Tag Archives: krüptograafia

RIA krüptouuring – ID-kaart ja plokiahelad

Kaur Virunurm, RIA arendus- ja uurimistegevuse osakonna juhataja

Allikas: pixabay.com

Moodne maailm seisab paaril nähtamatul tehnoloogilisel vaalal. Need kannavad meid nii vaikselt ja rahulikult, et me ei taju nende olemasolu. Aga kui neid poleks, ei töötaks mitte miski. Ükski arvuti ei leiaks teist omasugust üles; üksi tviit ega kassipilt ei jõuaks ühest ilma otsast teise; muusikat saaks kuulata vaid kontserdisaalis ja filmi näeks vaid kinos.

Mõnikord jääb mõni “vaal” tõbiseks. Osad haigused on aeglased ja kroonilised. IPv4 surma on ennustatud pikki aastaid, aga vanake võtab vapralt tablette ja jätkab teenistust. Mõni tõbi tabab aga järsult. Siis lükatakse terve suurriik internetist välja (Jaapan 2017) või peab terve maailm kiirkorras oma arvuteid lappima ja süsteeme taastama.

Üks selline „vaal“ on krüptograafia. Krüptograafia on andmete turvaomaduste tagamine matemaatika kaudu. Krüptograafia võimaldab arvutisüsteemides öelda, kes on kes ja mis on mis; millisest allikast on andmed pärit; kes võib neid andmeid näha, kes muuta ja kes kustutada. Krüptograafia loob süsteemide ja nende kasutajate vahele tugeva, matemaatilise usalduse.

Interneti algusaegadel polnud sel usaldusel suuremat tähtsust. Internet ei olnud äri, andmetel polnud veel majanduslikku väärtust, keegi ei tahtnud neid varastada ega valeks muuta või “pantvangi võtta”. Enam nii ei saa – ükski ettevõte ega teenus ei saa leppida sellega, et nende andmed on „lahti“ või et nende kliendid autendivad end ausõna abil. Krüptograafia kasutamisest on sisuliselt saanud hea äritava. Lisaks on hulk valdkondi, kus krüptograafiat nõuab seadus või valdkondlik regulatsioon. Terviseandmeid või krediitkaartide numbreid üle krüpteerimata kanali vahetada enam lihtsalt ei tohi.

Viimasel paari aastal on “krüpto” sõna jõudnud igapäevasesse kasutusse, ajalehtede esikaantele. Kõigepealt tulid krüptoviirused. Need tõid arusaama, et “krüpto” on ohtlik; eile olid sul perepildid, täna mitte, ja süüdi on “krüpto”. Siis tuli “krüptoraha”. Sel oli kõigepealt kiire rikastumise meelitav hõng, siis sai see külge lihtsameelsete lõksu sildi. Ja 2017 sügisel sai kogu Eesti teada, et “ID kaardi krüpto” on mingil viisil katki ja meie vabariik on ohus.

Kui meil on või tehnoloogia, mis riiki nii oluliselt mõjutab, tuleb seda tunda.
RIA on selle jaoks alates 2011. aastast tellinud regulaarset krüptouuringut.

Krüptouuringu eesmärgid on:

  • saada ja anda ülevaade valdkonna hetkeseisust,
  • käsitleda mõnda hetkel maailmas olulist krüptograafia teemat,
  • analüüsida või kirjeldada mõnda Eesti jaoks eriti olulist või aktuaalset krüptograafiaga seotud probleemi.

Õnneks ei ole meil vaja igal aastal kogu krüptograafia valdkonda uuesti üle analüüsida, sest suured muutused on üldiselt aeglased. Kuid diagnostilist ülevaatust on siiski vaja. Peame teadma, kas meie “vaal” vajab tablette või pensioni.

Värske krüptouuring

Sel aastal tellime ja avaldame krüptouuringut osade kaupa. Krüptouuringu esimene osa on nüüd teie ees.

Esimene ja kõige tähtsam peatükk annab ülevaate krüptograafiliste algoritmide hetkeseisust.
Kõik krüptograafilised algoritmid ja protokollid “vananevad” – nende vastu leitakse uusi ründeid, arvutustehnika ja meetodid arenevad. Seega muutuvad olemasolevad krüptosüsteemid “nõrgaks”. Uute infosüsteemide disainimisel peab seda teadma ja sellega arvestama. Ja seda teadmist vajame pikalt ette. Mõni täna krüpteeritud fail peab püsima saladuses ka 10 aasta pärast, täna lepingule antud allkiri peab kehtima ka aastal 2030.

Esimene peatükk vaatabki kõige olulisemaid, kõige rohkem kasutatavaid krüptoalgoritme ja kirjeldab nende tugevust nii lühikeses kui pikas perspektiivis. Eraldi tähelepanu all on kvantarvutus, sest krüptograafia tulevik sõltub kõige rohkem just sellest.

Teine peatükk kirjeldab eelmise sügise ID-kaardi kriisi krüptograafilist poolt.
Meie ID-kaardi probleem oli ühe ülemaailmse krüptovea järsk väljatulek. Uuring kirjeldab, mis juhtus, mida tehti ning kuidas ID-kaartide uue lahenduse (elliptkõverad) krüptograafiline pool töötab.

Kolmas peatükk annab ülevaate plokiahelate (blockchain) tehnoloogiast.
See on hetkel krüptograafia kõige kurikuulsam rakendus. Avalikkuse jaoks on see eelkõige “bitcoin”, kuid IT-kogukonna sees tahetakse kõik süsteemid alates muusika jagamisest kuni rakettide tootmiseni plokiahelatele “üle viia”. Sellest loodetakse järgmist “vaala”, mis kogu maailma kandma hakkab.

Krüptouuring kirjeldab eri plokiahelate erinevaid omadusi ja pakub välja skeemi, mille abil otsustada, milline tehnoloogia mis ülesande jaoks sobib. Lisaks on uuringu käigus välja töötatud plokiahelate eestikeelne terminoloogia.

Krüptouuringu kirjutasid RIA tellimusel Cybernetica teadurid Ahto Buldas, Jan Willemson ja Arne Ansper.

Loodame, et meie krüptouuringud on Eesti IT-kogukonna jaoks hea õppematerjal.

Head lugemist!

***

Lisainfo:

ID-kaardi tarkvara uueneb

Autor: Anto Veldre, RIA analüütik

Neil päevil avalikustatakse uus väljalase (reliis) ID-kaardi tarkvarast. Tegemist on regulaarse uuendusega, kus lisaks pisiparandustele leidub ka mõningaid päris uusi omadusi ja võimalusi. Umbes nädala jooksul teeb ID-kaardi tarkvara kasutajale tema arvutis ettepaneku, et oleks aeg uuendused alla laadida. Entusiastid saavad reliisi kohe ise alla tirida aadressilt installer.id.ee.

Vaade 4K ekraanilt Philips 288P6

Lühikokkuvõte olulisimast

  • 4K monitoride peal paistavad haldusvahendi ja Digidoc3 aknad nüüd normaalsuuruses. Monitoride lahutusvõime uueneb tänapäeval kiiresti ja uskuge või mitte, arendajatel tuli terve teek välja vahetada, et haldusvahendi aken liiga kribuks ei muutuks.
  • kaasa tuleb TeRa rakendus – riist vanade SHA-1-põhiste .ddoc digiallkirjade ületembeldamiseks. Allpool pikemalt.
  • Olulised täpsustused eritüübiliste allkirjade kehtivuse ja kasutuspiirangute kuvamisel. Allkirja kõlblikkuse tasemeid osutatakse nüüd värviga. Allpool pikemalt.
  • Läti vormingus allkirjadega saab Digidoc3 hakkama oluliselt paremini kui enne. Hurraa!

Lätil on rahvusvahelise .asice kõrval kasutusel ka veel omaenda edoc-vorming.

Reliisiga kaasatulevate muudatuste täielikku nimekirja saab lugeda siit.

Allkirjaredelist

Vanasti oli Eestis elu lihtne – eksisteeris üksainuke jagamatu digiallkiri. Kõik teadsid, mis see on või kuidas selle kehtivust määratleda.

Siis aga, eelmise paari aasta jooksul, jõudis Euroopa Liit meile järele ning kehtestas eIDAS määruse. Mitte kõik riigid ei lenda e-allkirja mõttes stratosfääris, mõnel on hoopis tagasihoidlikumad allkirja andmise vahendid. eIDAS sätestab allkirjadele neli võimalikku (kvaliteedi)taset. Allkirjade tasemeid oleme ka varem käsitlenud siin ja seal, selle pisinüansiga, et SE237 nimeline eelnõu on vahepeal Riigikogus ära tembeldatud ning muutunud E-identimise ja e-tehingute usaldusteenuste seaduseks (EUTS).

e-allkirjade tasemed. Autor: Anto Veldre

Lühikokkuvõte: e-allkirju on eIDASe järgi nüüd neli kategooriat (tegelikult pigem kolm asjalikku kategooriat ja siis lisaks veel “muu”). Täna ronime redelist allasuunas ja alustame kõige ülemisest ja tähtsamast pulgast:

1. QES (Qualified Electronic Signature) – e-allkirja kõrgeim tase – antud turvalises seadmes (nagu ID-kaart või m-ID) paikneva kvalifitseeritud sertifikaadiga (see peen väljend tähendab, et nii kaardiomaniku kui väljastaja taust on kontrollitud). Lisaks peab isikusertifikaatide väljanägemine vastama ELi tehnonõuetele (mingi asjalik algoritm ja vorming). Kõige tipuks peab allkirja andmise seade (tõuken, volitustõend) ise olema korralikult uuritud ja kõlbulikuks tunnistatud. Kas kõik tundsid ära – see ongi meie ID-kaart!

2. AdES/QC – Täiustatud (Advanced) e-allkiri koos kvalifitseeritud sertifikaadiga (Qualified Certificate). Kontrollitud olgu nii allkirjaomaniku taust (seda teeb meil PPA) kui ka sertifikaadiväljastaja (meil SK) taust. Ikkagi peab isikusertifikaatide väljanägemine vastama ELi tehnonõuetele (mingi asjalik algoritm ja vorming). Enamik ELi allkirju kuuluvad just siia gruppi, SmartID seni veel ka. Selle grupi krüptograafiakandja ei pruugi olla läbi uuritud ega ära sertifitseeritud. Vastik legaalprobleem QS allkirjade juures tekib ELi nõudest, et selsamal hetkel, kui meie riigisektor kohalikke QS e-allkirju aktsepteeriks, tekiks riigil automaatselt kohustus aktsepteerida ka kõigi teiste ELi riikide QS-taseme allkirju – ja neid on meeletu kogus.

3. AdES (Advanced Electronic Signature) – kõige nirum, kuid siiski veel mõnevõrra asjalik e-allkirja tase. Taustu ega riistu eriti ei kontrollita, üksnes sertifikaat peab ELi tehnonõuetele vastama.

4. Kõige madalam tase, ehk “Muuuuu!”  Ei mingeid nõudeid. Näiteks Telia mehhaaniku nühvliekraanile krihvliga antav omakäeline allkiri kuulub just siia gruppi.

Terminoloogia

Koll on peidus seal, et kui varem kasutati ühtainukest terminit – digiallkiri, siis nüüd on termineid mitu:

e-allkiri – ükskõik missugusesse nelja gruppi kuuluv ilmastikunähtus;
digiallkiri – QES (ehk siis kõrgeimale) tasemele vastav e-allkiri. Juriidilist selgitust vt EUTS §24.

Kasutusknihvid

Nagu aru saite, digiallkiri ja e-allkiri on mõnevõrra erinevad asjad. Esimene sisaldub teises.

Riigisektor reeglina muid e-allkirju ei tunnista, kui juba kasutusel olevad digiallkirju (QES ehk kõrgeim tase, võrdsustatud omakäelise allkirjaga). Tulevikus ei saa midagi välistada, aga hetkel pole silmapiiril lahendusi, mida saaks riik pruukida ilma umbes 100 seaduseteksti muutmata ning sunduseta tunnistada ELi allkirjade märkimisväärset paljusust. Samas, riigil ja kohalikel omavalitsustel on protsesse, kus saab suhelda ka üldse allkirja (saati e-allkirja) kasutamata: nt võib saata e-kirja või faksi. Samas kui allkirja juba nõutakse, siis ikkagi üksnes digiallkirja.

Vilgas erasektor aga otsib täpsemaid optimume – näiteks SmartID näol. SmartID täna vastab AdES/QC tasemele ja kui neil õnnestub teatavad hindamisprotseduurid läbida, pole välistatud, et nad aasta-paari jooksul tõusevadki QES tasemele.

Lihtne, kas pole?!

Ole DigiDoc3 kasutamisel hoolas!

Kokkuvõttes – kasutaja elu läks just oluliselt keerulisemaks. Enam ei piisa allkirja kehtivuse tuvastamisest. Kehtib küll, aga tase pole see, järelikult näiteks riigiasutusega suhtlemiseks ei sobi.

QES ehk Tõeline Digiallkiri (TM) näeb välja selline (märka rohelist värvi! – on kehtiv – ning tea, et vaid see allkiri on omakäelisega võrdsustatud:

Kui vajutada menüüpunktile “Vaata üksikasju”, siis on Digidoc kõigega väga rahul, mingeidki virinaid allkirja kvaliteedi üle ei ilmne:

Seevastu näiteks Smart-ID abil antud e-allkiri näeb DigiDoc3 utiliidis välja pisut teisiti (märka KOLLAST värvi!):

Maailma üks esimesi SmartID abil antud allkirju

Allkiri on igati kehtiv (roheline värv), ent kuivõrd Smart-ID alles astub samme, et QES tasemele sertifitseeruda, siis on KOLLASEGA lisatud sõna “PIIRANGUD“. Vajutades menüüpunktile “Vaata üksikasju” on võimalik piirangu olemust lähemalt uurida:

Seega, kollast nähes peaks kasutaja aru saama, et kusagil nurga taga on veel mingi aga. Menüüpunktil “Vaata üksikasju” klikkides avaneb uus aken, kus seletatakse ära, mis täpselt on konkreetse aga tähendus.

SmartID puhul peitub “piirangu” põhjus asjaolus, et seda pole veel jõutud QES tasemele sertifitseerida, mõne teise riigi mõne teise allkirja puhul võib piirangu põhjuseks olla midagi muud.

Jäta meelde!: riigiasutustes kõlbab endiselt üksnes QES ehk digiallkiri ehk see allkiri, mida näidatakse roheliselt. Samas, kui piiranguga allkirja on andnud ELi muu riigi kodanik, siis on juristide otsustada, mida säärase e-allkirjaga Eesti oludes üldse peale hakata – kas aktsepteerida või mitte.

Usun, et ELi eIDAS-süsteemile üleminek põhjustab kasutajates alul parasjagu segadust. On ju meil nüüd ühe normaalse digiallkirja asemel tervelt neli erinevat taset. Praktikas on vaid eIDASe allkirjaredeli kahel ülemisel tasemel Eestis mingi kasutusala. Ometi usun, et igaüks saab pisukese harjutamise peale need tasemed selgeks, nii et marss harjutama!

Lõpuks, leidub allkirju, mille puhul ei räägita enam mitte piirangust, vaid suisa hoiatusest. Enamasti on tegemist juhtudega, kus mõni arendaja on eksinud tehnilise vormingu suhtes. Hoiatusega allkirja kohates tuleks konsulteerida spetsialistiga – näiteks kirjutada aadressil help@ria.ee.

TeRa rakendus

TeRa (ehk Tembeldamise Rakendus) on mõeldud hapuks minevate digiallkirjade karjakaupa ärapäästmiseks Sinu arvutis.

Mure iseenesest tuleneb asjaolust, et Eestis on digiallkiri kasutusel juba 15 aastat. Esimesed digiallkirjad põhinesid räsialgoritmil SHA-1, mis tänaseks on räbalateks kuhtumas. Iseenesest pole siin midagi valesti – e-riigis tulebki arvestada, et algoritmid pidevalt täiustuvad ja et vanad algoritmid pole enam nii murdmiskindlad. Nii see hakkabki tulevikus olema, et iga n aasta tagant tuleb krüptograafialahendusi uuendada. Aga et see juhtus alles esimest korda, siis konservatiivid alles tõrguvad säärast perspektiivi uskumast…

Muide, ka SHA-1 räsialgoritmi kuhtumisest oleme varem kirjutanud.

Otse öeldes, kui Sina ei otsi üles oma olulisi digiallkirju ega tembelda neid TeRa abil üle mõne nüüdisaegsema algoritmiga, siis võib tulevikus tekkida sekeldusi. RIA itimehed ei saa küll ühtki allkirja lambist kehtetuks tunnistada, kuid kui tekib vaidlus, allkirjastatud dokumentidele “tekivad” erinevad sisud, siis neist õige tuvastamiseks võib juristidele kuluda väga palju aega ja raha.

Uued räsialgoritmid on murdmiskindlamad ja annavad eelmistest pikema väljundi

TeRa on mõeldud kodukasutajale oma hapuksminevate SHA-1 algoritmil põhinevate digiallkirjade päästmiseks. Rakendus tuleb käima panna ning ta otsib ise arvutist üles kõik vananevad digiallkirjad ning pistab need uude, krüptograafiliselt murdmiskindlasse konteinerisse (mis, hmm, loodetavasti peab vastu järgmised 10 aastat).

Vajadusel võib lugeda TeRa kasutusjuhendit.

Asutustele ja firmadele, kus vorbitakse sadu tuhandeid digiallkirju, kujuneb ületembeldus parajaks pähkliks, ent pole kahtlust, et nad mainituga hakkama saavad. Ühtlasi on asutustele loodud TeRa käsurearakendus.

TeRa protsessi voog arhitektuurinõukogu ajalooliselt slaidilt, BDOC asemel täna tegelikult moodustatakse juba ASIC-S vormingus fail. Teinegi oluline muudatus: DDOC faile tegelikult ei kustutata, need jäävad kasutajale kenasti alles.

Mis kuupäevaks peaksid kodused allkirjad saama üle tembeldatud? Hetkel hindab RIA, et 1. juuliks 2018. Ent ütleme ausalt välja, kui mõni vahepeal ilmunud krüptograafiline uuring SHA-1 algoritmi päris ribadeks kisub, eks siis tuleb ka riskid uuesti ümber hinnata.

Kartaago hävitamisest

Ehkki alljärgnev pole otseselt tänase päeva teema, palun mine ja uuenda ühtlasi ära ka oma sertifikaadid ID-kaardi sees. Nimelt, väga suur kogus sertifikaate on säärased, mida alates 1. juulist 2017 enam uuendada ei saa.

Kui jätad oma sertifikaadid enne 1. juulit uuendamata, tekib Sul risk, et mõned internetisirvikud enam ei soovi Sinu ID-kaardiga koostööd teha või Sind ei lasta sääraste sertifikaatidega enam mõnesse olulisse e-teenusesse sisse.

Märka hüüumärki!

Kui jätta 1. juuliks oma sertifikaadid uuendamata, siis küll midagi fataalset ei juhtu (ei võeta valimisõigust kelleltki ära vms) ja PPA teenindussaalist saab alati uue ID-kaardi, kuid paraku juba üldises järjekorras ja raha eest.

Turvaviga DROWN

DROWN logo

DROWNi logo

Anto Veldre, RIA analüütik

Sel nädalal avalikustati veebiservereid puudutav turvaviga DROWN. Tegemist on peaaegu sama kaalukategooria murega nagu 2014. aasta suursündmused HeartBleed ja Poodle ning probleem on mõnevõrra sarnane OpenSSL vähemmõjusa turvaauguga.

Uue turvaaugu nimi pärineb lühendist DROWN: Decrypting RSA with Obsolete and Weakened eNcryption. Rünnak kasutab samaaegselt ära nii mitut turva-alast võtet ja trikki, et neist arusaamiseks tuleb eelnevalt anda pisut taustainfot.

SSL või TLS avang

https:// veebilehitseja aadressiribal

https:// veebilehitseja aadressiribal

Krüpteeritud sideühendused on täna üleüldine käitumisnorm. Isegi Facebook’i minnakse turvalise ühendusega, st sellisega, et sirviku aadressribal paistab https://. Krüptitud sideühenduste kasutamine on siiski oluliselt laiem, sest sageli on salasilma eest krüptograafiliselt peidetud ka meiliserverite liiklus (IMAP ja SMTPS protokollid).

Sideühenduse päris alguses, kui klient alles pöördub turvalise veebiserveri poole (säärase, mille aadressi alguses paistab https://), lepivad kliendi sirvik ja serveri krüptomoodul omavahel kokku šifri. Nimetagem seda kokkuleppimise protsessi esmaseks käepigistuseks või avanguks.

Vaid šiffer takistab pealtkuulajal sidekanalit pealt kuulata, näha lahtise tekstiga seal liikuvat infot (paroolid, ärisaladused, delikaatne vestlus) ning saadud infot kuritarvitada. Ühesõnaga, kui krüpto ei pea, on see paras katastroof.

Polsterdusoraakel

Delfi oraakel, Heinrich Leutemann (1824–1905), allikas: Wikimedia Commons

Delfi oraakel, Heinrich Leutemann (1824–1905), allikas: Wikimedia Commons

Delfi oraaklit teavad ajalookursusest kõik. See oli tegelane, kes suutis anda õigeid vastuseid suvalistele küsimustele. Krüptograafias kasutatakse säärast terminit nagu polsterdusoraakel (eesti keeles on nähtud ka sõna täidistusoraakel) – ingl. k. padding oracle.

Krüptogramm pole ju alati sama pikk kui plokkšifri võtmepikkus, vahel jääb krüptogrammi lõpuosast märke puudu ning siis täidetakse tühjus lihtsalt mingi prahiga. Häda nüüd selles, et kui praht on iga krüptogrammi puhul sama, siis Oraakli käest ülearu palju kordi küsides võib tõele (ehk siis ka krüptogrammi enda sisule) liiga lähedale jõuda.

Kes tahab näha polsterdusoraaklit praktikas tegutsemas, vaatab blogianimatsiooni.

Üleliigne pole meenutada, et ka Eesti ID-kaardi osas on varemalt tõstatatud polsterdusoraakli küsimus, kuid tänu ID-kaardi väga selgele kasutusviisile seekord turvaauku ei tekkinud (loe: polsterdusoraakel on väga moodne teema).

Nudikrüptograafia

Poliitiliselt tundlikel ajaperioodidel tootis USA kaht eri kangusega krüptot – üht iseendale, teist (export grade) ülejäänud maailmale. Vahepeal on poliitiline kliima küll paranenud, kuid mõlemad avangumallid (nii “õige” kui “lahjendatud” export-grade kraam) lähevad installipaketis kaasa enamike teenuseserveritega. Serveri peremees peaks selle export grade värgi kohe alguses välja viskama ja SSLv2 koos sellega, kuid laiskusest või mingil pärandpõhjusel ta sageli ei tee seda.

Avanguprotokollid TLS ja SSLv2

Kasutaja sirvik saab serveriga avanguid kokku leppida mitmes eri “keeles”. Vanem keel on SSL, kusjuures juurde märgitakse ka versiooninumber (v1, v2 või v3). Uuema aja standard on TLS.

SSL – Secure Sockets Layer
TLS – Transport Level Security

Põhjusel või teisel (maksimaalne ühtesobivus!) kipuvad veebiserverid toetama mõlemat avanguprotokolli korraga.

Rünnaku eeltingimused

Rünnaku kõige tähtsam eeltingimus on, et kurjami käsutuseks oleks võimalus sideliini pealt kuulata. Eks eri maade arvukad luurekeskused teritavad kõrvu igapäevaselt, kuid enamasti nad ei lähe saadud infoga vargile. Seevastu kurjategijate ligipääs minu ja näiteks pangaserveri vahelisele liiklusele on vähetõenäoline. Kui just keegi kusagil Kapa-Kohilas oma netiühendust naabritele ei jaga ja omaenda kliente pealt ei kuula.

Veel on rünnaku läbiviimiseks vaja, et sama serverisertifikaat (ja vastavalt siis ka võti) oleks samaaegselt kasutusel nii TLS kui ka SSLv2 protokolli kaudu. Mõlemat on vaja, sest rünnaku esimene osa hangib infot TLS avangust, rünnaku teine osa aga kuritarvitab SSLv2 protokolli iseärasusi. Servereid, mis pakuvad üheaegselt nii protokolle TLS kui ka SSLv2, on maailmas hinnanguliselt 17% (kõigist teenuseserveritest).

Kuid sertifikaat maksab raha. Teenusepakkujad hoiavad raha kokku – tarvitades ühtsama RSA võtit ja ühtsama serverisertifikaati mitmel masinal paralleelselt. Näiteks avatakse vasakus masinas (kus pärandkompatiiblus on oluline) vaid SSLv2, paremas (turvalisemas) masinas aga üksnes TLS. Teadustööst selgub, et vahet pole, kas sama privaatvõtmega teenindatakse ühe masina kahest eraldi pordist või hoopis mitmest eraldi masinast. Kui sama salajane võti on paralleelkasutuses nii TSL teenindusluugis kui ka SSLv2 teenindusluugis, siis DROWN rünnaku salakaval matemaatika töötab! Säärast tingimust rahuldab aga juba tervelt 33% maailma teenusserverite koguarvust. Lühilausena – DROWN-rünnaku eeltingimusena peab sama privaatvõti/kasutajasertifikaat olema korraga kasutusel nii TLS kui SSLv2 protokolliga. Häda serveriomanikele, kel nii on!

Ründe kirjeldus

Koledad matemaatilised valemid jätame vahele, igaüks saab neid ise lugeda teadustööst.

Mida kurikael ründamiseks teeb?

a) Kuulates pealt mõnd tihedasti pruugitavat sideühendust, kogub ta umbes 1000 sessiooni TLS avanguid. Mõne keskse sotsiaalvõrguteenuse ääres pealt kuulates koguneksid 1000 komplekti avanguid mõne sekundiga. Ise midagi saata pole vaja, piisab passiivsest pealtkuulamisest.

b) Nüüd arvutab kurikael neist tuhandest avangust kakskümmend tuhat tantsukutset, millega õrritab kas sama serverit või sama võtit kasutavat sõberserverit, kuid SSLv2 protokolli abil. Et olmetermineid pisutki teadusterminitega kokku viia, kujutleme naljatlevaid poisikesi, kes on Delfi oraaklile ligi hiilinud, loobivad teda 20 000 korda järjest prügiga, ise iga kord küsides – ja mis see on? Vaene server (oraakel) siis iga kord vastab neile midagi.

c) Kurjam kogub saadud 20 000 vastust kokku (jätame keerulise matemaatika siinkohal vahele) ning voilaa! teadlased leiutasid valemi, millega üks sideseanssidest lahti dešifreerida.

Et hästi selge oleks – 1000 kliendi avanguid pealt kuulates ja pärast 20 000 ajuloputuspäringut (teise teenusesse) on kurjamil siiski võimalik lahti muukida vaid üks sideseanss 1000-st. Serveri poolel ühtlasi ehk ka märgatakse, et keegi tülitab serverit lihtsalt niisama, pulli pärast. Aga kui majas ollakse hooletud, ehk ei märgatagi …

Kes on ohustatud?

Suisa koduperenaised ohustatud ei ole. Rünnak on kallis – üheainsa sideühenduse mahavõtmiseks (tõsi, sealt seest saab parooli, millega juba edasi sisse murda) kulub mitusada kuni kakskümmend tuhat raha. Seevastu sihitud rünnakuobjektid – advokaadid, kirikuhärrad, ärimehed, raamatupidajad, riigiametnikud, sõjaväelased – ehk siis kõik need, kelle käsutuses on mingit hinnalist infot, peaksid vägagi ette vaatama, mitte pruukima kahtlasi SSL/TLS ühendusi.

Muud küsimused

Q1 Mida saab kasutaja ära teha?
A1: Mitte midagi. Vaid serveriomanik saab. Kasutaja saab teda tülitada, kuniks asjad korras.

Q2: Kust saan teada, kas minu tarvitatav teenus on mulguline?
A2: Päris kindlat garantiid ei anta, kuid testimisvorm asub lehe keskel.

Q3: Kas minu lemmikteenuseserver on ohustatud?
A3: Lase oma itimehel testida. DROWNi publitseerimise hetkel oli ohustatud neljandik internetis teenust pakkuvatest serveritest.

Q4: Kas minu sideliin läheb otse usaldusväärse ISP sidevõrku või jääb vahepeale mõni kahtlasem koht?
A4: Traceroute päring abiks. Samas, passiivset pealtkuulamist pole kahjuks kuidagi võimalik eemalt kindlaks teha. Siiski: kahtekümment tuhandet libapäringut peaks sinu serveriomanik ehk suutma märgata. Küsi temalt endalt!

Q5: Kuidas see tantsukutsete väljaarvutamine täpselt käibki?
A5: Ründajal peab kodus olema arvutusvõimsust tasemel 250. Paar kiiret (BitCoini arvutamiseks mõeldud) graafikakaarti koguhinnaga mõni tuhat dollarit või pilveraali üür mõnesaja dollari eest lahendavad arvutusvõimsuse probleemi. Ülejäänut loe ise algsest teadustööst.

Viited