W jaki sposób wyrocznie kryptograficzne są podatne na ataki wyroczni wypełniających?

W jaki sposób wyrocznie kryptograficzne są podatne na ataki wyroczni wypełniających?
Czytelnicy tacy jak Ty pomagają wspierać MUO. Kiedy dokonujesz zakupu za pomocą linków na naszej stronie, możemy otrzymać prowizję partnerską. Czytaj więcej.

Czy osoba atakująca może odszyfrować i zaszyfrować dane w Twojej aplikacji bez znajomości kluczy deszyfrujących? Odpowiedź brzmi „tak” i wynika ona z wady kryptograficznej zwanej wyrocznią szyfrowania.





MUO Film dnia PRZEWIŃ, ABY KONTYNUOWAĆ TREŚĆ

Wyrocznie szyfrujące służą atakującym jako potencjalna brama do zbierania informacji o zaszyfrowanych danych, a wszystko to bez bezpośredniego dostępu do klucza szyfrowania. Jak zatem atakujący mogą wykorzystać wyrocznie kryptograficzne za pomocą technik takich jak ataki wyroczni wypełniających? Jak zapobiec wpływowi takich luk na Ciebie?



Co to jest wyrocznia kryptograficzna?

Szyfrowanie to protokół bezpieczeństwa w którym zwykły tekst lub dane są konwertowane do nieczytelnego, zakodowanego formatu, zwanego również tekstem zaszyfrowanym, w celu ochrony jego poufności i zapewnienia dostępu do niego wyłącznie upoważnionym stronom posiadającym klucz deszyfrujący. Istnieją dwa rodzaje szyfrowania: asymetryczne i symetryczne.





Szyfrowanie asymetryczne wykorzystuje parę odrębnych kluczy (publicznego i prywatnego) do szyfrowania i deszyfrowania, podczas gdy szyfrowanie symetryczne wykorzystuje jeden wspólny klucz zarówno do szyfrowania, jak i deszyfrowania. Możesz szyfrować prawie wszystko, wiadomości tekstowe, e-maile, pliki, ruch internetowy itp.

Z drugiej strony wyrocznia jest środkiem, za pośrednictwem którego osoba zwykle zdobywa informacje, które normalnie nie byłyby dostępne dla zwykłego człowieka. Pomyśl o wyroczni jak o specjalnym pudełku, przez które coś przepuszczasz, a to daje rezultat. Nie znasz zawartości pudełka, ale wiesz, że działa.



Wyrocznia kryptograficzna, znana również jako wyrocznia dopełniająca, to koncepcja w kryptografii odnosząca się do systemu lub jednostki, która może dostarczać informacji o zaszyfrowanych danych bez ujawniania klucza szyfrowania. Zasadniczo jest to sposób na interakcję z systemem szyfrowania w celu zdobycia wiedzy o zaszyfrowanych danych bez bezpośredniego dostępu do klucza szyfrowania.

Wyrocznia kryptograficzna składa się z dwóch części: zapytania i odpowiedzi. Zapytanie odnosi się do działania polegającego na dostarczeniu wyroczni tekstu zaszyfrowanego (zaszyfrowanych danych), a odpowiedzią jest informacja zwrotna lub informacja dostarczona przez wyrocznię na podstawie analizy zaszyfrowanego tekstu. Może to obejmować weryfikację jego ważności lub ujawnienie szczegółów odpowiedniego zwykłego tekstu, co może pomóc osobie atakującej w odszyfrowaniu zaszyfrowanych danych i odwrotnie.



darmowe filmy bez pobierania i rejestracji

Jak działają dopełniające ataki Oracle?

zakapturzona osoba patrząca na zielony kod na ekranie komputera

Jednym z głównych sposobów, w jaki atakujący wykorzystują wyrocznie kryptograficzne, jest atak wyroczni wypełniającej. Atak wyroczni dopełniającej to atak kryptograficzny wykorzystujący zachowanie systemu szyfrującego lub usługi, gdy ujawnia informację o poprawności dopełnienia tekstu zaszyfrowanego.

Aby tak się stało, atakujący musi odkryć lukę ujawniającą wyrocznię kryptograficzną, następnie wysłać do niej zmodyfikowany tekst zaszyfrowany i obserwować reakcje wyroczni. Analizując te odpowiedzi, osoba atakująca może wywnioskować informacje o zwykłym tekście, takie jak jego zawartość czy długość, nawet bez dostępu do klucza szyfrującego. Osoba atakująca będzie wielokrotnie odgadywać i modyfikować części tekstu zaszyfrowanego, aż odzyska cały zwykły tekst.



W rzeczywistym scenariuszu osoba atakująca może podejrzewać, że aplikacja bankowości internetowej szyfrująca dane użytkownika może zawierać lukę w zabezpieczeniach Oracle dopełniającą. Osoba atakująca przechwytuje zaszyfrowane żądanie transakcji uzasadnionego użytkownika, modyfikuje je i wysyła na serwer aplikacji. Jeśli serwer reaguje inaczej — błędami lub czasem potrzebnym na przetworzenie żądania — na zmodyfikowany tekst zaszyfrowany, może to wskazywać na lukę w zabezpieczeniach.

Osoba atakująca wykorzystuje je następnie, wysyłając starannie spreparowane zapytania, ostatecznie odszyfrowując szczegóły transakcji użytkownika i potencjalnie uzyskując nieautoryzowany dostęp do jego konta.

Osoba atakująca próbująca uzyskać dostęp do systemu komputerowego

Innym przykładem jest użycie wyroczni szyfrującej do ominięcia uwierzytelniania. Jeśli osoba atakująca odkryje wyrocznię szyfrującą w żądaniach aplikacji internetowej, która szyfruje i odszyfrowuje dane, osoba atakująca może jej użyć w celu uzyskania dostępu do prawidłowego konta użytkownika. Mógłby odszyfrować token sesji konta za pośrednictwem wyroczni, zmodyfikować zwykły tekst przy użyciu tej samej wyroczni i zastąpić token sesji spreparowanym zaszyfrowanym tokenem, który zapewni mu dostęp do konta innego użytkownika.

Jak uniknąć ataków na Oracle Cryptographic

Ataki kryptograficzne na Oracle są wynikiem luk w zabezpieczeniach w projektowaniu lub wdrażaniu systemów kryptograficznych. Ważne jest, aby upewnić się, że wdrażasz te systemy kryptograficzne w sposób bezpieczny, aby zapobiec atakom. Inne środki zapobiegające wyroczniom szyfrującym obejmują:

  1. Uwierzytelnione tryby szyfrowania : Korzystanie z uwierzytelnionych protokołów szyfrowania, takich jak AES-GCM (tryb Galois/Counter) lub AES-CCM (licznik z CBC-MAC) nie tylko zapewnia poufność, ale także ochronę integralności, utrudniając atakującym manipulowanie lub odszyfrowywanie tekstu zaszyfrowanego.
  2. Spójna obsługa błędów: Upewnij się, że proces szyfrowania lub deszyfrowania zawsze zwraca tę samą odpowiedź na błąd, niezależnie od tego, czy dopełnienie jest prawidłowe, czy nie. Eliminuje to różnice w zachowaniu, które atakujący mogliby wykorzystać.
  3. Testowanie bezpieczeństwa: Regularnie przeprowadzaj oceny bezpieczeństwa, m.in testy penetracyjne i recenzje kodu , aby zidentyfikować i wyeliminować potencjalne luki w zabezpieczeniach, w tym problemy z szyfrowaniem Oracle.
  4. Ograniczenie szybkości: Wdrażaj ograniczanie szybkości żądań szyfrowania i deszyfrowania, aby wykrywać ataki typu brute-force i zapobiegać im.
  5. Walidacja danych wejściowych: Dokładnie sprawdzaj i oczyszczaj dane wejściowe użytkownika przed szyfrowaniem lub deszyfrowaniem. Upewnij się, że dane wejściowe są zgodne z oczekiwanym formatem i długością, aby zapobiec atakom Oracle poprzez zmanipulowane dane wejściowe.
  6. Edukacja i świadomość w zakresie bezpieczeństwa : szkol deweloperów, administratorów i użytkowników w zakresie najlepszych praktyk w zakresie szyfrowania i bezpieczeństwa, aby wspierać kulturę świadomą bezpieczeństwa.
  7. Regularne aktualizacje: Aktualizuj wszystkie składniki oprogramowania, w tym biblioteki i systemy kryptograficzne, korzystając z najnowszych poprawek i aktualizacji zabezpieczeń.

Popraw swój poziom bezpieczeństwa

Zrozumienie i zabezpieczenie przed atakami takimi jak wyrocznie szyfrujące jest koniecznością. Wdrażając bezpieczne praktyki, organizacje i osoby fizyczne mogą wzmocnić swoją ochronę przed tymi podstępnymi zagrożeniami.

Edukacja i świadomość również odgrywają kluczową rolę w promowaniu kultury bezpieczeństwa, która rozciąga się od programistów i administratorów po użytkowników końcowych. W tej toczącej się walce o ochronę wrażliwych danych zachowanie czujności, bycie na bieżąco i bycie o krok przed potencjalnymi atakującymi jest kluczem do zachowania integralności Twoich zasobów cyfrowych i cennych danych.