Kriptogrāfiskie orākuli var būt lieliski rīki hakeriem. Lūk, kāpēc.

Vai uzbrucējs var atšifrēt un šifrēt datus jūsu lietojumprogrammā, nezinot atšifrēšanas atslēgas? Atbilde ir jā, un tā slēpjas kriptogrāfijas kļūmē, ko sauc par šifrēšanas orākulu.

Šifrēšanas orākuli kalpo kā potenciāls vārteja uzbrucējiem, lai apkopotu informāciju par šifrētiem datiem, bez tiešas piekļuves šifrēšanas atslēgai. Tātad, kā uzbrucēji var izmantot kriptogrāfiskos orākulus, izmantojot tādas metodes kā polsterējuma orākula uzbrukumi? Kā jūs varat novērst, ka šādas ievainojamības jūs ietekmē?

Kas ir kriptogrāfijas orākuls?

Šifrēšana ir drošības protokols kurā vienkāršs teksts vai dati tiek pārveidoti nelasāmā kodētā formātā, ko sauc arī par šifrētu tekstu, lai aizsargāt tās konfidencialitāti un nodrošināt, ka tai var piekļūt tikai pilnvarotas puses ar atšifrēšanu taustiņu. Ir divu veidu šifrēšana: asimetriskā un simetriskā.

Asimetriskā šifrēšana šifrēšanai un atšifrēšanai izmanto atšķirīgu atslēgu pāri (publisko un privāto), savukārt simetriskā šifrēšana izmanto vienu koplietotu atslēgu gan šifrēšanai, gan atšifrēšanai. Varat šifrēt gandrīz jebko, īsziņas, e-pastus, failus, tīmekļa trafiku utt.

instagram viewer

No otras puses, orākuls ir līdzeklis, ar kura palīdzību cilvēks parasti iegūst informāciju, kas parasti nebūtu pieejama vīriešiem. Padomājiet par orākulu kā īpašu kastīti, kad kaut ko izlaižat cauri, un tas dod jums rezultātu. Jūs nezināt kastes saturu, bet zināt, ka tā darbojas.

Kriptogrāfiskais orākuls, kas pazīstams arī kā polsterējuma orākuls, ir jēdziens kriptogrāfijā, kas attiecas uz sistēma vai vienība, kas var sniegt informāciju par šifrētiem datiem, neatklājot šifrēšanu taustiņu. Būtībā tas ir veids, kā mijiedarboties ar šifrēšanas sistēmu, lai iegūtu zināšanas par šifrētajiem datiem bez tiešas piekļuves šifrēšanas atslēgai.

Kriptogrāfiskais orākuls sastāv no divām daļām: vaicājuma un atbildes. Vaicājums attiecas uz darbību, kurā orākulam tiek nodrošināts šifrēts teksts (šifrēti dati), un atbilde ir atgriezeniskā saite vai informācija, ko orākuls sniedz, pamatojoties uz šifrētā teksta analīzi. Tas var ietvert tā derīguma pārbaudi vai detalizētas informācijas atklāšanu par atbilstošo vienkāršu tekstu, potenciālu palīdzību uzbrucējam šifrēto datu atšifrēšanā un otrādi.

Kā darbojas polsterējuma Oracle uzbrukumi?

Viens no galvenajiem veidiem, kā uzbrucēji izmanto kriptogrāfiskos orākulus, ir polsterējuma orākula uzbrukums. Polsterējuma orākula uzbrukums ir kriptogrāfisks uzbrukums, kas izmanto šifrēšanas sistēmas vai pakalpojuma darbību, atklājot informāciju par šifrētā teksta pildījuma pareizību.

Lai tas notiktu, uzbrucējam ir jāatklāj defekts, kas atklāj kriptogrāfisko orākulu, pēc tam jānosūta tam modificēts šifrēts teksts un jānovēro orākula atbildes. Analizējot šīs atbildes, uzbrucējs var iegūt informāciju par vienkāršu tekstu, piemēram, tā saturu vai garumu, pat ja viņam nav piekļuves šifrēšanas atslēgai. Uzbrucējs atkārtoti uzminēs un modificēs šifrētā teksta daļas, līdz atkops visu vienkāršu tekstu.

Reālā situācijā uzbrucējam var būt aizdomas, ka tiešsaistes bankas lietojumprogrammai, kas šifrē lietotāja datus, var būt orākula ievainojamība. Uzbrucējs pārtver likumīga lietotāja šifrētu transakcijas pieprasījumu, modificē to un nosūta to lietojumprogrammas serverim. Ja serveris uz modificēto šifrēto tekstu reaģē atšķirīgi — kļūdas vai pieprasījuma apstrādei nepieciešamais laiks, tas var norādīt uz ievainojamību.

Pēc tam uzbrucējs to izmanto ar rūpīgi izstrādātiem vaicājumiem, galu galā atšifrējot lietotāja darījumu informāciju un, iespējams, iegūstot nesankcionētu piekļuvi savam kontam.

Vēl viens piemērs ir šifrēšanas orākulu izmantošana, lai apietu autentifikāciju. Ja uzbrucējs tīmekļa lietojumprogrammas pieprasījumos atklāj šifrēšanas orākulu, kas šifrē un atšifrē datus, uzbrucējs var to izmantot, lai piekļūtu derīgam lietotāja kontam. Viņš varēja atšifrēt konta sesijas marķieri, izmantojot orākulu, modificēt vienkāršu tekstu, izmantojot to pašu orākulu, un nomainiet sesijas marķieri ar izstrādātu šifrētu marķieri, kas viņam nodrošinās piekļuvi cita lietotāja pilnvarām konts.

Kā izvairīties no kriptogrāfiskiem Oracle uzbrukumiem

Kriptogrāfiskie orākula uzbrukumi ir kriptogrāfijas sistēmu projektēšanas vai ieviešanas ievainojamības rezultāts. Lai novērstu uzbrukumus, ir svarīgi nodrošināt, lai šīs kriptogrāfijas sistēmas tiktu ieviestas droši. Citi pasākumi šifrēšanas orākulu novēršanai ietver:

  1. Autentificēti šifrēšanas režīmi: izmantojot ne tikai autentificētus šifrēšanas protokolus, piemēram, AES-GCM (Galois/Counter Mode) vai AES-CCM (skaitītājs ar CBC-MAC) nodrošina konfidencialitāti, bet arī integritātes aizsardzību, apgrūtinot uzbrucēju iejaukšanos vai atšifrēšanu šifrēts teksts.
  2. Konsekventa kļūdu apstrāde: Nodrošiniet, lai šifrēšanas vai atšifrēšanas process vienmēr atgrieztu vienu un to pašu kļūdas atbildi neatkarīgi no tā, vai pildījums ir derīgs. Tas novērš uzvedības atšķirības, kuras uzbrucēji varētu izmantot.
  3. Drošības pārbaude: Regulāri veikt drošības novērtējumus, tostarp iespiešanās pārbaude un kodu pārskatīšana, lai identificētu un mazinātu iespējamās ievainojamības, tostarp šifrēšanas orākula problēmas.
  4. Likmes ierobežojums: Ieviesiet ātruma ierobežojumus šifrēšanas un atšifrēšanas pieprasījumiem, lai atklātu un novērstu brutāla spēka uzbrukumus.
  5. Ievades validācija: Pirms šifrēšanas vai atšifrēšanas rūpīgi pārbaudiet un dezinficējiet lietotāja ievadītos datus. Nodrošiniet, lai ievades atbilstu paredzētajam formātam un garumam, lai novērstu polsterējuma orākula uzbrukumus, izmantojot manipulētas ievades.
  6. Drošības izglītība un izpratne: apmāciet izstrādātājus, administratorus un lietotājus par šifrēšanas un drošības paraugpraksi, lai veicinātu kultūru, kas apzinās drošību.
  7. Regulāri atjauninājumi: Atjauniniet visus programmatūras komponentus, tostarp kriptogrāfijas bibliotēkas un sistēmas, izmantojot jaunākos drošības ielāpus un atjauninājumus.

Uzlabojiet savu drošības stāju

Izpratne un aizsardzība pret uzbrukumiem, piemēram, šifrēšanas orākulu, ir obligāta. Ieviešot drošu praksi, organizācijas un indivīdi var stiprināt savu aizsardzību pret šiem mānīgajiem draudiem.

Izglītībai un informētībai ir arī galvenā loma drošības kultūras veicināšanā, kas aptver no izstrādātājiem un administratoriem līdz galalietotājiem. Šajā nepārtrauktajā cīņā par sensitīvu datu aizsardzību, saglabājot modrību, informētību un noturoties vienā solī apsteidzot potenciālos uzbrucējus, ir atslēga, lai saglabātu jūsu digitālo līdzekļu un jūsu rīcībā esošo datu integritāti dārgs.