Fatal crypto flaw in some government-certified smartcards makes forgery a snap
Với những chứng thực của chính phủ cho điều này bị gãy, NSA có thể không cần các cửa hậu.
With government certifications this broken, the NSA may not need backdoors.
by Dan Goodin - Sept 16 2013, 10:25pm ICT
Bài được đưa lên Internet ngày: 16/09/2013
by Dan Goodin - Sept 16 2013, 10:25pm ICT
10.000 thẻ thông minh đó có thể đưa ra ít hoặc không sự bảo vệ mật mã nào, bất chấp việc nhận 2 chứng chỉ được quốc tế thừa nhận.
As many of 10,000 of these smartcards may provide little or no cryptographic protection despite receiving two internationally recognized certifications.
Lời người dịch: Với lỗi trong tiêu chuẩn mật mã mà Viện Tiêu chuẩn và Công nghệ Quốc gia Mỹ (NIST) tạo ra với sự can thiệp của Cơ quan An ninh Quốc gia Mỹ (NSA), rồi sau đó lại được Tổ chức Tiêu chuẩn hóa Quốc tế - ISO phê chuẩn, thì việc nhiều chính phủ trên thế giới với các chương trình bắt buộc sử dụng thẻ ID dựa vào hạ tầng khóa công khai - PKI đã trở nên rất nguy hiểm mà bài viết này mô tả trường hợp điển hình của Đài Loan. Rất có thể đây cũng là một bài học cho Việt Nam khi triển khai chữ ký điện tử. “Những phát hiện là quan trọng đáng kể đối với các công dân mà đã được phát các thẻ có lỗi, vì bất kỳ kẻ tấn công nào cũng có thể đóng vai họ trên trực tuyến, đội nghiên cứu đã viết trong một thư điện tử cho Ars. “Rộng lớn hơn, nghiên cứu của chúng tôi sẽ trao sự dừng tạm thời cho bất kỳ nước nào mà đang triển khai dạng này của hạ tầng khóa công khai quốc gia. Các thẻ thông minh đó đã được chứng thực đối với các tiêu chuẩn quốc tế đáng kính về an ninh, và các lỗi đã dẫn chúng tới việc tạo ra các khóa mật mã bị gãy một cách thông thường. Nếu một chính phủ tiên tiến về công nghệ đang cố gắng đi theo những thực tiễn tốt nhất mà vẫn còn có các vấn đề, thì ai có thể làm đúng được đây?””. Xem các phần [01] và [02]. Xem thêm: 'Chương trình gián điệp PRISM trên không gian mạng'.
Việc dấy lên các câu hỏi lo ngại về trách nhiệm của các chứng chỉ mật mã do chính phủ bắt buộc được sử dụng trên khắp thế giới, các nhà khoa học đã không nối đất được các lỗi trong hệ thống mã ID số an ninh của Đài Loan mà cho phép những kẻ tấn công thủ vai một số công dân dựa vào nó để trả thuế, đăng ký ô tô, và đệ trình các giấy tờ xuất nhập cảnh.
Các điểm yếu què quặt được phát hiện trong chương trình Chứng thực Số Công dân của Đài Loan tạo ra sự nghi ngờ các chứng chỉ đó được thiết kế để đảm bảo cho những bảo vệ mật mã được các chính phủ và các tổ chức nhạy cảm khác sử dụng không thể bị các kẻ địch phá vỡ, các nhà khoa học đã nêu trong một tài liệu nghiên cứu được đặt lịch sẽ được trình diễn cuối năm nay tại Hội nghị Asiacrypt 2013 ở Bangalore, Ấn Độ. Các lỗi đó có thể nhấn mạnh các điểm yếu trong các hệ thống mật mã tương tự được các chính phủ khác sử dụng khắp thế giới kể từ khi các thẻ thông minh bị tổn thương được sử dụng trong chương trình của Đài Loan đã vượt qua các tiêu chuẩn FIPS 140-2 Level 2 và Common Criteria. Các chứng chỉ đó, được Viện Tiêu chuẩn và Công nghệ Quốc gia - NIST (National Institute of Standards and Technology) và các đối tác của nó trên khắp thế giới quản lý, áp đặt một tập hợp cứng nhắc các yêu cầu trong tất cả các phần cứng và phần mềm mật mã được một lượng lớn các nhà thầu và các cơ quan chính phủ sử dụng.
“Các khóa bị gãy một cách tầm thường”
Đội các nhà khoa học đã phát hiện những gì tài liệu của họ gọi là một “lỗi chết người” trong bộ sinh số ngẫu nhiên phần cứng (RNG) được sử dụng để đảm bảo các số mà tạo thành các tư liệu thô của các khóa mật mã không dựa vào các mẫu có thể nhận thức được rõ. Tính ngẫu nhiên là một thành tố sống còn trong việc đảm bảo các kẻ địch không thể pháp được các khóa mật mã chống trụ cho các thẻ thông minh được phát hành cho các công dân Đài Loan.
Ngoài khoảng hơn 2 triệu khóa RSA 1024 bit mà các nhà nghiên cứu đã kiểm tra, 184 khóa gây ngạc nhiên đã được tạo ra tồi tệ tới mức chúng có thể bị phá chỉ trong vài giờ bằng việc sử dụng các phương pháp toán học và các máy tính tiêu chuẩn được biết để tìm các số lớn ban đầu ở lõi của chúng. Các khóa mà từng được tạo ra đúng, thì việc phá chúng quá nhanh có thể đã phải cần tới một siêu máy tính hoặc botnet lớn. Thậm chí một tỷ lệ phần trăm các khóa nhỏ như vậy đã được thấy là quá dễ dàng bị phá nhấn mạnh tính dễ vỡ của các bảo vệ mật mã mà hàng triệu người đang ngày càng dựa vào để bảo vệ cho hầu hết các bí mật riêng tư và các bí mật nhạy cảm của các doanh nghiệp của họ.
Những phát hiện là quan trọng đáng kể đối với các công dân mà đã được phát các thẻ có lỗi, vì bất kỳ kẻ tấn công nào cũng có thể đóng vai họ trên trực tuyến, đội nghiên cứu đã viết trong một thư điện tử cho Ars. “Rộng lớn hơn, nghiên cứu của chúng tôi sẽ trao sự dừng tạm thời cho bất kỳ nước nào mà đang triển khai dạng này của hạ tầng khóa công khai quốc gia. Các thẻ thông minh đó đã được chứng thực đối với các tiêu chuẩn quốc tế đáng kính về an ninh, và các lỗi đã dẫn chúng tới việc tạo ra các khóa mật mã bị gãy một cách thông thường. Nếu một chính phủ tiên tiến về công nghệ đang cố gắng đi theo những thực tiễn tốt nhất mà vẫn còn có các vấn đề, thì ai có thể làm đúng được đây?”.
Xếp ngăn lớp phủ
Nghiên cứu đang được xuất bản 2 tuần sau khi các tài liệu bị cựu nhà thầu của NSA Edward Snowden đã phác họa cánh tay giấu giếm mà các đặc vụ tình báo đã đóng trong việc cố tình làm suy yếu các tiêu chuẩn mã hóa quốc tế. Kết quả là, NSA và các đối tác Anh của nó có thể hầu hết có khả năng vượt qua được nhiều công nghệ mã hóa được sử dụng trên Internet. Các nhà mật mã học có liên quan, và độc lập với, nghiên cứu đã đồng ý rằng các điểm yếu bị lộ trong tài liệu hầu như chắc chắn là kết quả lỗi của con người, hơn là sự phá hoại cố tình. Họ đã dựa vào đánh giá trong sự quan sát thấy rằng các mẫu có thể đoán được được gây ra bởi PRNG hoạt động không đúng là quá dễ để chộp lấy.
“Một số đầu tiên được phát hiện trong công việc này là quá rõ ràng không ngẫu nhiên mà, nếu chúng là kết quả của các điểm yếu cố tình, thì tôi muốn yêu cầu trả lại tiền từ cơ quan 3 ký tự của tôi”, Kenneth G. Paterson, một nhà khoa học của Royal Holloway mà từng thấy tài liệu đó, nói cho Ars. “Vì họ có thể rõ ràng đã và đang không làm việc rất tốt trong việc ẩn dấu các thiết kế của họ”.
Hơn nữa, thực tế là các RNG yếu cực kỳ của Đài Loan đã vượt qua các qui trình kiểm tra tính hợp lệ khắt khe đang gây lo lắng. Một RNG mà chọn các số ban đầu theo các cách thức có thể đoán trước được là theo một số cách thức mà sự tương đương mật mã của một người hồ lì với chiếc dùi cui mà dàn xếp một bộ bài sao cho họ làm việc được theo cách thức mà đặt người đánh bạc ở vào sự yếu thế. Các RNG được triển khai đúng, ở mức độ mà phép ẩn dụ, giống như một nhà buôn mà hoàn toàn kéo lê cỗ bài, một hành động mà về lý thuyết gây ra khả năng mạnh rằng các con bài không bao giờ có và không bao giờ một lần nữa sẽ được sắp xếp theo trật tự chính xác y hệt.
Tóm tắt dòng dữ liệu dẫn tới sự tìm thừa số thành công của Thẻ Công dân Số được sử dụng ở Đài Loan.
Raising troubling questions about the reliability of government-mandated cryptography certifications used around the world, scientists have unearthed flaws in Taiwan's secure digital ID system that allow attackers to impersonate some citizens who rely on it to pay taxes, register cars, and file immigration papers.
The crippling weaknesses uncovered in the Taiwanese Citizen Digital Certificate program cast doubt that certifications designed to ensure cryptographic protections used by governments and other sensitive organizations can't be circumvented by adversaries, the scientists reported in a research paper scheduled to be presented later this year at the Asiacrypt 2013 conference in Bangalore, India. The flaws may highlight shortcomings in similar cryptographic systems used by other governments around the world since the vulnerable smartcards used in the Taiwanese program passed the FIPS 140-2 Level 2 and the Common Criteria standards. The certifications, managed by the National Institute of Standards and Technology (NIST) and its counterparts all over the world, impose a rigid set of requirements on all cryptographic hardware and software used by a raft of government agencies and contractors.
“Trivially broken keys”
The team of scientists uncovered what their paper called a "fatal flaw" in the hardware random number generator (RNG) used to ensure the numbers that form the raw materials of crypto keys aren't based on discernible patterns. Randomness is a crucial ingredient in ensuring adversaries can't break the cryptographic keys underpinning the smartcards issued to Taiwanese citizens.
Out of slightly more than 2 million 1024-bit RSA keys the researchers examined, an astonishing 184 keys were generated so poorly they could be broken in a matter of hours using known mathematical methods and standard computers to find the large prime numbers at their core. Had the keys been cre-ated correctly, breaking them so quickly would have required a large supercomputer or botnet. That even such a small percentage of keys were found to be so easily broken underscores the fragility of cryptographic protections millions of people increasingly rely on to shield their most intimate secrets and business-sensitive secrets.
"The findings are certainly significant for the citizens who have been issued flawed cards, since any attacker could impersonate them online, the research team wrote in an e-mail to Ars. "More broadly, our research should give pause to any of the many countries that are rolling out this kind of national public key infrastructure. These smart cards were certified to respected international standards of security, and errors led to them generating trivially broken cryptographic keys. If a technologically advanced government trying to follow best practices still has problems, who can get this right?"
Stacking the deck
The research is being published two weeks after documents leaked by former National Security Agency (NSA) contractor Edward Snowden outlined the covert hand intelligence agents have played in deliberately weakening international encryption standards. As a result, the NSA and its counterparts in the UK can most likely bypass many of the encryption technologies used on the Internet. Cryptographers involved in, and independent of, the research agreed that the weaknesses exposed in the paper were almost certainly the result of human error, rather than deliberate sabotage. They based that assessment on the observation that the predictable patterns caused by the malfunctioning PRNG were so easy to spot.
"Some of the primes discovered in this work are so obviously non-random that, if they were the result of deliberate weaknesses, then I'd be asking for my money back f-rom my three-letter agency," Kenneth G. Paterson, a Royal Holloway scientist who has seen the paper, told Ars. "Because they would clearly not have been doing a very good job in hiding their footprints."
Still, the fact that Taiwan's extremely weak RNGs passed stringent validation processes is troubling. An RNG that picks prime numbers in predictable ways is in some ways the cryptographic equivalent of a blackjack croupier who arranges a deck of cards so they're dealt in a way that puts the gambler at a disadvantage. Properly implemented RNGs, to extend the metaphor, are akin to a relief dealer who thoroughly shuffles the deck, an act that in theory results in the strong likelihood the cards never have and never again will be arranged in that exact same order.
Enlarge / A slide f-rom a recent presentation detailing the 119 primes shared among 103 of the weak cards used in Taiwan's Citizen Digital Certificate program.
There's no way to rule out the possibility that the NSA, or intelligence agencies f-rom other nation states, didn't already know about the vulnerability in Taiwan's crypto program or about programs in other countries that may suffer f-rom similar weaknesses. The inability of the certifications to spot the fatally flawed RNGs suggests the standards offer far less protection than many may think against subtle flaws that either were intentionally engineered by intelligence agencies or were exploited after being discovered by them.
The researchers began their project by examining almost 2.2 million of the Taiwanese digital certificates secured with 1024-bit keys (newer cards have 2048-bit RSA keys). By scanning for pairs of distinct numbers that shared a common mathematical divisor, they quickly identified 103 keys that shared prime numbers.
A little more than 100 keys that shared primes out of a pool of 2 million makes for an infinitesimally small minuscule percentage, but in the eye of a trained cryptographer, it flags a fatal error. When generating a 1024-bit RSA key, there are an almost incomprehensible 2502 prime numbers that can be picked to form its mathematical DNA, Mark Burnett, an IT security analyst and author, estimates. That's many orders of magnitude more than the 2266 atoms in the known universe. If all these primes are properly mixed up and evenly distributed in a large digital pot—as is supposed to happen when being processed by a correctly functioning RNG—no two primes should ever be picked twice. By definition a prime is a number greater than one that has no positive divisors other than 1 and itself.
Enlarge / A summary of the data flow leading to successful factorizations of the Digital Citizen Card used in Taiwan.
Bernstein, et al.
And yet, 103 of the keys flagged by the researchers factored into 119 primes. The anomaly was the first unambiguous sign that something horribly wrong had gone on during the key-generation process for the Taiwanese smartcards. But it wasn't the only indication of severe problems. The researchers sifted through the shared primes and noticed visible patterns of non-randomness that allowed them to factor an additional 81 keys, even though they didn't share primes. Once the primes are discovered, the underlying key is completely compromised. Anyone with knowledge of the primes can impersonate the legitimate card holder by forging the person's digital signature, reading their encrypted messages, and accessing any other privileges and capabilities afforded by the card.
Dịch: Lê Trung Nghĩa
Ý kiến bạn đọc
Những tin mới hơn
Những tin cũ hơn
Blog này được chuyển đổi từ http://blog.yahoo.com/letrungnghia trên Yahoo Blog sang sử dụng NukeViet sau khi Yahoo Blog đóng cửa tại Việt Nam ngày 17/01/2013.Kể từ ngày 07/02/2013, thông tin trên Blog được cập nhật tiếp tục trở lại với sự hỗ trợ kỹ thuật và đặt chỗ hosting của nhóm phát triển...