Bezpečnostná chyba v PGPdisku a TrueCrypte
24. 8. 2006 14:54
Ondrej Mikle
V PGP 8.x, 9.x a TrueCrypte bola objavená bezpečnostná chyba umožňujúca rozšifrovanie šifrovaného disku bez znalosti hesla. PGP corporation neodpovedalo na otázku, či sa jedná o chybu alebo vlastnosť (feature), u TrueCryptu má ísť o dokumentovanú vlastnosť.
Trik spočíva v tom, že heslo (passphrase) nie je použité na zašifrovanie šifrovacieho kľúča, ale zadané heslo sa zhashuje a porovná s uloženým zahashovaným heslom:
if (hash(passphrase) equals stored_passphrase_hashed) then access_granted();
Je teda možné zistiť šifrovací kľúč bez znalosti hesla, použitím hex editoru alebo preskočiť autentizáciu debuggerom: program sa zastaví, zmení sa mu CS:EIP, aby pokračoval až po „úspešnom“ overení. Podrobnosti viz stránky safehack.com, okrem popisu funkcií je možné si pozrieť aj flashové video, ako to funguje.
Existujú „konšpiračné teórie“, že za tým stojí sama NSA/CIA/FBI/atď. „Pamätníci“ si určite spomenú, ako bol Phil Zimmermann, pôvodný tvorca PGP, v 90-tych rokoch prenasledovaný, ako sa tlačili tričká s trojriadkovou implementáciou RSA v PERLe. Zrazu „po problémoch zľahla zem“. Podozrivé? Ďalšie možnosti sú:
- ide o hoax. IMHO málo pravdepodobné.
- bol tam lenivý programátor, alebo nastrčený programátor od určitej verzie zaviedol backdoor
- NAI, pôvodná firma starajúca sa o PGP, už sa o PGP nestará, PGP bolo kúpené inou firmou. Viz www.pgpi.org – „2002/03/08 – NAI drops PGP Desktop, 2001/10/15 – NAI to sell PGP division“
- je to úplne inak ;-)
Priznám sa, že som neskúšal, či tá chyba naozaj existuje, pretože nepoužívam žiadny zo spomenutých softwarov. Ak používate niektorý zo spomenutých software a mali by ste chvíľu čas, skúste to overiť. Správa je už staršieho dátumu (pár mesiacov dozadu), ale príliš sa o nej nehovorí. Zvláštne je, že na pgpi.org je na stiahnutie len verzia do 8.0, aj to len pre Win XP, vyššie verzie má na starosti PGP corporation.
Tato zprávička byla zaslána čtenářem serveru Root.cz pomocí formuláře Přidat zprávičku. Děkujeme!
Předchozí zprávička Následující zprávička
God.zilla (neregistrovaný)
24. 8. 2006 15:52
Nový
Špatný vtip
celé vlákno
To má být vtip? V tom případě se moc nepovedl...
su - \mathfrak{M}ĦĒNJMARCHON (neregistrovaný)
24. 8. 2006 16:13
Nový
Re: Špatný vtip
celé vlákno
Rozhodne sa niekto snazi byt vtipny. Ide o to kto a preco ;-)
Viz: http://www.safehack.com/Advisory/pgp/truecryptanswer.txt && http://www.truecrypt.org/faq.php
Viz: http://www.safehack.com/Advisory/pgp/truecryptanswer.txt && http://www.truecrypt.org/faq.php
24. 8. 2006 16:31
Nový
Bože, to je blbost
celé vlákno
Proč hned do toho mícháte konspirační teorie?
Ano, je možné "vyresetovat" či změnit heslo u PGP disku, ale jen za předpokladu, že jste přímo ten disk sám vytvořil. Tedy nelze se dostat do cizího PGP disku.
CO MOHU: vytvořit disk, ten zduplikovat, duplikovanému změnit heslo a přenesením části hlavičky na původní disk tak změnit heslo i na původním.
CO VŠAK NEMOHU: dvakrát vytvořit disk se stejným heslem, druhému změnit heslo a přenesením části hlavičky na první disk mu zmenit heslo.
Rozdíl je tedy v tom, že nevytvářím, ale duplikuji.
Ano, je možné "vyresetovat" či změnit heslo u PGP disku, ale jen za předpokladu, že jste přímo ten disk sám vytvořil. Tedy nelze se dostat do cizího PGP disku.
CO MOHU: vytvořit disk, ten zduplikovat, duplikovanému změnit heslo a přenesením části hlavičky na původní disk tak změnit heslo i na původním.
CO VŠAK NEMOHU: dvakrát vytvořit disk se stejným heslem, druhému změnit heslo a přenesením části hlavičky na první disk mu zmenit heslo.
Rozdíl je tedy v tom, že nevytvářím, ale duplikuji.
su - \mathfrak{M}ĦĒNJMARCHON (neregistrovaný)
24. 8. 2006 16:53
Nový
Re: Bože, to je blbost
celé vláknoProč hned do toho mícháte konspirační teorie?
Aby bola sranda ;-)
PGP Virtual Disk can be mounted without the knowledge of the passphrase. If the volume is EMPTY this will work just just by changing some bytes inside the .pgd file. If the volume is NOT EMPTY, it can be mounted without the passphrase knowledge after patching the passphrase location BUT WHEN YOU CLICK THE DISK IT WILL SAY IT NEED TO BE FORMATTED. At this point you can delete users add users and re-encrypt the disk. We believe that extraction of any disk is possible if you spent some time in your debugger.
When the passphrase is changed PGP does not change the underlying key which will allow any user who had access to regain that access back.
Co utocnik moze: ak si user vytvori PGPdisk, jeho komp je kompromitovany a utocnik sa dozvie heslo, tak user moze heslo zmenit aj stokrat a nic mu to nepomoze, pretoze symetricky (?) kluc pouzity na zasifrovanie disku ostal rovnaky. Trebars user nevie, ze jeho komp bol kompromitovany (mozno nebol), ale ked si zmeni heslo, je to to takmer to iste ako keby si heslo nezmenil. Pri zmene hesla BY SA MAL zmenit aj sifrovaci kluc a cely disk BY MAL BYT nanovo zasifrovany novym klucom, odvodenym trebars via PBKDF2 z hesla. To znamena, ze klasicke doporucenie menit obcas hesla userovi v tomto pripade nepomoze.
su - \mathfrak{M}ĦĒNJMARCHON (neregistrovaný)
24. 8. 2006 17:00
Nový
Re: Bože, to je blbost
celé vlákno
Spravne riesenie (workaround) teda je: pri zmene hesla vytvorit novy disk, vytvori sa tym novy sifrovaci kluc. Skopirovat data, stary pgpdisk "bezpecne" zmazat nejakou rozumnou utilitou. Najlepsie pri vypnutej sieti v inom OS, potom vypnut komp, aby sa vymazala aj RAM, premazat swap. Az potom zapnut a pokracovat dalej.
Utocnik moze robit ovela horsie veci nez len rozsifrovat disk: po kompromitacii pocitaca zmeni obsah sifrovaneho disku, da tam nejake protizakonne materialy, zavola policiu a povodny majitel ma velky problem. Skuste sudu dokazat, ze vam niekto rozsifroval sifrovany PGPdisk, zmenil ho ako chcel, ked ma PGP povest "super-bezpecneho software". Netvrdim, ze PGP nie je dobre, ale nesmie sa slepo verit.
Utocnik moze robit ovela horsie veci nez len rozsifrovat disk: po kompromitacii pocitaca zmeni obsah sifrovaneho disku, da tam nejake protizakonne materialy, zavola policiu a povodny majitel ma velky problem. Skuste sudu dokazat, ze vam niekto rozsifroval sifrovany PGPdisk, zmenil ho ako chcel, ked ma PGP povest "super-bezpecneho software". Netvrdim, ze PGP nie je dobre, ale nesmie sa slepo verit.
su - \mathfrak{M}ĦĒNJMARCHON (neregistrovaný)
24. 8. 2006 17:13
Nový
Re: Bože, to je blbost
celé vlákno
Aby som netvrdil blbosti:
http://www.safehack.com/Advisory/pgp/PGPcrack.html#Two_Ways_to_bypass_PGP_SDA_Authentication - "Two Ways to bypass PGP SDA Authentication and *EXTRACT* with success"
"At this point if you change the contents of 00BAF670, you won't have to bypass authentication, it will work like a charm, and it will grant auth/extract." Plati to pre SDA (self-decrypting archives). Preto som vyzyval niekoho, ci to nevyskusa. Podla tohoto tvrdenia by to malo ist s lubovolnym SDA.
http://www.safehack.com/Advisory/pgp/PGPcrack.html#Two_Ways_to_bypass_PGP_SDA_Authentication - "Two Ways to bypass PGP SDA Authentication and *EXTRACT* with success"
"At this point if you change the contents of 00BAF670, you won't have to bypass authentication, it will work like a charm, and it will grant auth/extract." Plati to pre SDA (self-decrypting archives). Preto som vyzyval niekoho, ci to nevyskusa. Podla tohoto tvrdenia by to malo ist s lubovolnym SDA.
24. 8. 2006 17:09
Nový
Re: Bože, to je blbost
celé vlákno
> Pri zmene hesla BY SA MAL zmenit aj sifrovaci kluc a cely disk BY MAL BYT nanovo zasifrovany novym klucom.
Mezi "by měl" a "obsahuje bezpečnostní chybu" je setsakramentský rozdíl. Prostě že tyto programy fungují jinak, než si někdo představuje, neznamená, že mají bezpečnostní chybu. Nakonec jejich chování je zjevné, změna hesla je blesková a k žádnému přešifrování nedochází.
Samozřejmě průšvih by byl, kdyby šlo patchnout PGP tak, aby se do disku útočník dostal bez znalosti hesla. A to se zatím nikomu nepovedlo. Naštěstí...
Mezi "by měl" a "obsahuje bezpečnostní chybu" je setsakramentský rozdíl. Prostě že tyto programy fungují jinak, než si někdo představuje, neznamená, že mají bezpečnostní chybu. Nakonec jejich chování je zjevné, změna hesla je blesková a k žádnému přešifrování nedochází.
Samozřejmě průšvih by byl, kdyby šlo patchnout PGP tak, aby se do disku útočník dostal bez znalosti hesla. A to se zatím nikomu nepovedlo. Naštěstí...
su - \mathfrak{M}ĦĒNJMARCHON (neregistrovaný)
24. 8. 2006 17:23
Nový
Re: Bože, to je blbost
celé vlákno
"Mezi "by měl" a "obsahuje bezpečnostní chybu" je setsakramentský rozdíl."
Jj, v tom sa zhodneme. Viz ale vyssie extrakciu zo SDA. Ide prave o to, ci je to dizajnova vlastnost (feature) alebo nechceny dosledok (bug). Truecrypt povedal, ze ide o zamyslanu featuru. Z vyjadrenia J. Callasa mi tiez nie je jasne, ako to teda je - jemu vadi, ze sa ho nespytali ako prveho, co je na jednej strane pochopitelne.
"Nakonec jejich chování je zjevné, změna hesla je blesková a k žádnému přešifrování nedochází."
Tak na toto pozor, moderne OS robia cachovany zapis (writeback), takze medzi skutocnym presifrovanim a len zmenou kusku v subore nemusi byt vidiet z hladiska uzivatela takmer ziadny rozdiel, zavisi aky je sifrovany disk velky. Takisto moze presifrovanie bezat na pozadi s nizkou prioritou, takze nespomaluje ostatne procesy, jedine ak sa user pozrie na procesy a jak vytazuju CPU.
Jj, v tom sa zhodneme. Viz ale vyssie extrakciu zo SDA. Ide prave o to, ci je to dizajnova vlastnost (feature) alebo nechceny dosledok (bug). Truecrypt povedal, ze ide o zamyslanu featuru. Z vyjadrenia J. Callasa mi tiez nie je jasne, ako to teda je - jemu vadi, ze sa ho nespytali ako prveho, co je na jednej strane pochopitelne.
"Nakonec jejich chování je zjevné, změna hesla je blesková a k žádnému přešifrování nedochází."
Tak na toto pozor, moderne OS robia cachovany zapis (writeback), takze medzi skutocnym presifrovanim a len zmenou kusku v subore nemusi byt vidiet z hladiska uzivatela takmer ziadny rozdiel, zavisi aky je sifrovany disk velky. Takisto moze presifrovanie bezat na pozadi s nizkou prioritou, takze nespomaluje ostatne procesy, jedine ak sa user pozrie na procesy a jak vytazuju CPU.
24. 8. 2006 17:36
Nový
Re: Bože, to je blbost
celé vlákno
Ještě moment, v tom dokumentu se zvlášť zabývají SDA, což jsou samorozbalovací archívy, a PGP Diskem. Tyto dvě věci je třeba oddělovat. Společné mají to, že vyzývají k zadání hesla - a právě autentifikaci obcházejí.
-----
> Tak na toto pozor, moderne OS robia cachovany zapis (writeback), takze medzi skutocnym presifrovanim a len zmenou kusku v subore nemusi byt vidiet z hladiska uzivatela takmer ziadny rozdiel...
:-)) Ok. Přešifrování 4.7GB PGP disku (pro velikost DVD média) bude na Pentium 4 trvat cca půl hodiny při plném vytížení počítače. Je samozřejmě možné, že si toho leckdo vůbec nevšimne, také je možné, že se celá věc uskuteční jen v keši nebývalé kapacity, ale ze svých vlastních zkušeností mohu potvrdit, že jde o operaci postřehnutelnou i unaveným okem.
-----
> Tak na toto pozor, moderne OS robia cachovany zapis (writeback), takze medzi skutocnym presifrovanim a len zmenou kusku v subore nemusi byt vidiet z hladiska uzivatela takmer ziadny rozdiel...
:-)) Ok. Přešifrování 4.7GB PGP disku (pro velikost DVD média) bude na Pentium 4 trvat cca půl hodiny při plném vytížení počítače. Je samozřejmě možné, že si toho leckdo vůbec nevšimne, také je možné, že se celá věc uskuteční jen v keši nebývalé kapacity, ale ze svých vlastních zkušeností mohu potvrdit, že jde o operaci postřehnutelnou i unaveným okem.
su - \mathfrak{M}ĦĒNJMARCHON (neregistrovaný)
24. 8. 2006 18:33
Nový
Re: Bože, to je blbost
celé vlákno
Jj, uznavam ze ma na zaciatku trocha zmiatlo SDA a klasicky PGPdisk, oni to tam maju tiez tak trocha porozhadzovane a prechadzaju z jedneho do druheho.
":-)) Ok. Přešifrování 4.7GB PGP disku (pro velikost DVD média) bude na Pentium 4 trvat cca půl hodiny při plném vytížení počítače. Je samozřejmě možné, že si toho leckdo vůbec nevšimne, také je možné, že se celá věc uskuteční jen v keši nebývalé kapacity, ale ze svých vlastních zkušeností mohu potvrdit, že jde o operaci postřehnutelnou i unaveným okem."
Jasne, to presne hovorim :-) Ale zavisi presne od velkosti. Uz nie sme tak daleko, ze 4 GB RAM sa stanu pomaly beznymi. Ja mam trebars sice iba 1 GB, ale postacuje. BTW, aj keby som si nechal na pozadi presifrovat 4 GB disk (a dal procesu nejake nice, plus mozno nejake usleep()y, aby disk moc nechrumal), tak by to dopadlo asi takto (Athlon XP 2500+):
$ openssl speed:
Doing aes-128 cbc for 3s on 64 size blocks: 1794159 aes-128 cbc's in 2.88s
1794159/2.88*64/1024^2 = cca 38 MB/s (v pamati)
disk rychlost vratane filesystemoveho overheadu je trebars 32 MB/s (snad aj viac, zavisi ci pocitame read-ahead a writeback), ale zostanme trebars pri 3 MB/s, aby to moc nechrumalo.
Cize 4096 MB pri rychlosti 3 MB/s vychadza cca 22 minut. A to ten disk s fluidnymi loziskami ani nepocujem (musi byt uplne ticho, vidim tak HDD kontrolku).
Takze PGPdisk by mohol dat option: presifrovat data alebo nie? Potom: rychlost: a) slimak (ta moja) b) slimak s kridlami c) nieco medzi d) ridiculous e) ludicrous :-)
":-)) Ok. Přešifrování 4.7GB PGP disku (pro velikost DVD média) bude na Pentium 4 trvat cca půl hodiny při plném vytížení počítače. Je samozřejmě možné, že si toho leckdo vůbec nevšimne, také je možné, že se celá věc uskuteční jen v keši nebývalé kapacity, ale ze svých vlastních zkušeností mohu potvrdit, že jde o operaci postřehnutelnou i unaveným okem."
Jasne, to presne hovorim :-) Ale zavisi presne od velkosti. Uz nie sme tak daleko, ze 4 GB RAM sa stanu pomaly beznymi. Ja mam trebars sice iba 1 GB, ale postacuje. BTW, aj keby som si nechal na pozadi presifrovat 4 GB disk (a dal procesu nejake nice, plus mozno nejake usleep()y, aby disk moc nechrumal), tak by to dopadlo asi takto (Athlon XP 2500+):
$ openssl speed:
Doing aes-128 cbc for 3s on 64 size blocks: 1794159 aes-128 cbc's in 2.88s
1794159/2.88*64/1024^2 = cca 38 MB/s (v pamati)
disk rychlost vratane filesystemoveho overheadu je trebars 32 MB/s (snad aj viac, zavisi ci pocitame read-ahead a writeback), ale zostanme trebars pri 3 MB/s, aby to moc nechrumalo.
Cize 4096 MB pri rychlosti 3 MB/s vychadza cca 22 minut. A to ten disk s fluidnymi loziskami ani nepocujem (musi byt uplne ticho, vidim tak HDD kontrolku).
Takze PGPdisk by mohol dat option: presifrovat data alebo nie? Potom: rychlost: a) slimak (ta moja) b) slimak s kridlami c) nieco medzi d) ridiculous e) ludicrous :-)
25. 8. 2006 3:32
Nový
Re: Bože, to je blbost
celé vlákno
Přesto bych ale nechtěl situaci bagatelizovat, pokud se skutečně povedlo obejít autorizaci u SDA a otevřít ho, tak je to naprosto fatální průšvih pro PGP a není důvod věřit žádným jejím produktům. Sice se to nepovedlo u PGP disku (viz co mohu a co nemohu), ale důvěra je alespoň u mě silně otřesena.
mad (neregistrovaný)
25. 8. 2006 7:49
Nový
Re: Bože, to je blbost
celé vlákno
Zjevne jste stale nepochopil. Jediny problem je v autorovi nekvalitniho clanku, a v uzivateli, ktery by se domnival, ze po zmene hesla k disku muze disk pouzivat, pokud jej nekdo jiny pouzival pred nim, nebo mel pristup k heslu a disku.
To je samozrejme totalni kolaps uzivatele. Pokud vytvarim sifrovany disk, nedavam k nemu NIKDY pristup nekomu jinemu, a heslo k nemu s nikym nesdilim.
Pokud mam pocit, ze by mohlo dojit ke kompromitaci, pak na lokalnim PC instaluji a vytvorim
novy disk, pouziju nove heslo, pripojim svazek z puvodniho disku, namountuju puvodni disk, presunu data z puvodniho na novy, a puvodni disk wipnu (use wipe == wipnout).
Otazka je, zda data z kompromitovaneho disku stoji za prenos.
To je samozrejme totalni kolaps uzivatele. Pokud vytvarim sifrovany disk, nedavam k nemu NIKDY pristup nekomu jinemu, a heslo k nemu s nikym nesdilim.
Pokud mam pocit, ze by mohlo dojit ke kompromitaci, pak na lokalnim PC instaluji a vytvorim
novy disk, pouziju nove heslo, pripojim svazek z puvodniho disku, namountuju puvodni disk, presunu data z puvodniho na novy, a puvodni disk wipnu (use wipe == wipnout).
Otazka je, zda data z kompromitovaneho disku stoji za prenos.
su - \mathfrak{M}ĦĒNJMARCHON (neregistrovaný)
25. 8. 2006 11:46
Nový
Re: Bože, to je blbost
celé vlákno
"Pokud vytvarim sifrovany disk, nedavam k nemu NIKDY pristup nekomu jinemu, a heslo k nemu s nikym nesdilim."
Ked mi chcete tvrdit, ze toto dokazete, potom ste minimalne Boh sam. Ze heslo nedavate nikomu vedome este neznamena, ze niekde ne-leak-ne.
Ked mi chcete tvrdit, ze toto dokazete, potom ste minimalne Boh sam. Ze heslo nedavate nikomu vedome este neznamena, ze niekde ne-leak-ne.
su - \mathfrak{M}ĦĒNJMARCHON (neregistrovaný)
25. 8. 2006 13:09
Nový
Re: Bože, to je blbost
celé vlákno
Len tak na okraj: Rozpravka o osude jedneho mojho sifrovaneho disku:
Nejaky vtipalek (viem kto aj viem ako) si povedal, ze bude strasna sranda, ked spravi dd if=/dev/urandom of=/sifrovany/disk. A data boli fuc. Poviedky, maily, ... Nevadi, mrtve poviedky ho umlatia v snoch, najprv...potom aj v reale ;-)
Nejaky vtipalek (viem kto aj viem ako) si povedal, ze bude strasna sranda, ked spravi dd if=/dev/urandom of=/sifrovany/disk. A data boli fuc. Poviedky, maily, ... Nevadi, mrtve poviedky ho umlatia v snoch, najprv...potom aj v reale ;-)
tragéd (neregistrovaný)
25. 8. 2006 17:33
Nový
Re: Bože, to je blbost
celé vlákno
Takový lidi jako ty jsou tragédi - protože bez záloh.
su - \mathfrak{M}ĦĒNJMARCHON (neregistrovaný)
25. 8. 2006 18:03
Nový
Re: Bože, to je blbost
celé vlákno
Zalohy mam. Restoroval som to zo zalohy, ale bola nejaky cas stara. Ide o umysel.
su - \mathfrak{M}ĦĒNJMARCHON (neregistrovaný)
25. 8. 2006 18:12
Nový
Re: Bože, to je blbost
celé vlákno
Ja som traged so zalohami ;-)
