Názory k článku
PuTTY má sedm let chybu ohrožující soukromé 521bitové klíče ECDSA

Mozna by se sluselo uvest, zda ty "vadne" verze mely ECDSA defaultni. Podle mne je vychozi RSA, tudiz se asi bude tykat jen maleho poctu uzivatel.

Dalsi for je zrejme zpetne ziskat dostatecne mnozstvi podepsanych zprav - samotny verejny klic nestaci.

Podle videonávodů, které jsem našel, je předvybraná volba RSA. Ale dlouhodobě se doporučuje používat eliptické křivky, takže bych řekl, že ECDSA vybere poměrně dost lidí. Musí taky vybrat správnou délku klíče, ale jsou tam jen tři a tahle je nejvyšší = nejsilnější. Určitě lidí s takovými klíči nebude málo.

Nejpodstatnější vektor útoku je takový, že vám někdo kompromituje jeden ze serverů. V běžném případě mu to nijak nepomůže ke získání přístupu k ostatním, protože bude mít jen veřejný klíč a nic dalšího nezíská. V tomto případě ale bude potichu sedět a nechá vás v průběhu času mnohokrát k tomu serveru přihlásit. Tím získá data potřebná k odvození soukromého klíče a má přístup na všechny vaše servery. To je samozřejmě bezpečnostní katastrofa.

Malý a zcela nereprezentativní vzorek: ze 440 uživatelů má vůbec nějaké authorized_keys 126, z nich 3 mají ten EDCSA 512.

A teď, kolik z nich se připojuje pomocí PuTTY...

A winscp a filezilla a taky jsem putty našel v Matlabu...
Přinejmenším vím, koho mám upozornit, že by si raději měl změnit klíč.

Ono ale nejsou krivky jako krivky. Uz kdyz se pred mnoha lety prichazelo s EdDSA se upozornovalo na mozne (teoreticke) backdoory v ECDSA krivkach - ktere nikdo na jednu stranu nepotvrdil, ale take ani spolehlive nevyvratil.

Naštěstí defaultni délka ecdsa klíče používaná ssh-keygenem je 256.

Jestli mluvite o ecdsa a nikoliv o eddsa, tak to fakt vyhra neni ;-)

Problém se netýká jen Putty, ale třeba i WinSCP - opraví to verze 6.3.3 (not released yet).
https://winscp.net/eng/docs/history#6.3.3

Nebo treba FileZilla (opraveno ve verzi 3.67.0)...

Zkrátka se to týká všech aplikací, které na pozadí používají Putty. Třeba i Gitu, pokud ho máte nakonfigurovaný pro použití Putty.

Tady je trochu víc kontextu:
https://chaos.social/@gsuberland/112278296390370428

Zdá se, že jde o to, že implementuje vlastní generátor náhodných čísel používající SHA512, protože Windows 9x žádné API nenabízí - to existuje až od Windows XP, ale v té době už byl generátor napsaný. Problém s 521bitovým ECDSA je právě v délce 521 bitů, což je o 9 víc než počet bitů na výstupu SHA512. Putty těch devět bitů jednoduše doplní nulami.

Připadá mi zvláštní, že 9 konstantních bitů v 521 b dlouhém klíči kompromituje celou šifru, místo aby se jen síla o těch 9 bitů snížila.

Vypočítej si 521 / 9, dostaneš se lehce pod šedesát. Tedy jednu šedesátinu klíče znáš.

A handshake si představ jako pár matematických operací nad tímto klíčem. Znáš 9 proměnných z 521, znáš algoritmus a máš odposlechnuté výsledky. Zjednodušeně dosadíš hodně proměnných do pár rovnic a necháš počítač počítat.

Podobný princip se použil při prolamování Enigmy.

takto ultimatne podane, je to samozrejme blbost.

Ak viete 000.000.000 "lahko" zlomit, tak nic vam nebrani poskusat pri spravnej implementacii ostatnu miliardu moznosti.

Můžeš zkusit brute force, napsat program, který vyzkouší všech 521^2 kombinací není problém

Problém bude s čekáním na výsledek

Ono jde právě o to, že máš známou sekvenci a znáš i algoritmus
Pročti si na jakém principu fungují šifrovací algoritmy - není to žádná magie, pár základních matematických operací, principiálně se toho od Enigmy moc nezměnilo. A právě díky znalosti části privátního klíče můžeš dopočítat zbytek.

Pusť si film Enigma - je tam scéna (víceméně podle skutečnosti)), kdy obětují svůj konvoj, ale díky tomu, že všechny šifrované zprávy mají kus stejný, tak prolomili klíč

To by platilo pro útok hrubou silou. Ale tady je ten útok vedený jiným způsobem.

Představte si ideální symetrickou šifru – Vernamovu šifru tedy XOR zprávy se stejně dlouhým náhodně generovaným klíčem. Když budete vědět, že první setina toho klíče jsou vždy nuly, dokážete tu setinu přečíst. No a když budete posílat pořád dokola stejnou zprávu, jen různě posunutou, sice použijete pro každou zprávu správně nový klíč, ale v první desetině bude mít pořád samé nuly, když odchytíte dostatečné množství šifrovaných zpráv, nakonec dokážete odhalit tu jednu zprávu, která se posílá.

V případě jiných algoritmů to není takhle průhledné, ale pořád jde o to, že ten děravý klíč nesnižuje počet kombinací pro útok hrubou silou, ale umožňuje ze šifrované zprávy získat nějaké informace o vstupu.

Co bylo motivací k té zvláštní délce klíče?

Koukněte na https://safecurves.cr.yp.to/ - djb docela hezky popisuje designové detaily kolem (v podstatě je to jeho PR na jeho ed25519 ;-) ale PR odborného stylu, takže rozumně kritizuje konkurenci. Navíc ed25519 je docela uznávaná napříč komunitou)

18. 4. 2024, 13:26 editováno autorem komentáře

Střílím naslepo, ale odhadem ten důvod bude v tom, že 2^521 - 1 je nejbližší prvočíslo tvaru 2^x-1 kde x je alespoň 512.