Uzunluk uzatma saldırısı - Length extension attack

İçinde kriptografi ve bilgisayar Güvenliği, bir uzunluk uzatma saldırısı bir tür saldırı bir saldırgan nerede kullanabilir Hash(İleti1) ve uzunluğu İleti1 hesaplamak Hash(İleti1İleti2) saldırgan tarafından kontrol edilen İleti2içeriğini bilmeye gerek kalmadan İleti1. Algoritmalar gibi MD5, SHA-1 ve çoğu SHA-2 dayanmaktadır Merkle-Damgård inşaatı bu tür saldırılara karşı hassastır.[1][2][3] SHA-2'nin SHA-384 ve SHA256 / 512 dahil olmak üzere kesilmiş sürümleri duyarlı değildir,[4] ne de SHA-3 algoritması.[5]

Zaman Merkle – Damgård merkezli karma olarak kötüye kullanıldı mesaj doğrulama kodu inşaat ile H(gizliİleti),[1] ve İleti ve uzunluğu gizli Bilindiği gibi, uzunluk uzatma saldırısı, herkesin mesajın sonuna ekstra bilgi eklemesine ve sırrı bilmeden geçerli bir karma oluşturmasına izin verir. Dan beri HMAC bu yapıyı kullanmazsa, HMAC hash'leri uzunluk uzatma saldırılarına eğilimli değildir.[6]

Açıklama

Savunmasız hashing fonksiyonları, giriş mesajını alarak ve onu dahili bir durumu dönüştürmek için kullanarak çalışır. Tüm girdiler işlendikten sonra, karma özet, işlevin dahili durumunun çıktısı alınarak oluşturulur. Karma özetten dahili durumu yeniden yapılandırmak mümkündür, bu daha sonra yeni verileri işlemek için kullanılabilir. Bu şekilde, mesaj genişletilebilir ve yeni mesaj için geçerli bir imza olan karma hesaplanabilir.

Misal

Belirli bir türdeki waffle'ları bir konumda belirli bir kullanıcıya teslim etmek için bir sunucu, verilen formattaki istekleri işlemek için uygulanabilir:

Orijinal Veriler: count = 10 & lat = 37.351 & user_id = 1 & long = -119.827 & waffle = eggoOrijinal İmza: 6d5f807e23db210bc254a28be2d6759a0f5f5d99

Sunucu, verilen talebi (eggo tipi on waffle'ı kullanıcı "1" için verilen konuma göndermek için) sadece imza kullanıcı için geçerliyse gerçekleştirecektir. Burada kullanılan imza bir MAC, saldırganın bilmediği bir anahtarla imzalandı. (Bu örnek aynı zamanda bir tekrar saldırı aynı istek ve imzayı ikinci kez göndererek.)

Bir saldırganın isteği değiştirmesi, bu örnekte istenen waffle'ı "eggo" dan "liege" ye geçirmesi mümkündür. Bu, sorgu dizesindeki yinelenen içerik ikinci değere öncelik verirse, ileti biçiminde bir esneklikten yararlanılarak yapılabilir. Bu esneklik, mesaj formatında bir istismara işaret etmez, çünkü mesaj formatı, yardımcı olacak imza algoritması olmadan, ilk başta kriptografik olarak güvenli olacak şekilde tasarlanmamıştır.

İstenen Yeni Veri: count = 10 & lat = 37.351 & user_id = 1 & long = -119.827 & waffle = eggo& waffle = liege

Bu yeni mesajı imzalamak için, genellikle saldırganın mesajın imzalandığı anahtarı bilmesi ve yeni bir MAC oluşturarak yeni bir imza oluşturması gerekir. Bununla birlikte, uzunluk uzatma saldırısı ile, hash'i (yukarıda verilen imza) hashing fonksiyonunun durumuna beslemek ve orijinal talebin uzunluğunu bildiğiniz sürece orijinal talebin kaldığı yerden devam etmek mümkündür. . Bu istekte, orijinal anahtarın uzunluğu 14 bayttı ve bu, çeşitli varsayılan uzunluklarda sahte isteklerin denenmesi ve sunucunun geçerli olarak kabul ettiği bir istekle sonuçlanan uzunluğun kontrol edilmesiyle belirlenebilir.[daha fazla açıklama gerekli ]

Hashing işlevine beslenen mesaj genellikle yastıklı, çünkü birçok algoritma yalnızca uzunlukları belirli bir boyutun katı olan giriş mesajları üzerinde çalışabilir. Bu dolgunun içeriği her zaman kullanılan hash işlevi tarafından belirlenir. Saldırgan, mesajının dahili durumlarından önce tüm bu dolgu bitlerini sahte mesajına dahil etmelidir ve orijinal mesaj sıralanacaktır. Bu nedenle, saldırgan şu doldurma kurallarını kullanarak biraz farklı bir mesaj oluşturur:

Yeni Veri: count = 10 & lat = 37.351 & user_id = 1 & long = -119.827 & waffle = eggo x80  x00  x00           x00  x00  x00  x00  x00  x00  x00  x00  x00  x00  x00  x00  x00  x00  x00  x00  x00           x00  x00  x00  x00  x00  x00  x00  x00  x00  x00  x00  x00  x00  x00  x00  x00  x00           x00  x00  x00  x00  x00  x00  x00  x00  x00  x00  x00  x00  x00  x00  x00  x00  x00           x00  x00  x02  x28 & waffle = liege

Bu mesaj, hash fonksiyonunun içindeki özgün mesaja yükünden önce eklenen tüm dolguyu içerir (bu durumda, bir 0x80 ve ardından bir dizi 0x00 ve bir mesaj uzunluğu, 0x228 = 552 = (14 + 55) * 8, anahtarın uzunluğu artı orijinal mesajın sonuna eklenir). Saldırgan, orijinal mesaj için karma anahtar / mesaj çiftinin arkasındaki durumun, son "&" işaretine kadar yeni mesajın durumuyla aynı olduğunu bilir. Saldırgan bu noktada hash özetini de bilir, bu da hash fonksiyonunun o noktada dahili durumunu bildikleri anlamına gelir. Daha sonra, o noktada bir karma algoritmayı başlatmak, son birkaç karakteri girmek ve yeni mesajlarını orijinal anahtar olmadan imzalayabilen yeni bir özet oluşturmak çok önemlidir.

Yeni İmza: 0e41270260895979317fff3898ab85668953aaa2

Yeni imzayı ve yeni verileri yeni bir talepte birleştirerek, sunucu sahte isteği geçerli bir istek olarak görecektir, çünkü imzanın şifre bilinmesi durumunda üretilecek olanla aynı olmasıdır.

Referanslar

  1. ^ a b Vũ, Hoàng (2012-03-30). "MD5 Uzunluk Uzatma Saldırısı Yeniden Ziyaret Edildi - Vũ'nun İç Barışı". Arşivlenen orijinal 2014-10-29 tarihinde. Alındı 2017-10-27.
  2. ^ Duong, Thai; Rizzo, Juliano (2009-09-28). "Flickr'ın API İmza Sahteciliği Güvenlik Açığı" (PDF). Alındı 2017-10-27.
  3. ^ Meyer, Christopher (2012-07-30). "Karma Uzunluğu Uzatma Saldırıları". Alındı 2017-10-27.
  4. ^ Bostrom, Michael (2015-10-29). "size_t Önemlidir: Karma Uzunluğu Uzatma Saldırılarının Açıklaması" (PDF). Alındı 2020-11-23.
  5. ^ Keccak Takımı. "Keccak'ın Güçlü Yönleri - Tasarım ve Güvenlik". Alındı 2017-10-27. SHA-1 ve SHA-2'den farklı olarak Keccak'ın uzunluk uzatma zayıflığı yoktur, dolayısıyla HMAC iç içe konstrüksiyona ihtiyaç duymaz. Bunun yerine, MAC hesaplaması, mesajın önüne anahtar eklenerek gerçekleştirilebilir.
  6. ^ Lawson, Nate (2009-10-29). "Güvenli olmayan anahtarlı karmalar kullanmayı bırakın, HMAC kullanın". Alındı 2017-10-27.