Kaip kriptografiniai orakulai yra pažeidžiami dėl „Oracle“ atakų?

Kaip kriptografiniai orakulai yra pažeidžiami dėl „Oracle“ atakų?
Tokie skaitytojai kaip jūs padeda palaikyti MUO. Kai perkate naudodami nuorodas mūsų svetainėje, galime uždirbti filialų komisinius. Skaityti daugiau.

Ar užpuolikas gali iššifruoti ir užšifruoti jūsų programos duomenis, nežinodamas iššifravimo raktų? Atsakymas yra taip, ir jis slypi kriptografinėje ydoje, vadinamoje šifravimo orakulu.





kaip pridėti ką nors prie „whatsapp“
MUO dienos vaizdo įrašas SLĖKITE, KAD TĘSITE SU TURINIU

Šifravimo orakulai yra potencialūs vartai užpuolikams rinkti informaciją apie užšifruotus duomenis, be tiesioginės prieigos prie šifravimo rakto. Taigi, kaip užpuolikai gali išnaudoti kriptografinius orakulus taikydami tokius metodus kaip užpildymo orakulų atakos? Kaip galite neleisti, kad tokie pažeidžiamumai jus paveiktų?



Kas yra kriptografinis orakulas?

Šifravimas yra saugos protokolas kuriame paprastas tekstas arba duomenys konvertuojami į neįskaitomą koduotą formatą, dar vadinamą šifruotu tekstu, siekiant apsaugoti jo konfidencialumą ir užtikrinti, kad juos galėtų pasiekti tik įgaliotosios šalys, turėdamos iššifravimo raktą. Yra dviejų tipų šifravimas: asimetrinis ir simetriškas.





Asimetriniam šifravimui šifravimui ir iššifravimui naudojama pora skirtingų raktų (viešųjų ir privačių), o simetriniam šifravimui naudojamas vienas bendrai naudojamas raktas šifravimui ir iššifravimui. Galite užšifruoti beveik viską, tekstinius pranešimus, el. laiškus, failus, žiniatinklio srautą ir kt.

Kita vertus, orakulas yra priemonė, per kurią žmogus paprastai gauna informaciją, kuri paprastai nebūtų prieinama paprastiems vyrams. Pagalvokite apie orakulą kaip apie specialią dėžę, kai ką nors praleidžiate, ir tai duoda jums rezultatą. Jūs nežinote dėžutės turinio, bet žinote, kad ji veikia.



Kriptografinis orakulas, taip pat žinomas kaip užpildymo orakulas, yra kriptografijos sąvoka, nurodanti sistemą arba subjektą, galintį teikti informaciją apie užšifruotus duomenis neatskleisdama šifravimo rakto. Iš esmės tai yra būdas sąveikauti su šifravimo sistema, siekiant įgyti žinių apie užšifruotus duomenis, neturint tiesioginės prieigos prie šifravimo rakto.

Kriptografinis orakulas susideda iš dviejų dalių: užklausos ir atsakymo. Užklausa reiškia veiksmą, kai orakului suteikiamas šifruotas tekstas (šifruoti duomenys), o atsakymas yra grįžtamasis ryšys arba informacija, kurią orakulas pateikia remdamasis šifruoto teksto analize. Tai gali apimti jo galiojimo patikrinimą arba informacijos apie atitinkamą paprastą tekstą atskleidimą, galimą pagalbą užpuolikui iššifruoti užšifruotus duomenis ir atvirkščiai.



Kaip veikia „Oracle Attacks“ užpildymas?

žmogus su gobtuvu žiūri į žalią kodą kompiuterio ekrane

Vienas iš pagrindinių būdų, kaip užpuolikai išnaudoja kriptografinius orakulus, yra užpildymo orakulų ataka. Padding Oracle ataka yra kriptografinė ataka, kuri išnaudoja šifravimo sistemos ar paslaugos elgseną, kai atskleidžia informaciją apie užpildymo teisingumą šifruotame tekste.

Kad tai įvyktų, užpuolikas turi atrasti trūkumą, atskleidžiantį kriptografinį orakulą, tada nusiųsti į jį pakeistą šifruotą tekstą ir stebėti orakulo atsakymus. Analizuodamas šiuos atsakymus, užpuolikas gali gauti informaciją apie paprastą tekstą, pvz., jo turinį ar ilgį, net neturėdamas prieigos prie šifravimo rakto. Užpuolikas pakartotinai atspės ir keis šifruoto teksto dalis, kol atkurs visą paprastą tekstą.



Realiame scenarijuje užpuolikas gali įtarti, kad internetinės bankininkystės programa, kuri šifruoja vartotojo duomenis, gali turėti užpildymo orakulo pažeidžiamumą. Užpuolikas perima teisėto vartotojo užšifruotą operacijos užklausą, ją modifikuoja ir siunčia į programos serverį. Jei serveris į modifikuotą šifruotą tekstą reaguoja kitaip – ​​dėl klaidų arba per laiką, kurio reikia užklausai apdoroti, tai gali reikšti pažeidžiamumą.

Tada užpuolikas ja išnaudoja kruopščiai parengtas užklausas, galiausiai iššifruodamas vartotojo operacijų informaciją ir galbūt įgydamas neteisėtą prieigą prie savo paskyros.

Užpuolikas, bandantis gauti prieigą prie kompiuterinės sistemos

Kitas pavyzdys yra šifravimo orakulo naudojimas autentifikavimui apeiti. Jei užpuolikas žiniatinklio programos, kuri šifruoja ir iššifruoja duomenis, užklausose aptinka šifravimo orakulą, užpuolikas gali jį naudoti, kad gautų prieigą prie galiojančios vartotojo paskyros. Jis galėjo iššifruoti paskyros seanso prieigos raktą per orakulą, pakeisti paprastą tekstą naudodamas tą patį orakulą ir pakeisti seanso prieigos raktą sukurtu šifruotu prieigos raktu, kuris suteiks jam prieigą prie kito vartotojo paskyros.

Kaip išvengti kriptografinių Oracle atakų

Kriptografinės orakulų atakos atsiranda dėl kriptografinių sistemų projektavimo ar diegimo pažeidžiamumo. Svarbu užtikrinti, kad šias kriptografines sistemas įdiegtumėte saugiai, kad išvengtumėte atakų. Kitos priemonės, skirtos užkirsti kelią šifravimo orakulams, yra šios:

  1. Autentifikuoti šifravimo režimai : Naudojant autentifikuotus šifravimo protokolus, tokius kaip AES-GCM (Galois / skaitiklio režimas) arba AES-CCM (skaitiklis su CBC-MAC), užtikrinamas ne tik konfidencialumas, bet ir vientisumo apsauga, todėl užpuolikams sunku sugadinti arba iššifruoti šifruotą tekstą.
  2. Nuolatinis klaidų tvarkymas: Įsitikinkite, kad šifravimo arba iššifravimo procesas visada pateikia tą patį atsakymą į klaidą, neatsižvelgiant į tai, ar užpildymas tinkamas, ar ne. Tai pašalina elgesio skirtumus, kuriais gali pasinaudoti užpuolikai.
  3. Saugumo testas: Reguliariai atlikite saugumo vertinimus, įskaitant skverbties testavimas ir kodų peržiūros , siekiant nustatyti ir sumažinti galimus pažeidžiamumus, įskaitant šifravimo orakulo problemas.
  4. Kainos ribojimas: Įdiekite šifravimo ir iššifravimo užklausų greičio apribojimą, kad aptiktumėte ir užkirstumėte kelią brutalios jėgos atakoms.
  5. Įvesties patvirtinimas: Prieš šifruodami arba iššifruodami kruopščiai patikrinkite ir išvalykite naudotojo įvestus duomenis. Užtikrinkite, kad įvestis atitiktų numatytą formatą ir ilgį, kad išvengtumėte užpildymo oracle atakų per manipuliuojamas įvestis.
  6. Saugumo ugdymas ir sąmoningumas : mokykite kūrėjus, administratorius ir vartotojus apie geriausią šifravimo ir saugos praktiką, kad būtų skatinama saugos kultūra.
  7. Reguliarūs atnaujinimai: Atnaujinkite visus programinės įrangos komponentus, įskaitant kriptografines bibliotekas ir sistemas, naudodami naujausius saugos pataisymus ir naujinimus.

Pagerinkite savo saugos laikyseną

Būtina suprasti ir apsisaugoti nuo atakų, tokių kaip šifravimo orakulai. Taikydami saugią praktiką, organizacijos ir asmenys gali sustiprinti savo apsaugą nuo šių klastingų grėsmių.

Švietimas ir informuotumas taip pat atlieka pagrindinį vaidmenį skatinant saugos kultūrą, apimančią nuo kūrėjų ir administratorių iki galutinių vartotojų. Šioje nuolatinėje kovoje už neskelbtinų duomenų apsaugą išlikti budriems, būti informuotiems ir būti vienu žingsniu priekyje galimų užpuolikų yra raktas į jūsų skaitmeninių išteklių ir jums brangių duomenų vientisumo išsaugojimą.