway mà từng thấy tài
liệu đó, nói cho Ars. “Vì họ có thể rõ ràng đã và
đang không làm việc rất tốt trong việc ẩn dấu các
thiết kế của họ”.
Hơn nữa, thực tế
là các RNG yếu cực kỳ của Đài Loan đã vượt qua các
qui trình kiểm tra tính hợp lệ khắt khe đang gây lo lắng.
Một RNG mà chọn các số ban đầu theo các cách thức có
thể đoán trước được là theo một số cách thức mà
sự tương đương mật mã của một người hồ lì với
chiếc dùi cui mà dàn xếp một bộ bài sao cho họ làm
việc được theo cách thức mà đặt người đánh bạc ở
vào sự yếu thế. Các RNG được triển khai đúng, ở mức
độ mà phép ẩn dụ, giống như một nhà buôn mà hoàn
toàn kéo lê cỗ bài, một hành động mà về lý thuyết
gây ra khả năng mạnh rằng các con bài không bao giờ có
và không bao giờ một lần nữa sẽ được sắp xếp theo
trật tự chính xác y hệt.
Không có cách nào để
đưa ra khả năng rằng NSA,
hoặc các cơ quan tình báo từ các nhà nước quốc gia
khác, đã không biết về chỗ bị tổn thương trong chương
trình mật mã của Đài Loan hoặc về các chương trình ở
các quốc gia khác mà có thể chịu các điểm yếu tương
tự. Sự bất lực của các chứng chỉ để chộp các RNG
có lỗi chết người gợi ý các tiêu chuẩn chào ít sự
bảo vệ hơn nhiều so với nhiều người có thể nghĩ đối
với các lỗi huyền ảo mà hoặc đã được thiết kế
cố ý từ các cơ quan tình báo hoặc đã bị khai thác sau
khi chúng bị phát hiện.
Các nhà nghiên cứu
đã bắt đầu dự án của họ bằng việc kiểm tra gần
2.2 triệu chứng chỉ số của Đài Loan được đảm bảo
an ninh bằng các khóa 1024 bit (các thẻ mới hơn có các
khóa RSA 2048 bit). Bằng việc quét các cặp số phân biệt
mà đã chia sẻ một ước số chung toán học, họ nhanh
chóng đã xác định được 103 khóa mà đã chia sẻ các
số đầu.
Ít hơn 100 khóa đã
chia sẻ các số đầu nằm ngoài kho 2 triệu chiếm một
số phần trăm nhỏ, nhưng trong con mắt của một nhà mật
mã học có nghề, thì nó đánh dấu một lỗi chết người.
Khi sinh một khóa RSA 1024 bit, có hầu như các số đầu
2502 không thể hiểu nổi mà có thể bị chọn
để tạo thành DNA toán học của nó, Mark Burnett, một nhà
phân tích an ninh CNTT và là tác giả, ước tính. Đó là
nhiều trật tự độ lớn hơn 2266 nguyên tử
trong vũ trụ được biết.
Nếu tất cả các số
đầu đó được trộn đúng và được phân phối bằng
nhau trong một kho số lớn - như được giả thiết xảy
ra khi đang được xử lý bằng một RNG hoạt động đúng
- thì không có 2 số đầu nào sẽ được chọn 2 lần cả.
Theo định nghĩa một số đầu là một số lớn hơn một
số mà không có ước số là dương khác 1 và bản thân
nó.
Tóm tắt dòng dữ
liệu dẫn tới sự tìm thừa số thành công của Thẻ
Công dân Số được sử dụng ở Đài Loan.
Bernstein, et al.
Và 103 trong số các
khóa đã được đánh dấu bởi các nhà nghiên cứu trong
119 số đầu. Sự không bình thường là dấu hiệu mù mờ
đầu tiên rằng thứ gì đó sai khủng khiếp đã xảy ra
trong quá trình sinh khóa đối với các thẻ thông minh của
Đài Loan. Nhưng điều đó không là chỉ số duy nhất về
các vấn đề nghiêm trọng. Các nhà nghiên cứu đã sàng
lọc qua các số đầu được chia sẻ và đã thấy các
mẫu nhìn thấy được của sự không ngẫu nhiên mà đã
cho phép chúng tạo thành nhân tố cho 81 khóa bổ sung, thậm
chí dù chúng đã không chia sẻ các số đầu. Một khi các
số đầu bị phát hiện, thì khóa nằm bên dưới sẽ
hoàn toàn bị tổn thương. Bất kỳ ai biết về các số
đầu cũng có thể thủ vai người chủ thẻ hợp pháp
bằng việc tạo chữ ký số của người đó, đọc các
thông điệp được mã hóa của họ, và truy cập bất kỳ
quyền ưu tiên và các khả năng khác được thẻ đó cho
phép.
Raising
troubling questions about the reliability of government-mandated
cryptography certifications used around the world, scientists have
unearthed flaws in Taiwan's secure digital ID system that allow
attackers to impersonate some citizens who rely on it to pay taxes,
register cars, and file immigration papers.
The
crippling weaknesses uncovered in the Taiwanese
Citizen Digital Certificate program cast doubt that
certifications designed to ensure cryptographic protections used by
governments and other sensitive organizations can't be circumvented
by adversaries, the scientists reported in a research
paper scheduled to be presented later this year at the Asiacrypt
2013 conference in Bangalore, India. The flaws may highlight
shortcomings in similar cryptographic systems used by other
governments around the world since the vulnerable smartcards used in
the Taiwanese program passed the FIPS
140-2 Level 2 and the Common
Criteria standards. The certifications, managed by the National
Institute of Standards and Technology (NIST) and its counterparts
all over the world, impose a rigid set of requirements on all
cryptographic hardware and software used by a raft of government
agencies and contractors.
“Trivially
broken keys”
The
team of scientists uncovered what their paper called a "fatal
flaw" in the hardware random number generator (RNG) used to
ensure the numbers that form the raw materials of crypto keys aren't
based on discernible patterns. Randomness is a crucial ingredient in
ensuring adversaries can't break the cryptographic keys underpinning
the smartcards issued to Taiwanese citizens.
Out
of slightly more than 2 million 1024-bit RSA keys the researchers
examined, an astonishing 184 keys were generated so poorly they could
be broken in a matter of hours using known mathematical methods and
standard computers to find the large prime numbers at their core. Had
the keys been created correctly, breaking them so quickly would have
required a large supercomputer or botnet. That even such a small
percentage of keys were found to be so easily broken underscores the
fragility of cryptographic protections millions of people
increasingly rely on to shield their most intimate secrets and
business-sensitive secrets.
"The
findings are certainly significant for the citizens who have been
issued flawed cards, since any attacker could impersonate them
online, the research team wrote in an e-mail to Ars. "More
broadly, our research should give pause to any of the many countries
that are rolling out this kind of national public key infrastructure.
These smart cards were certified to respected international standards
of security, and errors led to them generating trivially broken
cryptographic keys. If a technologically advanced government trying
to follow best practices still has problems, who can get this right?"
Stacking
the deck
The
research is being published two weeks after documents leaked by
former National Security Agency (NSA) contractor Edward Snowden
outlined the covert hand intelligence agents have played in
deliberately
weakening international encryption standards. As a result, the
NSA and its counterparts in the UK can most
likely bypass many of the encryption technologies used on the
Internet. Cryptographers involved in, and independent of, the
research agreed that the weaknesses exposed in the paper were almost
certainly the result of human error, rather than deliberate sabotage.
They based that assessment on the observation that the predictable
patterns caused by the malfunctioning PRNG were so easy to spot.
"Some
of the primes discovered in this work are so obviously non-random
that, if they were the result of deliberate weaknesses, then I'd be
asking for my money back from my three-letter agency," Kenneth
G. Paterson, a Royal Holloway scientist who has seen the paper, told
Ars. "Because they would clearly not have been doing a very good
job in hiding their footprints."
Still,
the fact that Taiwan's extremely weak RNGs passed stringent
validation processes is troubling. An RNG that picks prime numbers in
predictable ways is in some ways the cryptographic equivalent of a
blackjack croupier who arranges a deck of cards so they're dealt in a
way that puts the gambler at a disadvantage. Properly implemented
RNGs, to extend the metaphor, are akin to a relief dealer who
thoroughly shuffles the deck, an act that in theory results in the
strong likelihood the cards never have and never again will be
arranged in that exact same order.
Enlarge
/ A slide from a recent presentation detailing the 119 primes shared
among 103 of the weak cards used in Taiwan's Citizen Digital
Certificate program.
There's
no way to rule out the possibility that the NSA, or intelligence
agencies from other nation states, didn't already know about the
vulnerability in Taiwan's crypto program or about programs in other
countries that may suffer from similar weaknesses. The inability of
the certifications to spot the fatally flawed RNGs suggests the
standards offer far less protection than many may think against
subtle flaws that either were intentionally engineered by
intelligence agencies or were exploited after being discovered by
them.
The
researchers began their project by examining almost 2.2 million of
the Taiwanese digital certificates secured with 1024-bit keys (newer
cards have 2048-bit RSA keys). By scanning for pairs of distinct
numbers that shared a common mathematical
divisor, they quickly identified 103 keys that shared prime
numbers.
A
little more than 100 keys that shared primes out of a pool of 2
million makes for an infinitesimally small minuscule
percentage, but in the eye of a trained cryptographer, it flags a
fatal error. When generating a 1024-bit RSA key, there are an almost
incomprehensible 2502 prime numbers that can be picked to
form its mathematical DNA, Mark Burnett, an IT security analyst and
author, estimates. That's many orders of magnitude more than the 2266
atoms in the known universe. If all these primes are properly mixed
up and evenly distributed in a large digital pot—as is supposed to
happen when being processed by a correctly functioning RNG—no two
primes should ever be picked twice. By definition a prime is a number
greater than one that has no positive divisors other than 1 and
itself.
Enlarge
/ A summary of the data flow leading to successful factorizations of
the Digital Citizen Card used in Taiwan.
Bernstein,
et al.
And
yet, 103 of the keys flagged by the researchers factored into 119
primes. The anomaly was the first unambiguous sign that something
horribly wrong had gone on during the key-generation process for the
Taiwanese smartcards. But it wasn't the only indication of severe
problems. The researchers sifted through the shared primes and
noticed visible patterns of non-randomness that allowed them to
factor an additional 81 keys, even though they didn't share primes.
Once the primes are discovered, the underlying key is completely
compromised. Anyone with knowledge of the primes can impersonate the
legitimate card holder by forging the person's digital signature,
reading their encrypted messages, and accessing any other privileges
and capabilities afforded by the card.
Dịch: Lê Trung Nghĩa
Không có nhận xét nào:
Đăng nhận xét
Lưu ý: Chỉ thành viên của blog này mới được đăng nhận xét.