NSAのデュアルEC暗号化の崩壊で再びRSAがキャッチ

RSAのBSAFE暗号化ライブラリで発見された「Extended Random」TLS拡張の欠陥のある欠陥を発見した後、EMCが所有するRSAセキュリティと米国国家安全保障局(NSA)の協力関係は、最初の考えより深いことが明らかになりました。

研究者らは、暗号化に余計なランダム性を追加するのではなく、既に欠陥のあるデュアル楕円曲線決定論的ランダムビット生成器(Dual EC)に対して最大65,000倍の攻撃を加速させることを発見した。

「Dual Elliptic Curveをマッチで遊んでいるようなものであれば、Extended Randomを追加することはガソリンを使って自分自身を落とすようなものだ」と研究者の一人が話を初めて報告した。

RSAは、ロイター通信との連絡で、この研究に異議を唱えなかった。

研究チームは、Daul ECをどのように実装したかについてC / C ++、RSA BSAFE Share for Java、Microsoft SChannel、OpenSSLのRSA BSAFE Shareを調べ、RSAのBSAFEが「特に容易に利用できる」ことを発見しました。

BSAFEのCバージョンでは、長い連続したランダムなバイト列をブロードキャストし、各ジェネレータ呼び出しからの出力をキャッシュすることで、攻撃の速度を飛躍的に向上させることができます」とBSAFEのJava版には、ネットワークトラフィックの流れの中でそれらを簡単に識別できます。

OpenSSLには、以前は不明だったバグがあることが判明し、デュアルECが有効になったときにライブラリが実行されないようにしました。チームはライブラリにパッチを当て、それぞれのライブラリ呼び出しで余分なエントロピーがあり、そのバージョンのDual ECを攻撃するのをより困難にすることが分かった。

16CPUクラスターを使用して各実装を攻撃していると、研究者は、多数のターゲットでさえ、動機付けられた攻撃者にとって、すべての実装が実用的であると述べました。

BSAFE-C攻撃は、古いラップトップ上でさえも事実上瞬時に行われます」と、BSAFE-Java攻撃とSChannel攻撃では、デュアルEC出力の欠落ビットを回復するためにより多くの処理能力が必要です。 OpenSSL固定攻撃コストは基本的に追加入力に関する情報の量に依存します。

研究者らは、さまざまな実装のフィンガープリントを検出できるため、BSAFE-Javaが2,180万のIPv4アドレスのZMapスキャンで公開されたのは720のサーバーしか見つけられませんでした。 SChannelは270万台のサーバで検出されましたが、デュアルECはSChannelのデフォルトでは有効になっていないため、チームは脆弱な人の数を言うことができませんでした。 BSAFE-Cはフィンガープリントを示さなかったため、最も速い攻撃に対して脆弱なサーバーがいくつあるかはわかりません。

例えば、RSA BSAFE-Cは、デュアルEC出力の未使用バイトをキャッシュするために、最も簡単に利用することができます。

実装の設計上の選択に応じて、攻撃者は単一のCPU上で数秒以内にTLSセッションキーを回復することができます。また、別のライブラリを使用する場合は同じタスクに対して100,000以上のCPUのクラスタが必要になることがあります。

革新、?M2M市場がブラジルに戻ってくる、セキュリティー、FBIがCrackasのメンバーを逮捕米政府関係者のハッキングに対する態度、セキュリティ、Wordpressはユーザーに重大なセキュリティホールを修正するように今更新するよう強く促し、ホワイトハウスは連邦最高責任者情報セキュリティ責任者

我々の研究は、[Dual EC]アルゴリズムをできるだけ早く廃止する必要性をさらに強調している。

M2M市場はブラジルに戻ってくる

FBIは、米国の政府関係者をハッキングしたとの態度で、Crackasのメンバーを逮捕した

WordPressは、重要なセキュリティホールを修正するために今アップデートするようユーザに促す

ホワイトハウス、連邦最高情報セキュリティ責任者を任命