Bleichenbacher s tužkou a papírem falšuje digitální podpisy RSA, OpenSSL náchylné
06.09.2006Jedná se o ve?ejný exponent 3 (který se ješt? dnes leckde používá, i když už z?ídka) a podpis pomocí RSA s formátem podle PKCS#1 ver.1.5 (ten je také leckde, i když by se už používat dávno nem?l). Daniel Bleichenbacher prezentoval útok na Rump session na CRYPTO 2006. Myšlenka je geniáln? jednoduchá.
Využívá implementa?ní chyby, když se na stran? p?íjemce p?i verifikaci podpisu (po umocn?ní na t?etí) kontroluje formát p?ijatých dat Ten má mít tvar
00 01 FF FF FF ... FF 00 ASN.1 HASH, kde
HASH je haš podepsaných dat
ASN.1 je zvláštní ?et?zec, pevné délky a pevného obsahu, související s kódováním p?edchozí položky do formátu ASN.1
00 01 FF FF FF ... FF 00 je dopln?ní do délky modulu bajtem nula, pot?ebným po?tem bajt? FF, bajtem 1 a bajtem 0
Implementa?ní chyba spo?ívá v tom, že programáto?i odstraní dopln?ní 00 01 a pak všechny bajty FF a bajt nula a poté za?ínají parserovat to, co je za bajtem nula jako by to byl ASN.1 ?et?zec. Nekontrolují délku ?et?zce bajt? FF ani délku ?et?zce HASH. Protože ASN.1 ?et?zec obsahuje na za?átku svoji délku, m?že takové parserování p?ipustit i mén? bajt? FF na za?átku a jakýkoliv obsah na konci (Garbage), tj. zprávu tohoto formátu:
00 01 FF FF ... FF 00 ASN.1 HASH GARBAGE
V ?íslech tohoto typu lze najít pomocí st?edoškolské matematiky a tužky a papíru t?etí mocniny pro vhodný modul N, takže potom jejich t?etí odmocniny jsou platné (ale zfalšované) podpisy.
OpenSSL je náchylné na tento útok, viz uvedený link.
Doporu?uje se zaktualizovat : http://www.openssl.org/source/
Zdroj: http://www.openssl.org/news/secadv_20060905.txtAutor: VK
Heuristické vyhledání souvisejících článků v archívu NEWS
Pozor - není zdaleka přesné a výsledek je bez záruky...
Chcete-li článek obsahující konkrétní termín - pou·ijte funkci
vyhledávání !