Lek in processoren gevaar voor encryptiesleutels
Onderzoekers hebben een ernstig beveiligingslek in microprocessoren ontdekt waardoor een 512-bit encryptiesleutel binnen milliseconden gekraakt kan worden. Via een techniek genaamd Branch Prediction Analysis (PBA), waren voorheen vele pogingen nodig om een sleutel te kraken. De grootste publieke sleutel die vandaag de dag gekraakt is, bestond uit 640-bits. Tachtig processoren van 2,2 Ghz hadden drie maanden nodig om de sleutel te kraken.
Het team van de Duitse cryptoloog Jean-Pierre Seifert is er nu in geslaagd om een soortgelijk resultaat in één poging te halen. De chips zijn kwetsbaar door de manier waarop ze gefabriceerd worden om sneller gegevens te verwerken. "Beveiliging is opgeofferd voor prestaties" aldus Seifert, die zijn bevindingen begin 2007 tijdens een RSA conferentie zal onthullen.
Het succes van Seifert komt doordat het "proces van voorspellen", wat fundamenteel is voor de prestaties van de processor, niet beveiligd is. Dit maakt PBA een stuk praktischer en gevaarlijker. Seifert zal geen tool publiceren om de aanval uit te voeren, maar hij verwacht dat als de manier bekend is, de software om dit te doen binnen een aantal weken beschikbaar zal zijn.
De enige manier om processoren te beveiligen is het versleutelen van de voorspellingsmodule, iets wat een processor vier keer langzamer zou maken. Volgens Intel kan het onderzoek dan ook vergaande gevolgen hebben.
Reacties (14)
19-11-2006, 14:00 door
[Account Verwijderd]
[Verwijderd]
19-11-2006, 15:41 door
extranion
bablefish ? :P
Het komt er op neer dat de hedendaagse computers op geen
enkele wijze geengineerd zijn voor het secure verwerken van
data. Dat is iets dat iedereen in de security gemeenschap
eigenlijk wel weet, en dat is iets dat discussies als
Windows vs. Linux eigenlijk overbodig maakt. Dit soort
onderzoek toont aan dat we gewoon geen idee hebben hoe we
secure data kunnen processen.
enkele wijze geengineerd zijn voor het secure verwerken van
data. Dat is iets dat iedereen in de security gemeenschap
eigenlijk wel weet, en dat is iets dat discussies als
Windows vs. Linux eigenlijk overbodig maakt. Dit soort
onderzoek toont aan dat we gewoon geen idee hebben hoe we
secure data kunnen processen.
19-11-2006, 21:30 door
X10
Door rookie
Wie kan er Frans?
Het stukje van de redactie van Security.nl is een goedeWie kan er Frans?
samenvatting van het stuk. Intel was onbereikbaar voor
commentaar, en een Leuvense deskundige, Quisquater, zegt dat
de enige oplossing is om speciale crypto-hardware te
gebruiken ipv de gewone processor.
Ik denk dus dat gebruik van tokens en smartcards die zelf
keys genereren een oplossing is, althans als die niet de
beveiliging hebben opgeofferd aan de performance.
19-11-2006, 23:00 door
Martijn Brinkers
Voor de duidelijkheid, het is niet zo dat het nu mogelijk is
om RSA keys sneller te kraken als je geen toegang hebt tot
de processor waar op dat moment iets wordt onsleuteld met de
prive sleutel. De attack is een zgn “side-channel attack”
en je moet dus wel toegang hebben tot de processor die met
de private key iets aan het ontsleutelen is.
http://eprint.iacr.org/2006/351
om RSA keys sneller te kraken als je geen toegang hebt tot
de processor waar op dat moment iets wordt onsleuteld met de
prive sleutel. De attack is een zgn “side-channel attack”
en je moet dus wel toegang hebben tot de processor die met
de private key iets aan het ontsleutelen is.
We prove that a carefully written spy-process
running simultaneously with an RSA-process, is able to
collect during one RSA signing execution almost all of the
secret key bits
running simultaneously with an RSA-process, is able to
collect during one RSA signing execution almost all of the
secret key bits
http://eprint.iacr.org/2006/351
Bedankt! Scheelt mij weer zoekwerk.
20-11-2006, 10:14 door
fd0
Door rookie
Wie kan er Frans?
Bouwer? Lange?Wie kan er Frans?
:-)
Betekend dit nu ook dat dingen zoals Bitlocker in een paar
seconden/uren/weken kunnen worden gekraakt? Of
DriveEncryption in z'n geheel, staat dat nu op losse
schroeven. Ik was van plan om hier op het werk onze
fileserver met dm-crypt te gaan encrypten, vooral omdat wij
met informatie werken waarin de overheid wel eens
geinteresseerd zou kunnen zijn. Maar als blijkt dat
encryptie ervan toch zo omzeild kan worden dan ga ik er niet
aan beginnen!
Rens
seconden/uren/weken kunnen worden gekraakt? Of
DriveEncryption in z'n geheel, staat dat nu op losse
schroeven. Ik was van plan om hier op het werk onze
fileserver met dm-crypt te gaan encrypten, vooral omdat wij
met informatie werken waarin de overheid wel eens
geinteresseerd zou kunnen zijn. Maar als blijkt dat
encryptie ervan toch zo omzeild kan worden dan ga ik er niet
aan beginnen!
Rens
20-11-2006, 11:35 door
X10
Overigens, als de hacker toegang heeft tot je processor, dan
hebben ze in de meeste gevallen toch ook al toegang tot de
opslag van je private key's. Die zijn weliswaar versleuteld
en omslachtig en beveiligd opgeslagen, maar als je weet hoe
dat werkt dan is de key te achterhalen.
hebben ze in de meeste gevallen toch ook al toegang tot de
opslag van je private key's. Die zijn weliswaar versleuteld
en omslachtig en beveiligd opgeslagen, maar als je weet hoe
dat werkt dan is de key te achterhalen.
De vertaling:
Het vertrouwen dat Internet gebruikers in hun systemen
hebben gehad om gegevens te beveiligen is altijd relatief
geweest. Het vertrouwen zou nu wel eens volledig kunnen
verdwijnen als de microprocessor industrie en de
leveranciers van encryptie software geen antwoord vindt op
een nieuwe soort aanval, die ontzettend efficient is. Deze
aanval werd ontdenkt door de Duitse cryptoloog Jean-Pierre
Seifert (van de universiteit van Haïfa en Innsbruck).
E-commerce is door deze ontdekking bedreigt maar in het het
algemeen is elke uitwisseling van gegevens die gebruik maakt
van asymetrische codes voor het versleutelen, handtekenen of
garanderen van de numerieke integriteit bedreigt.
In het nog confidentiële artikel, bespreekt de onderzoeker
en zijn collega's de wijze waarop ze met één poging, in
enkele milliseconden bijna de volledige encryptiesleutel van
512 bits hebben kunnen achterhalen. Ter vergelijking, de
grootste sleutel die tot nu toe gekraakt is was 640 bits en
heeft gedurende 3 maanden 80 microprocessoren van 2,2 GHz
beziggehouden. (Bekend gemaakt in november 2005)
Sinds de bekendmaking deze zomer op de server van het IACR
(International Association for Cryptology Research) over de
theoretische haalbaarheid van zo een aanval lopen de
microprocessor producenten op hun tandvlees. Bijna alle
chips in de quasi-totaliteit van het IT park zijn kwetsbaar.
Het gaat zelfs zover dat het hoofd veiligheid van van Intel,
wereldwijde nummer 1 in microprocessoren, laten medelen
heeft dat hij onbereikbaar is gedurenden meerdere weken. Het
is zo dat eventuele aanvallen niet kunnen afgeweerd worden
op klassieke systemen met het verlengen van de publieke
sleutels.
Jean-Pierre Seifert heeft de zaak anders aangepakt. De
robuustheid van de sleutels was te groot om het probleem
wiskundig aan te pakken en zo de geheime private sleutel te
achterhalen vertrekkende van de publieke sleutel.
Hij is gaan onderzoeken hoe de microprossesor de intern de
geheime data leest. Hij vond dat de modus operandi de zelfde
was als die van de chips maar geoptimaliseerd was voor
snelle berekeningen. Dit is wat de zaak kwetsbaar maakt, de
veiligheid is opgeofferd voor de performantie.
Samengevat komt het hierop neer: Om sneller te gaan
functioneert de processor in parralel en beschikt hij over
een voorspellend systeem voor de operatie die behandeld
wordt. Als de voorspelling correct is wordt het proces
gevoelig verhoogd, als ze fout is wordt de elementaire
operatie opnieuw uitgevoerd. Het "volstaat" te meten hoeveel
tijd er verstrijkt tussen de verwerking van de serie nullen
en eenen waaruit de versleuteling bestaat en de voorspelling.
Deze bedreiging die de naam van "Branch Prediction Analysis"
(BPA) draagt was reeds gekend maar vroeg tot nu toe
meerdere pogingen om statistich de sleutel te achterhalen.
Hier door was deze techniek in praktijk niet bruikbaar. De
doorbraak van Jean-Pierre Seifert bestaat er in dat er maar
eenmaal een analyse nodig is. De kracht van de techniek
bestaat uit het feit dat het voorspellende proces,
oorspronkelijk om de zaak te versnellen, niet beschermd is.
Een klein "mol-programma" zou dus eventueel in alle
discretie kunnen luisteren naar de chips, en de sleutel
terugzenden naar de hackers, de inlichtingen diensten of
spionnen in dienst van de concurrentie.
We zijn nog niet helemaal aan dat scenario toe. "We hebben
nog geen ontcijferingsprogramme ontwikkeld dat online
beschikbaar is) verdedigd Jean-Pierre Seifert zich.
Maar hij schat wel dat wanneer hij begin 2007 op de volgende
RSA conferentie zijn methode bekend maakt zulke programma's
in de daaropvolgende weken zullen opduiken.
De cryptologie specialisten zijn het er over eens dat dit
een serieuze bedreiging is. Anoniem heeft een van de
wereldwijde specialisten op het vlak van publieke encryptie
toegegeven dat de enige oplossing is de conceptie van onze
microprocessoren opnieuw moet bekeken worden. Een tijdelijke
oplossing is dat men er voor zorgt dat gevoelige
toepassingen niet in parallel draaien met standaard
operaties op een zelfde systeem. Dit is eenvoudiger gezegd
dan gedaan in een standaard werkomgeving. Het blijven
trouwens maar halve oplossingen die daarbij nog is de
systemen vertragen.
Jean-Jacques Quisquater (Katholieke Universiteit Leuven,
België) herinnert er aan dat de Amerikaanse militaire normen
al enige tijd het probleem met de analyse op
berekeningstijd onderkennen. Volgens hem is men de toekomst
uitgerust met speciale processoren die gespecialiseerd zijn
in security functies. "Maar dat zal nog enkele jaren
duren", merkt hij op.
"We weten goed dat de undefinedundefined niet erg
betrouwbaar zijn, dat de cryptologische operaties uitgevoerd
met een specifieke module in een beschermde ruimte langs de
serverzijde", beaamt Jacques Stern, directeur van het
informatica labo van de hoge school van Parijs. Een
preventie die voor de doorsnee internaut onhaalbaar is.
David Naccache (van de université Paris-II) erkent '"er is
geen openhartoperatie mogelijk" : Aan de module van het
voorspellend systeem komen zal ander essentiële functies
beïnvloeden.
Op de eerste plaats wenst Intel kort en bondig te reageren
met het feit dat de volgende versie van OpenSSL, een open
source pakket voor de beveiliging van gegevens de bedreiging
zal beantwoorden door de voorspellende module
uitteschakelen. Dit zou de processor 4 maal vertragen zegt
Jean-Pierre Seifert, en bewijst hoe hopeloos Intel is.
Jean-Pierre Seifert is zelf een oud-medewerker van Intel en
diens concurrent Infineon, en werkt als academicus. Hij
zoekt momenteel naar een oplossing voor het probleem dat hij
ontdekt heeft en hij zegt dat het wel enige tijd zalduren
alvorens die gevonden is.
Zeker is dat het aantal hacking scenario's enorm is en dat
een eenvoudige patch hier geen soelaas kan bieden.
-----------------
Ik heb het zo goed vertaald als ik kon, meer kan ik niet doen.
Het vertrouwen dat Internet gebruikers in hun systemen
hebben gehad om gegevens te beveiligen is altijd relatief
geweest. Het vertrouwen zou nu wel eens volledig kunnen
verdwijnen als de microprocessor industrie en de
leveranciers van encryptie software geen antwoord vindt op
een nieuwe soort aanval, die ontzettend efficient is. Deze
aanval werd ontdenkt door de Duitse cryptoloog Jean-Pierre
Seifert (van de universiteit van Haïfa en Innsbruck).
E-commerce is door deze ontdekking bedreigt maar in het het
algemeen is elke uitwisseling van gegevens die gebruik maakt
van asymetrische codes voor het versleutelen, handtekenen of
garanderen van de numerieke integriteit bedreigt.
In het nog confidentiële artikel, bespreekt de onderzoeker
en zijn collega's de wijze waarop ze met één poging, in
enkele milliseconden bijna de volledige encryptiesleutel van
512 bits hebben kunnen achterhalen. Ter vergelijking, de
grootste sleutel die tot nu toe gekraakt is was 640 bits en
heeft gedurende 3 maanden 80 microprocessoren van 2,2 GHz
beziggehouden. (Bekend gemaakt in november 2005)
Sinds de bekendmaking deze zomer op de server van het IACR
(International Association for Cryptology Research) over de
theoretische haalbaarheid van zo een aanval lopen de
microprocessor producenten op hun tandvlees. Bijna alle
chips in de quasi-totaliteit van het IT park zijn kwetsbaar.
Het gaat zelfs zover dat het hoofd veiligheid van van Intel,
wereldwijde nummer 1 in microprocessoren, laten medelen
heeft dat hij onbereikbaar is gedurenden meerdere weken. Het
is zo dat eventuele aanvallen niet kunnen afgeweerd worden
op klassieke systemen met het verlengen van de publieke
sleutels.
Jean-Pierre Seifert heeft de zaak anders aangepakt. De
robuustheid van de sleutels was te groot om het probleem
wiskundig aan te pakken en zo de geheime private sleutel te
achterhalen vertrekkende van de publieke sleutel.
Hij is gaan onderzoeken hoe de microprossesor de intern de
geheime data leest. Hij vond dat de modus operandi de zelfde
was als die van de chips maar geoptimaliseerd was voor
snelle berekeningen. Dit is wat de zaak kwetsbaar maakt, de
veiligheid is opgeofferd voor de performantie.
Samengevat komt het hierop neer: Om sneller te gaan
functioneert de processor in parralel en beschikt hij over
een voorspellend systeem voor de operatie die behandeld
wordt. Als de voorspelling correct is wordt het proces
gevoelig verhoogd, als ze fout is wordt de elementaire
operatie opnieuw uitgevoerd. Het "volstaat" te meten hoeveel
tijd er verstrijkt tussen de verwerking van de serie nullen
en eenen waaruit de versleuteling bestaat en de voorspelling.
Deze bedreiging die de naam van "Branch Prediction Analysis"
(BPA) draagt was reeds gekend maar vroeg tot nu toe
meerdere pogingen om statistich de sleutel te achterhalen.
Hier door was deze techniek in praktijk niet bruikbaar. De
doorbraak van Jean-Pierre Seifert bestaat er in dat er maar
eenmaal een analyse nodig is. De kracht van de techniek
bestaat uit het feit dat het voorspellende proces,
oorspronkelijk om de zaak te versnellen, niet beschermd is.
Een klein "mol-programma" zou dus eventueel in alle
discretie kunnen luisteren naar de chips, en de sleutel
terugzenden naar de hackers, de inlichtingen diensten of
spionnen in dienst van de concurrentie.
We zijn nog niet helemaal aan dat scenario toe. "We hebben
nog geen ontcijferingsprogramme ontwikkeld dat online
beschikbaar is) verdedigd Jean-Pierre Seifert zich.
Maar hij schat wel dat wanneer hij begin 2007 op de volgende
RSA conferentie zijn methode bekend maakt zulke programma's
in de daaropvolgende weken zullen opduiken.
De cryptologie specialisten zijn het er over eens dat dit
een serieuze bedreiging is. Anoniem heeft een van de
wereldwijde specialisten op het vlak van publieke encryptie
toegegeven dat de enige oplossing is de conceptie van onze
microprocessoren opnieuw moet bekeken worden. Een tijdelijke
oplossing is dat men er voor zorgt dat gevoelige
toepassingen niet in parallel draaien met standaard
operaties op een zelfde systeem. Dit is eenvoudiger gezegd
dan gedaan in een standaard werkomgeving. Het blijven
trouwens maar halve oplossingen die daarbij nog is de
systemen vertragen.
Jean-Jacques Quisquater (Katholieke Universiteit Leuven,
België) herinnert er aan dat de Amerikaanse militaire normen
al enige tijd het probleem met de analyse op
berekeningstijd onderkennen. Volgens hem is men de toekomst
uitgerust met speciale processoren die gespecialiseerd zijn
in security functies. "Maar dat zal nog enkele jaren
duren", merkt hij op.
"We weten goed dat de undefinedundefined niet erg
betrouwbaar zijn, dat de cryptologische operaties uitgevoerd
met een specifieke module in een beschermde ruimte langs de
serverzijde", beaamt Jacques Stern, directeur van het
informatica labo van de hoge school van Parijs. Een
preventie die voor de doorsnee internaut onhaalbaar is.
David Naccache (van de université Paris-II) erkent '"er is
geen openhartoperatie mogelijk" : Aan de module van het
voorspellend systeem komen zal ander essentiële functies
beïnvloeden.
Op de eerste plaats wenst Intel kort en bondig te reageren
met het feit dat de volgende versie van OpenSSL, een open
source pakket voor de beveiliging van gegevens de bedreiging
zal beantwoorden door de voorspellende module
uitteschakelen. Dit zou de processor 4 maal vertragen zegt
Jean-Pierre Seifert, en bewijst hoe hopeloos Intel is.
Jean-Pierre Seifert is zelf een oud-medewerker van Intel en
diens concurrent Infineon, en werkt als academicus. Hij
zoekt momenteel naar een oplossing voor het probleem dat hij
ontdekt heeft en hij zegt dat het wel enige tijd zalduren
alvorens die gevonden is.
Zeker is dat het aantal hacking scenario's enorm is en dat
een eenvoudige patch hier geen soelaas kan bieden.
-----------------
Ik heb het zo goed vertaald als ik kon, meer kan ik niet doen.
hoe zit het met het updaten van de microcode van de cpu
tijdens booten ? Intel kan zo een patch (workaround) uitbrengen.
tijdens booten ? Intel kan zo een patch (workaround) uitbrengen.
Wel jammer dat ze niet meer geavanceerde info kunnen geven.Maar wel
intresant om meer over te lezen over het kraken van crypto.
http://cryptome.org/sbpa/sbpa.htm
intresant om meer over te lezen over het kraken van crypto.
http://cryptome.org/sbpa/sbpa.htm
21-11-2006, 10:55 door
SirDice
Door Anoniem
Betekend dit nu ook dat dingen zoals Bitlocker in een paar
seconden/uren/weken kunnen worden gekraakt? Of
DriveEncryption in z'n geheel, staat dat nu op losse
schroeven. Ik was van plan om hier op het werk onze
fileserver met dm-crypt te gaan encrypten, vooral omdat wij
met informatie werken waarin de overheid wel eens
geinteresseerd zou kunnen zijn. Maar als blijkt dat
encryptie ervan toch zo omzeild kan worden dan ga ik er niet
aan beginnen!
Rens
Ben je bang dat ze je fileserver stelen?Betekend dit nu ook dat dingen zoals Bitlocker in een paar
seconden/uren/weken kunnen worden gekraakt? Of
DriveEncryption in z'n geheel, staat dat nu op losse
schroeven. Ik was van plan om hier op het werk onze
fileserver met dm-crypt te gaan encrypten, vooral omdat wij
met informatie werken waarin de overheid wel eens
geinteresseerd zou kunnen zijn. Maar als blijkt dat
encryptie ervan toch zo omzeild kan worden dan ga ik er niet
aan beginnen!
Rens
Ja, ik ben bang dat ze m'n fileserver stelen, en daar hebben
we hier goede reden toe. Laten we zeggen dat er wel meer
rare dingen gebeuren die het grote publiek niet te weten
komt. Wij slaan hier o.a. biometrische gegevens op. Nu zijn
er wel strange beveiligings procedures maar encryptie is
daar (nog) niet een van. Dus wellicht dat iemand serieus op
mijn vraag kan reageren,, breekt deze methode ook sleutels
van b.v Twofish om data on disk te beveiligen?
we hier goede reden toe. Laten we zeggen dat er wel meer
rare dingen gebeuren die het grote publiek niet te weten
komt. Wij slaan hier o.a. biometrische gegevens op. Nu zijn
er wel strange beveiligings procedures maar encryptie is
daar (nog) niet een van. Dus wellicht dat iemand serieus op
mijn vraag kan reageren,, breekt deze methode ook sleutels
van b.v Twofish om data on disk te beveiligen?
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
