Gyengített titkosítás és backdoor NSA-nyomásra?

A múlt héten nagyot robbant a hír, hogy az amerikai Nemzetbiztonsági Ügynökség képes az eddig biztonságosnak hitt titkosítási algoritmusok feltörésére vagy megkerülésére, ezzel az internetes kommunikáció alapvető bizalmi elemeit kezdve ki. A Guardian és a New York Times cikkei nem neveznek meg egyetlen titkosítási technológiát vagy érintett terméket sem, így szakmai szempontból nem is találtuk túl érdekesnek az információt - a nem szakmai média ezzel szemben azonnal felkapta a hírt és sikerült úgy tálalnia, mintha az NSA minden létező titkosítást sikerrel törne fel. A kevés hírértékkel bíró új szivárogtatást az elmúlt napokban a biztonsági szakemberek árnyalták - valójában azért van mitől tartani.

A titkosítás mennyiségi kérdés

Tény, hogy sok titkosítási algoritmus ma már kifejezetten elavultnak számít, abban az értelemben, hogy viszonylag könnyen törhető. Az RSA 1024 bites titkosítás ma már egy szuperszámítógépes kapacitással bővel ellátott ügynökség számára viszonylag könnyű falatnak számít, a 2048 bites azonban belátható időn belül még védelmet nyújt. A NIST (amerikai szabványügyi hivatal) feladatkörébe tartozik a titkosítási szabványok kidolgozása és a hozzá kapcsolódó ajánlások készítése, az intézet 2012-ben frissített SP 800-57 dokumentuma szerint kormányzati berkekben az RSA 1024-es kulcsokat kötelező módon ki kell vezetni, és minimum 2048 bites kulcshosszra átállni. Az indoklás szerint a kilobites kulcsok már törhetőnek számítanak, a 2048-as azonban 2030-ig biztonságosnak számít. Az RSA 1024-hez hasonlóan számos titkosítás számít törhetőnek. A Microsoft PPTP VPN-ben használt MS-CHAP, vagy a BEAST és a CRIME sérülékenységek révén az SSL is valamennyire annak számít.

Az NSA-befolyás érdekes aspektusára hívja fel a figyelmet John Gilmore, az Electronic Frontier Foundation (EFF) aktivistája, a CygWint fejlesztő Cygnus egyik alapítója. Gilmore levele szerint az NSA aktívan közrejátszott az IPsec biztonsági szabvány kidolgozásában, az ügynökség pedig sikeresen érte el az alapértelmezett biztonsági szint gyengítését, amelynek így része a "null" biztonság (plaintext), 56 bit DES és 768 bites Diffie-Hellman is, ezek mindegyike könnyedén támadható. A végleges szabvány elképesztően komplex és átláthatatlan lett - annyira, hogy egyetlen komolyan vehető biztonsági szakember sem vállalta annak teljeskörű elemzését. Az NSA befolyásának számlájára írja az IPsec implementációjának akadályozását is Gilmore: a Linux kernelszintű integráció használhatatlan lett, a túl magas maximális szegmensméret pedig erősen korlátozta az új szabvány használhatóságának körét.

Két másik egyedi esetről számol be az Ars Technica cikke. Az első esetben az ügynökség munkája abszolút pozitív volt: 1987-ben a DES titkosítási szabvány elkészítésében az NSA aktívan közreműködött és saját szakembereinek segítségével sikerült egy támadási vektor ellen védetté is tenni azt. Az ügynökség céljai azonban a következő két évtizedben alaposan megváltoztak, a 2006-ban publikált, viszonylag gyéren használt Dual_EC_DRBG véletlenszám-generáló algoritmust szándékosan gyengítette.

Az NSA nyomására elfogadott végső változat által generált számok ugyanis bizonyos feltételek között megjósolhatóak, amennyiben a támadó ismeri a (titkos) kiinduló paramétert. A spekulációk szerint az NSA ismerheti ezt, ennek birtokában pedig az algoritmus által kiadott számok előre kiszámíthatóak, az ezt használó titkosítás pedig támadhatóvá válik. A titkosítási algoritmus egyébként választhat tetszőleges kiinduló paramétert, opcionálisan. A történet attól válik különösen érdekessé, hogy a Dual_EC_DBRG az NSA-féle módosítástól eltekintve sem számít jónak, lassú és az eloszlása sem tökéletes - ami már önmagában (a paraméter ismerete nélkül is) támadhatóvá teszi azt.

Hiányosságai ellenére a generátor 66 validált implementációval rendelkezik, olyan szoftverekben, mint az RSA BSAFE Crypto-J és Crypto-C, Cisco széles körben használt SSL FIPS Object Module könyvtára, a BlackBerry titkosítási könyvtára és az OpenSSL könyvtár (amelyet például az Android is használ). A listán megtalálható a Microsoft Cryptography Next Generation is, amelyet a Windows RT, Windows 7 és 8, Windows Server 2008 R2 és 2012 illetve a Windows Phone 8 használ. Az implementáció nem jelenti azt, hogy az algoritmust használja is a szoftver, a lehetőség mindenesetre ott van.

A lapok által közölt információk szerint az NSA-nak sikerült feltörnie az egyik széles körben elterjedt algoritmust. A szakemberek spekulációi szerint ez jó eséllyel az RC4 titkosítás lehet, amely kutatások szerint sérülékeny lehet bizonyos támadásokkal szemben. A TLS protokoll alatt működő algoritmust széles körben használják, ha sikerült a TLS-féle implementáció formáját megtörni, az hatalmas fegyvertény lenne.

Kerülj, ha tudsz

Az NSA is pontosan tudja azt, amit annak idején Kevin Mitnick vallott: meg kell keresni a rést a pajzson és azon keresztül megszerezni az adatokat. Ezért a legtöbb esetben nem a titkosítás nyers erővel történő feltörése, hanem megkerülése jelenti a kormányügynökség számára jelenleg a fontosabb csapásirányt. A kiszivárgó információk szerint az NSA aktívan együttműködik nagy tech-cégekkel annak érdekében, hogy a szoftveres backdooron keresztül hozzáférhessen.

Hogy ez mennyire triviálisan végrehajtható, jól illusztrálja a májusi Skype-minibotrány. Az azóta bezárt H-Online kiderítette, hogy a Skype-on elvben titkosítva küldött HTTPS címek microsoftos IP-ről néhány órán belül látogatásban részesülnek. A Microsoft szerint ez csupán automatizált biztonsági ellenőrzés és phishing-támadások ellen véd - feltevődik azonban a kérdés, hogy az elvileg titkosított kommunikációhoz hogyan fér hozzá a cég? A válasz triviális: a kliensek között ugyan titkosítva közlekedik az adat, de a titkosítás feloldását követően a kliens elküldi a linket a Microsoftnak.

Analóg módon működhet az NSA és a szoftvergyártók együttműködésével létrehozott backdoor-rendszere is. Az információk szerint 250 millió dolláros éves költségvetése van annak a programnak, amelynek keretében az ügynökség különböző szoftvergyártókkal dolgozik együtt és speciális hozzáférést kap változatos szoftverekhez. Az NSA és brit megfelelője, a GCHQ (Government Communications Headquarters) pontosan tudatában van az együttműködések rendkívül érzékeny voltának, ezért ezek még a hírszerző közösségen belül sem nyilvánosak, a szervezeten belül is szigorúan titkos információnak minősül, hogy mely gyártók mely szoftvereiben, pontosan milyen backdoor található - áll az Edward Snowden által kiszivárogtatott prezentációkban.

A nyitottság elve alapján a szabad szoftveres titkosításnak biztonságosnak kellene lennie. Sajnos ezek az implementációk sem hibátlanok, az OpenSSL-ben rendszeresen találnak sérülékenységet és persze az sem segít, hogy a könyvtár első készítőjének ez volt a C tanulásához használt projektje. Az OpenSSL mára elképesztően komplex szoftverré vált, amelyet azok a szakértők sem látnak át egészében, akik egész szakmai karrierjüket ebben a környezetben töltötték. Emiatt a klasszikus "több szem többet lát" elv a titkosításban nem nagyon érvényesül, így a szabad szoftver sem számít automatikusan biztonságosabbnak a zárt szoftvernél.

Nyerd meg az 5 darab, 1000 eurós Craft konferenciajegy egyikét! A kétnapos, nemzetközi fejlesztői konferencia apropójából a HWSW kraftie nyereményjátékot indít.

Iparági veteránok emlékezhetnek a Clipper Chip kezdeményezésre, amely a hangkommunikáció titkosítására szolgáló platform volt. Az 1993-ban bemutatott NSA-kezdeményezés szerint minden telefonba ilyen Clipper Chip került volna, amely a végpontok közötti titkosításért felel, azonban a kommunikáció az NSA számára nyitott marad. Az EFF és számos civil szervezet támadásainak hatására a Clipper platform nem terjedt el, néhány év alatt pedig teljesen leállt a program, az információk szerint azonban az NSA hozzáállása és céljai nem változtak, a külön bejáratú titkosítás továbbra is központi eszköznek számít. Ebben az NSA számára fontos előrelépés, hogy sikerült leépíteni a titkosítási szabványok körüli iparági együttműködést, az újabb szabványokat a szervezet gyakorlatilag egyedül készíti - írja a Guardian cikke például.

Nem kizárólagos hozzáférés

Biztonsági szakemberek és az átlagos felhasználók számára egyaránt problémát jelentenek a legújabb információk. Ha ugyanis valósak a kiszivárgott adatok és a széles tömegek által használt szoftverek beépített backdoort tartalmaznak, akkor nincs arra garancia, hogy azt kizárólag az amerikaiak és szövetségeseik használják. Az erős versenyt mutató iparágakban például immár nem zárható ki, hogy mondjuk a kínai vállalatok ilyen beépített kapukon keresztül férnek hozzá a nyugati konkurencia üzleti titkaihoz, vagy az autoriter rezsimek hallgatják le disszidenseiket. A titkosítási algoritmusok gyengítése és a backdoorok beépítése ezért iparági szempontból rendkívül káros gyakorlat, amely a számítógépes rendszerekbe és az internetbe vetett bizalmat ássa alá.