Az NSA-nak nem probléma az SSL?

Security-all

Üdv!

"Az amerikai és a brit hírszerzés feltörte az internetes szolgáltatások titkosítására használt SSL-technológiát, ezzel hozzáférhetnek biztonságosnak hitt emailezésekhez, egészségügyi adatokhoz vagy éppen banki számlákhoz – legalábbis ez szerepel az NSA-ügyet kirobbantó Edward Snowden legújabb dokumentumaiban, amelyeket egyszerre publikált a Guardian, a New York Times és a ProPublica.

http://index.hu/tech/2013/09/06/az_nsa_feltorte_a_banki_titkositast_is/

Mi a véleményetek?

  • 17271 megtekintés

( locsemege v | 2013. 09. 06., p – 10:29 )

Nem tudom, de nem volt még olyan, hogy valaki megkapirgálta az algoritmust, s rájött mondjuk valami gyengeségére, majd az illetőt baleset érte, eltűnt, stb.? Tényleg kérdés, fogalmam sincs erről.

Nekem valahogy mindig az az érzésem, hogy vagy hibásak egyes számelméleti tételeink, aztán hiába jó az implementáció, ha már az elv hibás, vagy valakik tudják, hogyan kell gyorsan faktorálni, szóval az egész titkosítás lényege, az aszimmetria esetleg nem igaz, csak szeretjük úgy hinni, hogy igaz. Az az érzésem, az implementálással foglalkozik mindenki, s dogmaként elfogadja, hogy a számelméleti tételeink hibátlanok.

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

Nyilván nem az fogja "megtalálni" (már eleve az ilyesmit nem csak úgy véletlenül találja az ember :), aki hobbiból a munkája mellett foglalkozik ilyesmivel szabadidejében, hanem az oldja meg akinek virtuálisan végtelen mennyiségű pénz áll rendelkezésre és egy hatalmas csapata, amelyik nem foglalkozik semmi mással, csak kriptoval.

Sok evvel ezelott volt a NatGeon egy film az NSA-rol, amiben kerek perec kijelentettek, h sajat tervezesu es gyartasu celhardvereket hasznalnak toreshez, majd mutattak is egyet. Ha elfogadom ezt valos tenynek, akkor erdekes kerdes, h mi lehet ott meg a varazskalapban, ha ezt mar publikalni mertek. Ugyanebben kulon hangsulyoztak, h a gardat, aki a kriptoval foglalkozik fiatalon szervezik be, jo fizetesert es erosen apellalnak a hazaszeretetre, ezert ezek az egyedek tobbszorosen motivalva vannak arra, h jo teljesitmenyt hozzanak. Ilyen az ha vegtelen a budget. :)

---
pontscho / fresh!mindworkz

Pontosan.
Lehet, hogy vannak ilyen cuccaik, de az, hogy az AES-t úgy törik, hogy csak úgy reped, az mese habbal. Ha ez igaz lenne, nem fenyítenék be a Google-tól az Apple-ig az összes felhőszolgáltatót, hogy tolják az adatot nekik át. Megoldanák izomból.
Nincs nekik, csak megy a hype, hogy lehessen tőlük félni.
--
PtY - www.onlinedemo.hu

Nem, csak utaltál rá evvel: "Sok evvel ezelott volt a NatGeon egy film az NSA-rol, amiben kerek perec kijelentettek, h sajat tervezesu es gyartasu celhardvereket hasznalnak toreshez, majd mutattak is egyet. Ha elfogadom ezt valos tenynek, akkor erdekes kerdes, h mi lehet ott meg a varazskalapban..."
És erre írtam én azt, hogy ez, hogy ki merik jelenteni, a pszichológiai hadviselés része.
--
PtY - www.onlinedemo.hu

Nyilvan reklam film volt ez a NatGeon, egy szoval sem allitottam az ellenkezojet, a hiresztelesekkel ellentetben nem vagyok hulye, valamint az is tiszta, h ez az egesz cikk sorozat hype. Az elso pillanatban lejott, ahogy kiderult, h nem primet faktorizalnak gyorsabban, mint masok, hanem a szokasos modon megkerultek a kodolashalmazt. :)

---
pontscho / fresh!mindworkz

+1, nem hogy más a kalapban, hanem azt is el lehet osztani kettővel, amit "publikálnak" a nat ego egyébként abszolút hiteltelen, az usa/izrael propaganda sugárzik még az orrszarvúk párzásáról szóló filmekből is... De ezt hagyjuk, csak a hiteltelenségét akartam hangsúlyozni. Fizetett hirdetés és kész :)

A legjobb hazugsag az igazsag. Innentol kezdve csak szet kell valasztani, h a propaganda mely resze a reklam, es mely resze a valosag. A NatGeo-n latszik, h propaganda ado, eleg csak rapillantani egy ii. vh-rol szolo musorukra, de ebben az esetben - mert ugye peldaul az FPGA nevu talalmany is also hangon 31 eves, ketlem h egy ilyen ceg ne tudott volna egyeb hardvergyarto ceggel is megallapodni, ugye, mint ahogy ez most igy ki is derult - gyanitohato, h az egy oras musorbol leszurheto fent emlitett ket tanulsag alapja a valosag. Szimpla formalis logikaval belathato.

---
pontscho / fresh!mindworkz

( Zsugabubus | 2013. 09. 06., p – 11:16 )

Ebből nem derül ki, hogy az SSL/TLS-ben, vagy netán az AES-ben találtak valamit. Aztán lehet, hogy már valami régen ismert, de még gyakran használt gyengeséget tudnak csak visszafejteni, ki tudja.

Jah, de ha az eredeti forrást is elolvassa az ember, nem csak az index bulvárhírt, akkor:

Through these covert partnerships, the agencies have inserted secret vulnerabilities – known as backdoors or trapdoors –
into commercial encryption software.

Szóval nem hinném, hogy magukat az algoritmusokat törték volna fel, hanem egy kis aknamunkával megkönnyítik a visszafejtést.

( wachag | 2013. 09. 06., p – 11:03 )

Biztos jó sok Debian-OpenSSL kulcs van még kint :-)

( apal v | 2013. 09. 06., p – 11:08 )

Lehet hogy csak rovidebb RSA kulcshosszakrol van szo'. A win-es ie-nel lattam me'g kb ~10 e've hogy a 256bites(!) rsa-t allitotta be ugy mint "biztonsagos" es a 192biteset mint hogy "kevesse biztonsagos". Azaz nem kizart, hogy ez az ``együttműködött közelebbről meg nem nevezett cégekkel is'' annyit jelenthetett "csak" hogy ``ugyanma' ne 4096bites kulcsot tegyetek bele hanem mondjuk 512eset''...

( gee v | 2013. 09. 06., p – 11:23 )

A cikk nem azt mondja, hogy fel tudják törni az SSL-t, hanem azt, hogy
1) olyan kódtörő gépeket építettek, amiket SSL brute force törésére használnak
2) különféle programokba backdoorokat tetettek cégekkel.

A másodikra, logikusan, azért volt szükség, mert az első nem megy olyan gyorsan, hogy minden forgalmat törjenek.

Vagy csak túl sok áramot fogyaszt és spórolnak a villanyszámlán :-)

( joco01 v | 2013. 09. 06., p – 11:30 )

Szerintem nem kell ide kódtörés, csak meg kell találni a Verisign-t és még egy-két nagyobb céget, és mehet az SSL man-in-the-middle orrba-szájba, lehet rögtön generálni az eredetivel majdnem megegyező tanúsítványokat. Senki soha nem venné észre, ha egy jónak tűnő tanúsítvány lecserélődik egy másik jónak tűnő tanúsítványra. Vagy pl. a mai napig lehetnek még kisebb-nagyobb entrópia-csökkentő megoldások egyes biztonsági szoftverekben. De szerintem még ők se tudják feltörni a valóban random generált, sok ezer bites kulcsokat.

--

Az NSA-nek vélhetően van olyan PKI rendszere, amit olyan cég hitelesített, mint pl. a VerySign. Azaz, ha van saját közbülső CA-juk, avval bármilyen CN-nel rendelkező requestet aláírhatnak, és azt felhasználhatják.
Mivel a lánc tetején egy megbízható tanúsítvány van mindegyik esetben, a kliensek egyike sem fog hibát jelezni, így könnyen játszhatnak MITM-t.
Ilyen PKI rendszerből van több is, Te is vehetsz akár a NetLocktól is hozzá olyan CA-t, amivel ezt megteheted, miután auditálták a PKI rendszeredet, és megfelelő biztonságúnak találták.
Az már más kérdés, hogy amikor a CA-t megkapod, egyben kötelezettséget is vállalsz arra, hogy csak a saját tartományodban hitelesítesz vele - ezt azonban nem bonyolult kijátszani.
--
PtY - www.onlinedemo.hu

"Mivel a lánc tetején egy megbízható tanúsítvány van mindegyik esetben, a kliensek egyike sem fog hibát jelezni,"

Emlékszem egyszer felvetettem, hogy mivan akkor, ha... csak asszem ott kliens certekről volt szó. Akkor lelettem trollozva, erre most ugyanazt írod tényként, amire én annó rákérdeztem :)

és itt kezdődik az, hogy sokkal jobb a saját cert, a másik oldalt pedig az ellenőrzés utáni kézi engedélyezés...

--
openSUSE 12.2 x86_64

Pontosan hogy is szólt a felvetésed?
A saját cert egyáltalán nem jobb!

Amit írtam, az csak hiteles certtel lehet megtenni, ami hivatalos szerv által elkövetett törvényszegés, pistike nem tudja megtenni.
Az önaláírt certet pistike is átveri, mert a user megszokta, hogy el kell fogadni, hiszen a rencergazda azt mondta - és ez nagyon nem mindegy.
--
PtY - www.onlinedemo.hu

Ha jól emlékszem arról szólt, hogy x cég hanyagságból nem ellenőrzi le, hogy te xy vagy-e és xy nevében kiállít neked certet pedig te yz vagy... DE ez most itt nem erről szól, csak hasonló volt a téma, mert itt is "név lopásról" van szó

Ezt a dolgot (már ha jól értem) pistike is eltudja játszani, ha van egy rendesen aláírt certje, azzal aláírhatja a sajátját. tehát aláírt certtel aláírni. a google-nél láttam épp, hogy "Google Internet Authority G2" certtel írta alá a google.com certjét. De ez a cert nincs a böngészőben, csak a legfelső: "Geo Trust CA" és a böngésző elfogadja, hitelesnek jelöli.

A "saját CA jobb" felkiáltásom azt feltételezi, hogy nincs semmi a böngészőben, csak a saját CA. Akkor ugye a fenti eset nem megoldható, csak akkor jelez a böngésző, ha valami nem stimmel.

Ha minden weboldal úgy működhetne, hogy új böngészővel első látogatáskor lekéri a CA-t, tárolja majd soha többet nem kér, akkor elvileg kisebb lenne a valószínűsége, hogy adatlopó oldalra jutsz. Persze ha épp a legelső lekérést térítik el, akkor az már gáz...

Remélem érthetőbben fogalmaztam ezúttal :)

--
openSUSE 12.2 x86_64

Ha valaki cég, és ilyet csinál, annak a root CA-i nagyon hamar kikerülnek a trusted storeból, ha hanyagság, ha véletlen, ha direkt, ha csak azért, mert az ügyfél megtévesztette őket, mindegy. Van egy adott protokoll, amit be kell tartani, amit le kell ellenőrizni, és ennek fejében adnak ki certeket. A ca-k kiadása ennél sokkal szigorúbb, mert a ca-val konkrétan vissza lehet élni. Ugyanis akinek ca-ja van, az hitelesíthet, azaz aláírhat requesteket, amitől az így keletkezett cert hiteles lesz.
Ha olyan requestet ír alá, ami nem az ő fennhatósága alatt van, akkor konkrétan bűncselekményt követ el. Ha ezt az NSA bizonyíthatóan megtette, akkor a minősítője visszaveheti a ca-ját (igazából CRL alapján visszavonja), és így az a ca kikerül a láncból. Bizonyítani viszont nem igazán lehet így utólag...
--
PtY - www.onlinedemo.hu

Konkrét leírás. Egy "hivatalosan" aláírt certet nem használhatok CA-nak ? és itt most nem a szabályokról beszélek, hanem, hogy fizikailag lehet-e. Játszós certekkel már csináltam olyat, hogy az aláírt certel írtam alá a szerverét, és a böngésző elfogadja. Hivatalos certekkel még nem játszottam, mert senki nem adja oda, játszani meg kicsit drága egy ilyen..

Hát a bizonyítással van / lesz némi gond az tuti...

--
openSUSE 12.2 x86_64

A cert és a ca két külön dolog :)
A cert általában objektumot azonosít, pl. ember vagy szerver, stb.
A ca meg arra jó, hogy újabb kérvényeket aláírva certeket tudj 'gyártani', azaz nem Téged hitelesítenek, hanem Te hitelesítész. Ég és föld a kettő.
Ca-t lehet aláírni másik ca-val, de az attól még ca és nem cert.

Hivatalos certet kapsz ingyen is (class1-es: startssl.com). A class2 sem drága, ahoz már kell személyes azonosítás, de 60$-ból megvan, és annyi certificate-et csinálsz Magadnak, amennyit nem szégyellsz - igaz, a hitelesítés minden esetben szükséges, csak már ingyen van.
--
PtY - www.onlinedemo.hu

Ez a "vaj van a füle mögött" erősen báncsa a szépérzékemet!
"Valami van a füle mögött" vagy "Vaj van a fején"

Ahogy írtad, az kb. a túrós hátú ló esete... ;)

Akit tudja, csinálja, aki nem tudja, tanítja... Hm... igazgatónak talán még jó lennék. :)

( hokuszpk | 2013. 09. 06., p – 11:36 )

mindenki csak azon rugozik, hogy "feltortek". szvsz az nsa az olcsobb uton azaz a "megelozesben" is aktivan besegit minden biztonsagot celzo projektnek, vagy nyiltan ( pl: selinux ) vagy egyszeruen csak valamelyik emberuk mezei fejlesztonek jelentkezik. esetleg magaba az eljarasba is csempeszhetnek ezt-azt, ami segithet _nekik_.
gondolom meg tudjak fizetni a legjobb erre a celra kaphato agyakat.

Kérdés, mennyire egyszerű a kód, mennyire volt kedve igen alaposan sokaknak átnézni a fárasztó részeit is, hány helyen kellett borítani a kernel egyéb részeit miatta. Mert ugye lehet a SELinux valóban korrekt, ha a kernel más részén ütöttek lyukat akkor, amikor a SELinuxot a kernelbe integrálták.

További aggályom, hogy nehéz megtalálni egy nem hivalkodó hibát. Meg lehet valamit úgy csinálni, hogy jól paraméterezve valóban jól működjön. Az ember hajlamos az értelmezési tartományon kívüli eseteket nem végig diszkutálni, aztán simán kimaradhatott itt-ott egy-egy paraméter ellenőrzés.

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

( Winter | 2013. 09. 06., p – 11:41 )

Vettek Vaterán pár WGA-t, nem érem mi ebben a nagy cucc...

Bye Bye Nyuszifül

( Elbandi v | 2013. 09. 06., p – 13:32 )

csodalom h meg senki nem postolta az idevago klasszikus kepet
--
A vegtelen ciklus is vegeter egyszer, csak kelloen eros hardver kell hozza!

( ironcat | 2013. 09. 06., p – 14:24 )

Az ilyen híreknek van egy olyan értelmezése is, hogy felesleges a kódolással foglalkozni, mert vannak olyanok, akik meg tudják fejteni. Akik ilyen következtetést vonnak le, azok nem is használnak kódolás, mert szerintünk semmi értelme nincs. Ha én NSA vezető lennék, akkor szándékosan szivárogtatnék ki ilyen információkat. Hátha bejön.

-----
A kockás zakók és a mellészabások tekintetében kérdezze meg úri szabóját.

Jelszóval védett tömörítvényben, amit esetleg még én valami módszerrel pluszban titkosítok.
Amúgy teljesen igaz a plaintext - ssl hasonlat.
Számtalan esetben használtatnak a userrel önaláírt tanúsítványt céges PKI infrastruktura nélkül, és rászoktatják az embereket arra, hogy a tanúsítványhibánál csak jóvá kell hagyni. Tipikusan arra nevelve a usereket, hogy MITM esetén kiváló áldozat legyen belőlük.
--
PtY - www.onlinedemo.hu

Ráadásul úgy, hogy chrome-ban nem tudod egyszerűen hozzáadni a saját cert-et hogy megjegyezze, ha az ujjlenyomat egyeztetése után megbízol benne és hogy legközelebb ne kelljen szívni vele. Nem, nem csinálták meg és nem is fogják olyan egyszerűre mint FF-ban. Ellen megy az érdekeiknek.

Egyszerűen vagy egyáltalán?
Mert ha csak egyszerűen nem lehet hozzáadni, az talán nem gáz. Ha egyáltalán nem megy, az lehet gond. Pl. nekem is lehetne, ha használnék chrome-ot. :)

-----------------------------------------
Akit tudja, csinálja, aki nem tudja, tanítja... Hm... igazgatónak talán még jó lennék. :)

( g3rg0 | 2013. 09. 06., p – 14:45 )

Na most a bankok kezdhetnek is egy bizalomépítő kampányba, mert bizony a felfuttatott e-bank megoldásukba vetet bizalom erősen meginoghat.

Én a bizalomról beszéltem. Az kényes árú.
Ha az nsa rendelkezik a módszerrel, más is rendelkezhet, vagy legalább is joggal feltételezhető ez. Aztán sok pénz kell az nsa működtetéséhez, aztán fél legális cégektől ez kipótolható. Ez már lényegében fegyver biznisz.
Meg aztán nem is feltétlenül csak a pénzről van szó, hanem ha valamikor majd kérne tőled valamit virágelvtárs/unclesam.

Mobilszolgáltató, belépés _után_ : "Adataid védelme érdekében egy biztonságos oldalra irányítunk, aminek betöltése néhány másodpercet vehet igénybe."
Hogy a jelszó plain textben közlekedik, az nem gond. :)
Így már értem.

Egyébként igazad van a bankok és egyéb, SSL-re alapozott oldalak ügyében. Ettől kezdve lehet filózni, hogy mi az igazság a hírből.
:(

( eyez00 | 2013. 09. 06., p – 15:19 )

itt teszem fel a kerdest, hogy kinek mi a velemenye a Freenet Projekt-rol?

Egy kialakulóban lévő dolog instabil. Amíg nincsenek meg az azt körülvevő nagy erőviszonyok, addig a megbízhatósága folyamatosan és gyorsan változhat.

A legjobb megoldás a nagyok által biztosított infrastruktúrát használni. Saját maguk maximálisan túlbiztosítják, hogy egyetlen fél férhessen hozzá, ezek maguk. Így ha ők legyőzhetők, akkor mások hozzáférése már eleve kizárt.

Ezt pedig megtévesztéssel. Titkosított adatot küldeni úgy, hogy a kibontott adat valójában nem az adat, de nagyon hihető. Közben meg a titkosítatlan valós adatok közt van elrejtve az igazi adat.

Illetve a kevésbé ismert dolog kevésbé megbízható. Az elterjedtnél már legalább jól látszanak a játékosok. Az új instabil dolognál az irányítók még gyengék lehetnek, ezért könnyen kiüthetik őket, vagy a gyengeségük miatt nincs elég erőforrásuk bebiztosítani a saját infrastruktúrájukat, ezért ez lehet maga a hamis biztonságérzet.

Szerintem megfelelő titkosítással a meglévő infrastruktúra használata megbízhatóbb lehet.

( DieHappy | 2013. 09. 06., p – 17:12 )

Mar mas is leirta, de hadd alljon itt megegyszer. Az index cikk hivatkozik egy angol cikkre, ahol rendesen leirjak, nem talaltak fundamentalis toresi modszert az SSL-re. A gyenge jelszavakat tudjak gyorsan feltorni, kb egymilliard jelszot tudnak kiprobalni masodpercenkent. Ez meg mindig edeskeves a legtobb esetben, ezert alkalmaznak automatikus modszereket gepek megtamadasara, hogy megszerezzek a kodolt infot kodolas elott, vagy magat a jelszot. Tanusitvanyokat szereznek meg, stb.
En mint fizikus persze nem lennek meglepve, ha elobb-utobb kiderulne, az NSA-nak van olyan kvantumszamitogepe, amivel meg tudjak torni az SSL-t, de errol egyelore szo sincs a Snowden doksikban.

hat, szoval az van, hogy 1 db FPGA szerintem masodpercenkent 10-100 milliard AES-t tud kiprobalni. ilyenbol mondjuk 100-at tudsz 4U magassagba bepreseleni, szoval egy rack-ben elfer 1000 db. ha az NSA-t nem erdekli semmi koltseg, akkor mondjuk lepakol 1000 rack-et egy adatcentrumban.

szoval ha szamolni akarsz akkor szerintem ezzel a 10^16 - 10^17/s sebesseggel szamolj.

hogy ez mire eleg brute force-ban (pl idonkent nehany kivalasztott ssl kapcsolat feltoresere?) azt majd valaki okosabb megmondja.

Ez kb. semmire se elég. Viszont ugye épp erről szól a cikk - már nem tudom melyik - hogy ismerik(*) az implementációs hibákat, amik esetleg csökkenthetik akár a brute force-hoz szükséges időt.

Nemrég volt ugye az iskolapélda, amikor a wifi jelszavak generálásához egy szótárnak csupán egy részét használták fel, így jóval egyszerűbbé vált a hókuszpókusz.

*) vagy ugye beépítik vagy előírják

igen, en is ugy saccoltam hogy tisztan brute-force-ra keves.

annyi azert latszik, hogy a "biztonsagos, mert pc-n 1000 ev lenne kiprobalni az osszes lehetoseget" mar nem erv.

az is segithet, hogyha az a sok egyetemrol felvett okos gyerek kitalal(t) valami jo toro algoritmust (nem design hiba, nem implementacios hiba, nem backdoor, csak valami okos otlet mint pl a rainbow table-ok).

annyi azert latszik, hogy a "biztonsagos, mert pc-n 1000 ev lenne kiprobalni az osszes lehetoseget" mar nem erv.

Az érv "architekturálisan jó". Ugyanis én megduplázom a kulcshosszamat (ezzel a kódolási időm a duplájára nő), a töréshez szükséges erőforrás-mennyiség viszont ezzel négyzetre emelődik. Azaz 1 millió chip helyett immáron 1 millió * 1 millió chip fog kelleni, hogy ugyanannyi idő alatt feltörjék (vagy ha nem vesznek 1 milliószor annyi chipet, akkor a feltörési idő nő az 1 milliószorosára). Könnyen belátható, hogy én gyorsabban és könnyebben tudok nehezíteni az életükön, mint ahogy ők venni és gyártani az új chipeket.
A kérdés egyedül az, hogy mennyire pontosan tudom megtippelni, hogy mennyi az elég a bitszámból, és hol kell abbahagy a "fegyverkezést".

( tartyom | 2013. 09. 06., p – 17:28 )

Szó sincs feltörésről, mert abból elég nagy gázok lennének, az nem számít feltörésnek, hogy van egy "All seeing eye machine" amit a szerverfarmokra telepítenek (pl googlehoz).

******
Elementary Os Luna 0.2
******

( Fisher v | 2013. 09. 06., p – 19:09 )

Ha már így elmentünk a bulvár mélységei felé: a 911 is az NSA műve, így meghozathatták azokat a törvényeket, amik lehetővé tették hogy az USA és a világ nagy részének a forgalmát lehallgathassák!

( lajos22 | 2013. 09. 09., h – 16:33 )

Nem tom ki hogy van ezzel, de nekem ez a sztori annyira bűzlik, hogy ki kellett olvasztanom az egyik házi hullám, hogy elnyomja a szagát...

--
openSUSE 12.2 x86_64