Pelajaran 1 dalam Pemrograman Aman: Jangan Menggunakan Ulang Infus Anda
Saya menulis sebuah artikel tentang kerentanan Samsung baru-baru ini [ di sini ], dan satu komentar mengatakan ... "ini adalah bug lama, penggunaan kembali IV (Inisialisasi Vektor) tampaknya merupakan masalah yang sangat mendasar". Sepintas lalu, komentarnya mungkin tidak cukup detail, jadi saya akan mencoba dan menjelaskan "bug" dan mudah-mudahan menunjukkan bahwa itu adalah pengkodean yang sangat buruk ... hampir lalai dalam hal perlindungan, dan bahkan bisa dilihat sebagai pintu belakang yang disengaja .
Dan untuk "masalah yang sangat mendasar", itu mungkin harus "pengkodean yang sangat buruk", dan "bug" ini tidak boleh, pernah terlihat dalam lingkungan tepercaya. Ini menunjukkan kurangnya pengetahuan tentang cara kerja kriptografi, dengan kerentanan pemula. Makalahnya ada di sini [1]:
Faktanya, ini seperti WEP lagi, dan di mana metode Wifi WEP memiliki IV kecil (Vektor Inisialisasi), dan ketika diluncurkan, dimungkinkan untuk hanya aliran sandi XOR, dan menemukan teks biasa. Program yang tertidur dapat memecahkan titik akses Cisco mana pun dalam waktu kurang dari sehari. Untungnya kami sekarang menggunakan WPA-2, dan yang tidak menggunakan kembali IV.
Saya berharap untuk menunjukkan bahwa kita harus khawatir jika kode seperti ini mendekati perangkat pengguna. Faktanya, jika pernah ada pintu belakang di ponsel, bisa jadi ini.
Jika Anda ingin membaca tentang "bug", coba di sini:
Crypto Bug di Perangkat Samsung Galaxy: Mendobrak Trusted Execution Environments (TEEs)"Bug" yang buruk
Sekarang, saya akan menjelaskan seberapa buruk "bug" ini. Jika Anda menyukai keamanan siber, semoga Anda tahu bahwa AES GCM adalah sandi aliran. Dengan ini, kami mengambil nilai kunci rahasia dan nilai garam (IV — Inisialisasi Vektor) dan menghasilkan keystream tak terbatas semu. Plaintext kita kemudian di-XOR-kan dengan keystream untuk menghasilkan ciphertext kita:
Nilai garam kemudian harus selalu acak, karena nilai garam tetap akan selalu menghasilkan aliran kunci yang sama untuk teks biasa yang sama, dan di mana kita dapat mengungkapkan aliran kunci dengan aliran sandi XOR, dan akhirnya mengungkapkan teks biasa. Dalam kasus pembungkusan kunci, teks biasa adalah kunci enkripsi, dan dengan demikian kunci enkripsi yang digunakan oleh TEE akan terungkap.
Jika kita menggunakan kembali infus, Eve akan dapat meng-XOR cipher stream bersama-sama dan menampilkan keystream (K). Dari sana dia dapat mendekripsi setiap aliran cipher, tetapi cukup XOR-ing aliran cipher dengan K.
Pengkodean
AES GCM (Galois Counter Mode) adalah mode stream cipher untuk AES. Ini didasarkan pada mode CTR tetapi dikonversi ke stream cipher. Ini memberikan latensi rendah dalam proses enkripsi/dekripsi dan cepat diproses. Bersamaan dengan ini, ini mengintegrasikan mode AEAD untuk otentikasi. Tetapi karena GCM adalah mode cipher aliran, ia terbuka untuk serangan IV yang digunakan kembali . Dengan ini, IV (Initialization Vector) dari cipher sama untuk dua pesan cipher. Kami kemudian dapat XOR ke dua aliran cipher bersama-sama untuk mengungkapkan kunci aliran cipher ( K ). Kami kemudian dapat mengungkapkan teks biasa dengan XOR-ing aliran sandi apa pun dengan K .
Jadi, mari kita coba beberapa kode untuk melakukan ini. Dalam hal ini, saya akan menggunakan Golang untuk menunjukkan prinsip dasar dari metode ini. Saya akan menggunakan kunci statis dalam kasus ini (karena ini tidak akan berubah dalam TEE) dari "0123456789ABCDEF" (16 byte — kunci 128-bit), dan nonce statis "0123456789AB" (12 byte — 96 bit) [ di sini ]:
package main
import (
"crypto/aes"
"crypto/cipher"
"fmt"
"os"
)
func xor(a, b []byte, length int) []byte {
c := make([]byte, len(a))
for i := 0; i < length; i++ {
c[i] = a[i] ^ b[i]
}
return (c)
}
func main() {
nonce := []byte("0123456789AB")
key := []byte("0123456789ABCDEF")
block, err := aes.NewCipher(key)
if err != nil {
panic(err.Error())
}
msg1 := "hello"
msg2 := "Hello"
argCount := len(os.Args[1:])
if argCount > 0 {
msg1 = (os.Args[1])
}
if argCount > 1 {
msg2 = (os.Args[2])
}
plaintext1 := []byte(msg1)
plaintext2 := []byte(msg2)
aesgcm, err := cipher.NewGCM(block)
if err != nil {
panic(err.Error())
}
ciphertext1 := aesgcm.Seal(nil, nonce, plaintext1, nil)
ciphertext2 := aesgcm.Seal(nil, nonce, plaintext2, nil)
xor_length := len(ciphertext1)
if len(ciphertext1) > len(ciphertext2) {
xor_length = len(ciphertext2)
}
ciphertext_res := xor(ciphertext1, ciphertext2, xor_length)
fmt.Printf("Message 1:\t%s\n", msg1)
fmt.Printf("Message 2:\t%s\n", msg2)
fmt.Printf("Cipher 1:\t%x\n", ciphertext1)
fmt.Printf("Cipher 2:\t%x\n", ciphertext2)
fmt.Printf("Key:\t\t%x\n", key)
fmt.Printf("Nonce:\t\t%x\n", nonce)
fmt.Printf("XOR:\t\t%x\n", ciphertext_res)
plain1, _ := aesgcm.Open(nil, nonce, ciphertext1, nil)
plain2, _ := aesgcm.Open(nil, nonce, ciphertext2, nil)
fmt.Printf("Decrypted:\t%s\n", plain1)
fmt.Printf("Decrypted:\t%s\n", plain2)
}
Message 1: hello
Message 2: Hello
Cipher 1: 7fcbe7378c2b87a5dfb2803d4fcaca8d5cde86dbfa
Cipher 2: 5fcbe7378cf8c68b82a2b8d705354e8d6c0502cef2
Key: 30313233343536373839414243444546
Nonce: 303132333435363738394142
XOR: 2000000000d3412e5d1038ea4aff840030db841508
Decrypted: hello
Decrypted: Hello
Message 1: hello
Message 2: Cello
Cipher 1: 7fcbe7378c2b87a5dfb2803d4fcaca8d5cde86dbfa
Cipher 2: 54cbe7378c5638db82df34a46172abed62b887aa48
Key: 30313233343536373839414243444546
Nonce: 303132333435363738394142
XOR: 2b000000007dbf7e5d6db4992eb861603e660171b2
Decrypted: hello
Decrypted: Cello
Kesimpulan
Ini adalah pengkodean yang sangat buruk , dan saya tidak mengharapkan tingkat implementasi ini dari lulusan baru. Jika tim pengembangan yang membuat kode dalam TEE tidak memahami serangan penggunaan ulang IV, mereka harus mengikuti kursus pelatihan pengodean yang aman sebelum menyentuh kode yang lebih tepercaya. Jika ini adalah pintu belakang yang disengaja, itu adalah cerita lain. Saya harap, itu hanya bug, tetapi kami benar-benar perlu meningkatkan pengetahuan kami dalam pembuatan TEE, karena ini juga berjalan dalam sistem berbasis Cloud.
Referensi
[1] Shakevsky, A., Ronen, E., & Wool, A. (2022). Trust Dies in Darkness: Memberi Cahaya pada Desain Keymaster TrustZone Samsung. Arsip ePrint Kriptologi .