Marvin Attack, un attacco di cracking RSA basato sul tempo
Nel corso dell’ESORICS 2023 (European Symposium on Computer Security Research) tenutosi dal 25 al 29 settembre nei Paesi Bassi, un ricercatore di sicurezza di Red Hat ha presentato “Marvin Attack“, un attacco che consente di determinare i dati originali misurando i ritardi durante la decrittazione operazioni basate sull’algoritmo RSA.
Il Marvin Attack (Attacco Marvin) è una variante del metodo Bleichenbacher, proposto nel 1998, e continua lo sviluppo degli attacchi ROBOT e New CAT pubblicati nel 2017 e 2019.
L’attacco Marvin è il ritorno di una vulnerabilità vecchia di 25 anni che consente di eseguire operazioni di firma RSA e decrittografia da parte di un utente malintenzionato con la possibilità di osservare solo l’ora dell’operazione di decrittografia eseguita con la chiave privata.
Nel 1998, Daniel Bleichenbacher scoprì che i messaggi di errore forniti dai server SSL per errori nel riempimento PKCS #1 v1.5 abilitavano un attacco al testo cifrato scelto in modo adattivo; Questo attacco viola completamente la riservatezza di TLS se utilizzato con la crittografia RSA. Nel 2018 Hanno Böck, Juraj Somorovsky e Craig Young hanno dimostrato, 19 anni dopo, che molti server Internet erano ancora vulnerabili a leggere varianti dell’attacco originale.
Per cuorisità, se volete sapere chi è Marvin allora cliccate questo link.
Fondamentalmente si dice che l’essenza del metodo è che un utente malintenzionato, in base alle diverse reazioni del server e ai diversi tempi di esecuzione, può separare i blocchi Oracle corretti da quelli errati aggiunti con lo standard PKCS #1 v1.5 per allineare i dati crittografati lungo il confine del blocco. Manipolando le informazioni sulla correttezza dei blocchi di riempimento, un utente malintenzionato può utilizzare la forza bruta per ricreare un testo cifrato adeguato.
In questo caso l’attacco non recupera direttamente la chiave privata ma si limita a decriptare il testo cifrato o a generare un falso messaggio firmato. Per effettuare un attacco con successo è necessario inviare un volume molto elevato di messaggi di prova da decrittografare.
L’utilizzo di un attacco contro server TLS che utilizzano la crittografia basata su chiave RSA consente all’autore dell’attacco di archiviare passivamente il traffico intercettato e quindi di decrittografarlo. Per i server che supportano PFS, sferrare un attacco diventa molto più difficile e il successo dipende dalla rapidità con cui viene effettuato l’attacco.
Inoltre, il metodo consente di generare una firma digitale fittizia che verifica il contenuto dei messaggi TLS 1.2 ServerKeyExchange o TLS 1.3 CertificateVerify trasmessi nella fase di scambio delle chiavi, che può essere utilizzata per eseguire attacchi MITM per intercettare la connessione TLS tra il client e il server.
Si dice che il metodo Marvin altro non è che un miglioramento della tecnologia per separare i dati incrementali corretti ed errati, filtrando i falsi positivi, determinando in modo più accurato i ritardi di calcolo e utilizzando canali aggiuntivi di terze parti durante la misurazione.
In pratica, il metodo proposto consente di decriptare il traffico o generare firme digitali senza conoscere la chiave RSA privata. Per testare l’applicabilità dell’attacco sono stati pubblicati uno script speciale per il controllo dei server TLS e strumenti per l’identificazione dei problemi nelle librerie crittografiche.
Il problema riguarda diverse implementazioni di protocolli che utilizzano RSA e PKCS. Sebbene le moderne librerie crittografiche contengano una certa protezione contro gli attacchi basati sul metodo Bleichenbacher, lo studio ha rivelato che le librerie hanno canali di fuga aperti e non forniscono un tempo di elaborazione costante per i pacchetti con riempimento corretto ed errato. Ad esempio, l’implementazione dell’attacco GnuTLS da parte di Marvin non è legata al codice che esegue direttamente i calcoli relativi a RSA, ma utilizza piuttosto tempi di esecuzione diversi per il codice che decide se visualizzare un particolare messaggio di errore.
L’autore dello studio ritiene inoltre che la classe di vulnerabilità considerata non si limiti all’RSA e possa interessare molti altri algoritmi crittografici che dipendono da librerie standard per i calcoli degli interi.
Per confermare la possibilità di realizzare nella pratica il Marvin Attack, il ricercatore ha dimostrato l’applicabilità del metodo ad applicazioni basate sulle librerie M2Crypto e pyca/cryptography, in cui sono bastate poche ore per compromettere la crittografia, conducendo un esperimento su un portatile di media potenza di elaborazione.
Infine, se siete interessati a saperne di più, potete consultare i dettagli nel seguente link.
Fonte: https://blog.desdelinux.net/marvin-attack-un-ataque-para-descifrar-rsa-basado-en-el-tiempo/
Se vuoi sostenerci, puoi farlo acquistando qualsiasi cosa dai diversi link di affiliazione che abbiamo nel nostro sito o partendo da qui oppure alcune di queste distribuzioni GNU/Linux che sono disponibili sul nostro negozio online, quelle mancanti possono essere comunque richieste, e su cui trovi anche PC, NAS e il ns ServerOne. Se ti senti generoso, puoi anche donarmi solo 1€ o più se vuoi con PayPal e aiutarmi a continuare a pubblicare più contenuti come questo. Grazie!
Hai dubbi o problemi? Ti aiutiamo noi!
Se vuoi rimanere sempre aggiornato, iscriviti al nostro canale Telegram.Se vuoi ricevere supporto per qualsiasi dubbio o problema, iscriviti alla nostra community Facebook o gruppo Telegram.
Cosa ne pensi? Fateci sapere i vostri pensieri nei commenti qui sotto.
Ti piace quello che leggi? Per favore condividilo con gli altri.
