Криптографска пророчишта могу бити одлична алатка за хакере. Ево зашто.

Да ли је могуће да нападач дешифрује и шифрује податке на вашој апликацији без познавања кључева за дешифровање? Одговор је да, и лежи у криптографској мани која се зове пророчиште за шифровање.

Пророчишта за шифровање служе као потенцијални пролаз за нападаче да прикупе информације о шифрованим подацима, све без директног приступа кључу за шифровање. Дакле, како нападачи могу да искористе криптографска пророчишта кроз технике као што су напади на пророчиште за попуњавање? Како можете спречити да такве рањивости утичу на вас?

Шта је криптографско пророчиште?

Шифровање је безбедносни протокол у којем се обичан текст или подаци претварају у нечитљив кодирани формат, такође познат као шифровани текст, да заштитите његову поверљивост и обезбедите да му могу приступити само овлашћене стране са дешифровањем кључ. Постоје две врсте шифровања: асиметрично и симетрично.

Асиметрично шифровање користи пар различитих кључева (јавних и приватних) за шифровање и дешифровање, док симетрично шифровање користи један заједнички кључ и за шифровање и за дешифровање. Можете да шифрујете скоро све, текстуалне поруке, е-пошту, датотеке, веб саобраћај итд.

instagram viewer

С друге стране, пророчиште је медиј преко којег особа обично добија информације које обично не би биле доступне обичним људима. Замислите пророчиште као посебну кутију када прођете кроз нешто и то вам даје резултат. Не знате садржај кутије, али знате да функционише.

Криптографско пророчиште, такође познато као пророчиште за попуњавање, је концепт у криптографији који се односи на систем или ентитет који може да пружи информације о шифрованим подацима без откривања шифровања кључ. У суштини, то је начин интеракције са системом за шифровање да бисте стекли знање о шифрованим подацима без директног приступа кључу за шифровање.

Криптографско пророчиште се састоји од два дела: упита и одговора. Упит се односи на радњу обезбеђивања шифрованог текста пророчишту (шифровани подаци), а одговор је повратна информација или информација коју пружа пророчиште на основу своје анализе шифрованог текста. Ово може укључивати проверу његове валидности или откривање детаља о одговарајућем обичном тексту, потенцијално помагање нападачу да дешифрује шифроване податке и обрнуто.

Како функционишу Паддинг Орацле напади?

Један од главних начина на који нападачи искоришћавају криптографска пророчишта је напад пророчишта са допунама. Падинг пророчиште је криптографски напад који искоришћава понашање система за шифровање или услуге када открије информације о исправности допуна у шифрираном тексту.

Да би се ово десило, нападач мора да открије грешку која открива криптографско пророчиште, затим да му пошаље модификовани шифровани текст и посматра одговоре пророчишта. Анализом ових одговора, нападач може да закључи информације о обичном тексту, као што је његов садржај или дужина, чак и без приступа кључу за шифровање. Нападач ће више пута погађати и мењати делове шифрованог текста све док не поврати цео обичан текст.

У стварном сценарију, нападач може посумњати да апликација за онлајн банкарство, која шифрује корисничке податке, може имати рањивост пророчишта. Нападач пресреће захтев за шифровану трансакцију легитимног корисника, модификује га и шаље серверу апликације. Ако сервер реагује другачије – кроз грешке или време потребно за обраду захтева – на измењени шифровани текст, то може указивати на рањивост.

Нападач га затим искоришћава пажљиво израђеним упитима, на крају дешифрујући детаље корисникове трансакције и потенцијално добијајући неовлашћен приступ његовом налогу.

Други пример је коришћење пророчишта за шифровање да се заобиђе аутентификација. Ако нападач открије пророчиште за шифровање у захтевима веб апликације која шифрује и дешифрује податке, нападач може да га користи да добије приступ важећем корисничком налогу. Могао је да дешифрује токен сесије налога, преко оракула, да измени обичан текст користећи исто пророчиште, и замените токен сесије направљеним шифрованим токеном који ће му омогућити приступ другом кориснику рачун.

Како избећи криптографске нападе на Орацле

Криптографски напади пророчишта су резултат рањивости у дизајну или имплементацији криптографских система. Важно је осигурати да ове криптографске системе имплементирате безбедно како бисте спречили нападе. Друге мере за спречавање пророчишта шифровања укључују:

  1. Проверени режими шифровања: Коришћење аутентификованих протокола за шифровање као што су АЕС-ГЦМ (Галоис/Цоунтер Моде) или АЕС-ЦЦМ (Цоунтер са ЦБЦ-МАЦ) не само пружа поверљивост, али и заштиту интегритета, што отежава нападачима да мењају или дешифрују шифровани текст.
  2. Доследно руковање грешкама: Уверите се да процес шифровања или дешифровања увек враћа исти одговор на грешку, без обзира да ли је допуна исправна или не. Ово елиминише разлике у понашању које нападачи могу да искористе.
  3. Безбедносно тестирање: Редовно спроводите безбедносне процене, укључујући тестирање пенетрације и преглед кода, да идентификује и ублажи потенцијалне рањивости, укључујући проблеме са пророчанством шифровања.
  4. Ограничење стопе: Имплементирајте ограничење брзине за захтеве за шифровање и дешифровање да бисте открили и спречили нападе грубом силом.
  5. Провера уноса: Потврдите и дезинфикујте корисничке уносе пре шифровања или дешифровања. Уверите се да се улази придржавају очекиваног формата и дужине да бисте спречили нападе пророчишта са допуном путем манипулисаних улаза.
  6. Безбедносно образовање и свест: Обучите програмере, администраторе и кориснике о најбољим праксама за шифровање и безбедност како бисте подстакли културу свесне безбедности.
  7. Редовна ажурирања: Одржавајте све софтверске компоненте, укључујући криптографске библиотеке и системе, ажурним са најновијим безбедносним закрпама и ажурирањима.

Побољшајте свој безбедносни положај

Разумевање и заштита од напада као што су пророчишта шифровања су неопходни. Применом безбедних пракси, организације и појединци могу да ојачају своју одбрану од ових подмуклих претњи.

Образовање и свест такође играју кључну улогу, у неговању културе безбедности која се протеже од програмера и администратора до крајњих корисника. У овој текућој борби за заштиту осетљивих података, будите опрезни, информисани и идите корак испред потенцијалних нападача је кључ за очување интегритета ваше дигиталне имовине и података које поседујете драги.