RC4; όχι ευχαριστώ

Από αυτήν εδώ την ιστοσελίδα, έχουμε αναφέρει κατά καιρούς το πόσο αναξιόπιστος είναι ο αλγόριθμος που χρησιμοποιεί η RC4 (Rivest Cipher 4) για κρυπτογράφηση. Όπως φαίνεται, ερευνητές συμφωνούν απόλυτα.

Βέλγοι ερευνητές που προετοιμάζονται για το Usenix Security Symposium που θα πραγματοποιηθεί στην Washington τον Αύγουστο, εκτιμούν ότι μπορούν να αποκρυπτογραφήσουν κρυπτογραφημένα cookies με RC4 μέσα σε 75 ώρες (PDF).security phishing RC4

Ο Mathy Vanhoef και ο Frank Piessens από το Πανεπιστήμιο της Leuven ερεύνησαν ιστοσελίδες που χρησιμοποιούν TLS με RC4, καθώς και Wi-Fi με κρυπτογράφηση WPA-TKIP.

Όπως εξηγούν, η αδυναμία της RC4 βασίζεται στο bias του RC4 keystream. Το bias ήταν ήδη γνωστό, και είναι ο λόγος που μεγάλες εταιρείες όπως η Microsoft κατακρίνουν την κρυπτογράφηση με Rivest Cipher 4. Τι διαφορετικό όμως κατάφεραν οι ερευνητές Vanhoef και Piessens;

Για συνεδρίες HTTPS που εξασφαλίζονται με TLS χρησιμοποιώντας την κρυπτογράφηση Rivest Cipher 4, οι ερευνητές εκτιμούν ότι μπορούν να “αποκρυπτογραφήσουν ένα secure cookie με ένα ποσοστό επιτυχίας 94% χρησιμοποιώντας 9×227 cyphertexts”.

Για να σπάσουν την ασφάλεια του TLS/HTTPS, οι Βέλγοι ερευνητές εισήγαγαν γνωστά δεδομένα γύρω από το cookie, “το παραβιάσαμε χρησιμοποιώντας το ABSAB bias του Mantin,  και με brute-forcing  στο cookie από ένα  plain-text … μπορέσαμε να εκτελέσουμε  μέσα σε 75 ώρες “.

“Εάν προσθέταμε ένα κώδικα στο πρόγραμμα περιήγησης του θύματος, «θα ήμασταν σε θέση να εκτελέσουμε την επίθεση … μέσα σε μόλις 52 ώρες.”

Με το WPA-TKIP τα πράγματα γίνονται χειρότερα. Η επίθεση των ερευνητών μπορεί να “εκτελεστεί μέσα σε μια ώρα”:

“Για να το WPA-TKIP θα παρουσιάσουμε μια μέθοδο που παράγει ένα μεγάλο αριθμό πανομοιότυπων πακέτων. Αυτό το αποκρυπτογραφείται με τη δημιουργία plaintext, και χρησιμοποιώντας τη περιττή δομή του πακέτου μπορείτε να αφαιρέσετε κακούς υποψηφίους. Από το αποκρυπτογραφημένο πακέτο αντλούμε το κλειδί TKIP MIC, το οποίο μπορεί να χρησιμοποιηθεί για την έγχυση και την αποκρυπτογράφηση πακέτων “.

 

iGuRu.gr The Best Technology Site in Greecefgns

κάθε δημοσίευση, άμεσα στο inbox σας

Προστεθείτε στους 2.100 εγγεγραμμένους.

Written by Δημήτρης

O Δημήτρης μισεί τις Δευτέρες.....

Αφήστε μια απάντηση

Η ηλ. διεύθυνση σας δεν δημοσιεύεται. Τα υποχρεωτικά πεδία σημειώνονται με *

Το μήνυμα σας δεν θα δημοσιευτεί εάν:
1. Περιέχει υβριστικά, συκοφαντικά, ρατσιστικά, προσβλητικά ή ανάρμοστα σχόλια.
2. Προκαλεί βλάβη σε ανηλίκους.
3. Παρενοχλεί την ιδιωτική ζωή και τα ατομικά και κοινωνικά δικαιώματα άλλων χρηστών.
4. Διαφημίζει προϊόντα ή υπηρεσίες ή διαδικτυακούς τόπους .
5. Περιέχει προσωπικές πληροφορίες (διεύθυνση, τηλέφωνο κλπ).