Een nieuwe studie heeft aangetoond dat het voor passieve netwerkaanvallers mogelijk is om privé RSA-hostsleutels van een kwetsbare SSH-server te verkrijgen door te observeren wanneer natuurlijk voorkomende computerfouten optreden terwijl de verbinding tot stand wordt gebracht.
Het Secure Shell-protocol (SSH) is een methode om veilig opdrachten te verzenden en in te loggen op een computer via een onbeveiligd netwerk. Gebaseerd op een client-server-architectuur, gebruikt SSH cryptografie om verbindingen tussen apparaten te authenticeren en te coderen.
Een hostsleutel is een cryptografische sleutel die wordt gebruikt voor het authenticeren van computers in het SSH-protocol. Hostsleutels zijn sleutelparen die doorgaans worden gegenereerd met behulp van cryptosystemen met publieke sleutels, zoals RSA.
“Als een ondertekeningsimplementatie met behulp van CRT-RSA een fout vertoont tijdens het berekenen van de handtekening, kan een aanvaller die deze handtekening waarneemt mogelijk de privésleutel van de ondertekenaar berekenen”, zegt een groep academici van de University of California, San Diego en het Massachusetts Institute of Technology. Dat schrijft Technology deze maand in een krant.
Met andere woorden: een passieve tegenstander kan in stilte legitieme verbindingen in de gaten houden zonder het risico te lopen ontdekt te worden, totdat hij een foutieve handtekening waarneemt die de privésleutel blootlegt. De slechte actor kan zich vervolgens voordoen als de gecompromitteerde host om gevoelige gegevens te onderscheppen en tegenstander-in-the-middle-aanvallen (AitM) uit te voeren.
De onderzoekers beschreven de methode als een op roosters gebaseerde sleutelherstelfoutaanval, waardoor ze de privésleutels konden ophalen die overeenkomen met 189 unieke openbare RSA-sleutels die vervolgens werden herleid tot apparaten van vier fabrikanten: Cisco, Hillstone Networks, Mocana en Zyxel.
Het is vermeldenswaard dat de release van TLS versie 1.3 in 2018 als tegenmaatregel fungeert door de handdruk te coderen die de verbinding tot stand brengt, waardoor wordt voorkomen dat passieve afluisteraars toegang krijgen tot de handtekeningen.
“Deze aanvallen vormen een concrete illustratie van de waarde van verschillende ontwerpprincipes in de cryptografie: het versleutelen van protocolhandshakes zodra er over een sessiesleutel wordt onderhandeld om metadata te beschermen, het binden van authenticatie aan een sessie en het scheiden van authenticatie van encryptiesleutels”, aldus de onderzoekers.
De bevindingen komen twee maanden na de onthulling van Marvin Attack, een variant van de ROBOT-aanval (afkorting van “Return Of Bleichenbacher’s Oracle Threat”) waarmee een bedreigingsacteur RSA-cijferteksten kan ontsleutelen en handtekeningen kan vervalsen door beveiligingszwakheden in PKCS #1 v1 te misbruiken. .5.
