Badacze cyberbezpieczeństwa odkryli nową metodę kradzieży kluczy kryptograficznych w protokole Secure Shell (SSH), stwarzającą zagrożenie dla prywatności danych w milionach połączeń SSH używanych na całym świecie. Niniejsze badanie stanowi zwieńczenie 25 lat pracy ekspertów w tej dziedzinie.
Odkrycie, szczegółowo opisane w artykule naukowym, wskazuje na potencjalne luki w połączeniach SSH, które osoby atakujące mogą wykorzystać do przechwytywania danych między serwerami korporacyjnymi a klientami zdalnymi.
Kluczowym elementem luki jest wykorzystanie niewielkich błędów obliczeniowych występujących podczas procesu nawiązywania połączenia SSH, zwanego „uzgadnianiem”. Luka ta ogranicza się do szyfrowania RSA, z którego mimo wszystko korzysta około jedna trzecia analizowanych stron internetowych. Z około 3,5 miliarda podpisów cyfrowych przeanalizowanych w publicznych witrynach internetowych w ciągu ostatnich 7 lat około miliarda korzystało z szyfrowania RSA. W tej grupie około jedna na milion implementacji była narażona na ujawnienie kluczy SSH.
„Według naszych danych około jeden na milion podpisów SSH ujawnia klucz prywatny hosta SSH. Choć jest to rzadkie zjawisko, skala ruchu internetowego wskazuje, że podobne awarie RSA w SSH zdarzają się regularnie” – powiedział Keegan Ryan, współautor badania.
Zagrożenie, jakie stwarza nowa metoda kradzieży kluczy kryptograficznych, nie ogranicza się do protokołu SSH. Obejmuje również połączenia IPsec powszechnie używane w sieciach korporacyjnych i prywatnych, w tym usługi VPN. Stanowi to znaczne ryzyko dla firm i osób fizycznych, które polegają na sieciach VPN w celu ochrony swoich danych i zachowania anonimowości w Internecie.
Badanie zatytułowane Passive SSH Key Compromise via Lattices przygląda się bliżej sposobom wykorzystania technik kryptograficznych opartych na sieciach do pasywnego wydobywania kluczy RSA. Jest to możliwe nawet w przypadku pojedynczego nieprawidłowego podpisu utworzonego przy użyciu standardu PKCS#1 v1.5. Podejście to, opisane przez badaczy, umożliwia penetrację protokołów SSH i IPsec, rodząc pytania o niezawodność tych powszechnie stosowanych metod ochrony transmisji danych.
Luka jest wyzwalana w przypadku wystąpienia błędu spowodowanego przez człowieka lub przypadkowego podczas procesu uzgadniania. Osoby atakujące mogą przechwycić błędny podpis i porównać go z prawidłowym, korzystając z operacji największego wspólnego dzielnika w celu wyodrębnienia jednej z liczb pierwszych tworzących klucz. Jednak w tym ataku wykorzystuje się metodę opartą na kryptografii opartej na sieciach.
Po zdobyciu klucza napastnicy mogą przeprowadzić atak typu man-in-the-middle (MITM), podczas którego serwer kontrolowany przez hakera wykorzystuje skradziony klucz do imitowania zaatakowanego serwera. W ten sposób przechwytują przychodzące żądania SSH i odpowiadają na nie, co ułatwia kradzież danych uwierzytelniających użytkownika i innych informacji. To samo zagrożenie istnieje dla ruchu IPsec, jeśli klucz zostanie naruszony.
Szczególnie narażone były urządzenia czterech producentów: Cisco, Zyxel, Hillstone Networks i Mocana. Naukowcy ostrzegli producentów o błędach w zakresie bezpieczeństwa przed opublikowaniem wyników badania. Cisco i Zyxel zareagowały natychmiast, natomiast Hillstone Networks odpowiedziało po publikacji.
Niedawne ulepszenia protokołu Transport Layer Security (TLS) zwiększyły jego odporność na takie ataki. Ryan twierdzi, że podobne środki należy wdrożyć w innych bezpiecznych protokołach, zwłaszcza w SSH i IPsec, ze względu na ich szerokie zastosowanie. Jednak pomimo powagi zagrożenia prawdopodobieństwo, że jakikolwiek indywidualny użytkownik stanie się ofiarą takich ataków, pozostaje stosunkowo niewielkie.
