Kendi şifrenizi yuvarlamayın.

Kendi şifreleme algoritmanızı veya protokolünüzü icat etmeyin; bu son derece hataya açıktır. Bruce Schneier'in dediği gibi,

"Herkes kendi başına kıramayacağı bir şifreleme algoritması icat edebilir; kimsenin kıramayacağı bir algoritma icat etmek çok daha zordur".

Kripto algoritmaları çok karmaşıktır ve güvenli olduklarından emin olmak için yoğun bir inceleme gerektirir; Kendinizinkini icat ederseniz, bunu elde edemezsiniz ve farkına varmadan güvensiz bir şeyle karşılaşmanız çok kolaydır.

Bunun yerine, standart bir şifreleme algoritması ve protokolü kullanın. Muhtemelen bir başkası sorununuzla daha önce karşılaştı ve bu amaç için uygun bir algoritma tasarladı.

En iyi durumunuz, yüksek düzeyde iyi incelenmiş bir şema kullanmaktır: iletişim güvenliği için TLS (veya SSL ); hareketsiz veriler için GPG (veya PGP) kullanın. Bunu yapamazsanız, cryptlib, GPGME, Keyczar veya NaCL gibi üst düzey bir kripto kitaplığı kullanın. OpenSSL, CryptoAPI, JCE vb. gibi düşük seviyeli biri. Bu öneri için Nate Lawson'a teşekkürler.

İleti kimlik doğrulaması olmadan şifreleme kullanmayın

Verilerin kimliğini doğrulamadan şifrelemek çok yaygın bir hatadır.

Örnek: Geliştirici bir mesajı gizli tutmak istiyor, bu nedenle mesajı AES-CBC modu ile şifreler. Hata: Bu, etkin saldırılar, yeniden oynatma saldırıları, tepki saldırıları vb. Durumlarda güvenlik için yeterli değildir. İleti kimlik doğrulaması olmadan şifrelemeye yönelik bilinen saldırılar vardır ve saldırılar oldukça ciddi olabilir. Düzeltme, mesaj kimlik doğrulaması eklemektir.

Bu hata, ASP.NET, XML a dahil olmak üzere kimlik doğrulama olmadan şifreleme kullanan konuşlandırılmış sistemlerde ciddi güvenlik açıklarına yol açtı. > şifreleme, Amazon EC2, JavaServer Faces, Ruby on Rails, OWASP ESAPI, IPSEC, WEP, ASP.NET tekrar ve SSH2. Bu listede bir sonraki olmak istemezsiniz.

Bu sorunları önlemek için, şifrelemeyi her uyguladığınızda mesaj kimlik doğrulamasını kullanmanız gerekir. Bunu nasıl yapacağınıza dair iki seçeneğiniz vardır:

• Muhtemelen en basit çözüm, kimliği doğrulanmış şifreleme sağlayan bir şifreleme şeması kullanmaktır, ör. GCM, CWC, EAX, CCM, OCB. (Ayrıca bkz .: 1.) Kimliği doğrulanmış şifreleme şeması bunu sizin yerinize halleder, böylece bunun hakkında düşünmeniz gerekmez.

• Alternatif olarak, aşağıdaki gibi kendi mesaj kimlik doğrulamanızı uygulayabilirsiniz. İlk olarak, uygun bir simetrik anahtar şifreleme şeması (örneğin, AES-CBC) kullanarak mesajı şifreleyin. Ardından, tüm şifreli metni alın (tüm IV'ler, şifreler veya şifre çözme için gerekli diğer değerler dahil), bir mesaj kimlik doğrulama kodu (örn., AES-CMAC, SHA1-HMAC, SHA256-HMAC) uygulayın ve elde edilen MAC özetini iletimden önce şifreli metin. Alıcı tarafta, şifre çözmeden önce MAC özetinin geçerli olup olmadığını kontrol edin. Bu, şifreli ve sonra kimlik doğrulama yapısı olarak bilinir. (Ayrıca bkz .: 1, 2.) Bu da iyi çalışıyor, ancak sizden biraz daha fazla özen göstermenizi gerektiriyor.

Birden çok dizeyi birleştirirken dikkatli olun, karma oluşturmadan önce.

Bazen gördüğüm bir hata: İnsanlar S ve T dizelerinin bir karmasını istiyorlar. tek dizge S || T, sonra hash ile H (S || T) elde edin. Bu hatalı.

Sorun: Birleştirme, iki dizi arasındaki sınırı belirsiz bırakıyor. Örnek: yerleşik || güvenli = oluşturulmuş || güvensiz . Başka bir deyişle, hash H (S || T), S ve T dizisini benzersiz bir şekilde tanımlamaz. Bu nedenle, saldırgan, hash'i değiştirmeden iki dizge arasındaki sınırı değiştirebilir. Örneğin, Alice yerleşik ve güvenli dizelerini göndermek isterse, saldırgan bunları oluşturulmuş ve karmaşayı geçersiz kılmadan güvenli değildir.

Bir dizi diziye dijital imza veya mesaj kimlik doğrulama kodu uygulanırken benzer sorunlar söz konusudur.

Düzeltme: düz birleştirme yerine, açık bir şekilde çözülebilen bazı kodlamalar kullanın. Örneğin, H (S || T) hesaplamak yerine, H (uzunluk (S) || S || T) hesaplayabilirsiniz; burada uzunluk (S), S'nin uzunluğunu bayt cinsinden ifade eden 32 bitlik bir değerdir. Veya başka bir olasılık, H (H (S) || H (T)) veya hatta H (H (S) || T) kullanmaktır.

Bu kusurun gerçek hayattan bir örneği için , Amazon Web Hizmetleri'ndeki bu kusur veya Flickr'daki bu kusur [pdf] bölümüne bakın.

Nonce'leri veya IV'leri yeniden kullanmayın

Çoğu işlem modu bir IV (Başlatma Vektörü) gerektirir. Bir IV için asla aynı değeri iki kez tekrar kullanmamalısınız; bunu yapmak, tüm güvenlik garantilerini iptal edebilir ve feci bir güvenlik ihlaline neden olabilir.

• CTR modu veya OFB modu gibi akış şifreleme işlem modları için IV'ü yeniden kullanmak, güvenlik felaketi. Şifrelenmiş mesajların önemsiz bir şekilde kurtarılabilir olmasına neden olabilir.

• CBC modu gibi diğer çalışma modları için IV'ün yeniden kullanılması, bazı durumlarda düz metin kurtarma saldırılarını da kolaylaştırabilir. .

Hangi çalışma modunu kullanırsanız kullanın, IV'ü tekrar kullanmamalısınız. Nasıl doğru yapılacağını merak ediyorsanız, NIST belirtimi, blok şifreleme işlem modlarının doğru şekilde nasıl kullanılacağına dair ayrıntılı belgeler sağlar.

Tarsnap projesi, bu tuzak. Tarsnap, yedekleme verilerini parçalara bölerek ve ardından her bir parçayı CTR modunda AES ile şifreleyerek şifreler. Tarsnap'ın 1.0.22 ila 1.0.27 sürümlerinde, aynı IV yanlışlıkla yeniden kullanıldı ve düz metin kurtarmayı mümkün kıldı.

Bu nasıl oldu? Colin Percival, Tarsnap kodunu basitleştirmek için - ve hata potansiyelini azaltma umuduyla - AES-CTR kodunu yeni bir dosyada (Tarsnap kaynak kodunda lib / crypto / crypto_aesctr.c) "yeniden düzenleme" fırsatını kullandı. ) ve bu rutinlerden yararlanmak için AES-CTR'nin kullanıldığı mevcut yerleri değiştirdi. Yeni kod şuna benzer:

 / * Verileri şifreleyin. * / - aes_ctr (& encr_aes-> anahtar, encr_aes-> nonce ++, buf, len, - filebuf + CRYPTO_FILE_HLEN); + if ((stream = + crypto_aesctr_init (& encr_aes-> anahtar, encr_aes-> nonce)) == NULL) + goto err0; + crypto_aesctr_stream (akış, buf, filebuf + CRYPTO_FILE_HLEN, len); + crypto_aesctr_free (akış); 

Yeniden düzenleme sırasında, encr_aes->nonce ++ yanlışlıkla encr_aes->nonce 'a dönüştürüldü ve sonuç olarak aynı nonce değeri tekrar tekrar kullanıldı . Özellikle, CTR nonce değeri, her parça şifrelendikten sonra artırılmaz. (CTR sayacı, her 16 baytlık veri işlendikten sonra doğru şekilde artırılır, ancak bu sayaç her yeni yığın için sıfırlanır.) Tüm ayrıntılar Colin Percival tarafından http://www.daemonology.net adresinde açıklanmıştır. /blog/2011-01-18-tarsnap-critical-security-bug.html

Yeterli entropi ile rastgele sayı oluşturucuları yerleştirdiğinizden emin olun.

Anahtar oluşturmak, IV'leri / hiçleri seçmek vb. gibi şeyler için kripto gücü sözde rasgele sayı üreteçleri kullandığınızdan emin olun . rand () , random () , drand48 () vb. Kullanmayın.

Emin olun sahte rasgele sayı üretecini yeterli entropi ile tohumlayın. Onu günün saatiyle tohumlamayın; bu tahmin edilebilir.

Örnekler: srand (time (NULL)) çok kötü. PRNG'nizi yerleştirmenin iyi bir yolu, 128 bit veya gerçek rastgele sayılar almaktır, örneğin / dev / urandom , CryptGenRandom veya benzerinden. Java'da, Rasgele değil SecureRandom kullanın. .NET'te System.Random'u değil System.Security.Cryptography.RandomNumberGenerator'ı kullanın. Python'da rastgele değil, random.SystemRandom kullanın. Bazı örnekler için Nate Lawson'a teşekkürler.

Gerçek dünya örneği: Netscape tarayıcısının ilk sürümlerinde bir saldırganın SSL'yi kırmasına izin veren bu kusura bakın.

Simetrik şifreleme için ECB ile blok şifreleme kullanmayın

(AES, 3DES, ... için geçerlidir)

İşte bir gönderi ve ECB modunun nasıl şifrelenmemiş bir kodla sonuçlandığına dair çok benzer bir Microsoft KB makalesi.

Ayrıca Rook 'dan bu benzer gönderiye bakın

Düz metin mesajı:

ECB modu ile şifrelenen mesajın aynısı (hangi şifreyi kullandığınız önemli değil):

CBC modunu kullanan TAM aynı mesaj (yine, ne olduğu önemli değil kullandığınız şifre):

Yanlış yol

  public static string Encrypt (string toEncrypt, string key, bool useHashing) { bayt [] keyArray = UTF8Encoding.UTF8.GetBytes (anahtar); bayt [] toEncryptArray = UTF8Encoding.UTF8.GetBytes (toEncrypt); if (useHashing) keyArray = new MD5CryptoServiceProvider (). ComputeHash (anahtar); ComputeHash (anahtar) ) {Key = keyArray, Mode = CipherMode.ECB, Padding = PaddingMode.PKCS7}; ICryptoTransform cTransform = tdes.CreateEncryptor (); bayt [] resultArray = cTransform.TransformFinalBlock (toEncryptArray, 0, toEncryptArray; (resultArray, 0, resultArray.Length);}  

Hata aşağıdaki satırdadır

{Key = keyArray, Mode = CipherMode.ECB , Padding = PaddingMode.PKCS7};

Doğru yol

Microsoft'taki iyi arkadaşlar, yukarıda bağlantısı verilen KB makalesini düzeltmem için bana aşağıdaki kodu gönderdiler. Buna 111021973179005 numaralı durumda başvurulur

Bu örnek kod, verileri şifrelemek için AES kullanıyor ve AES şifrelemesinin anahtarı, SHA256 tarafından oluşturulan karma koddur. AES, Gelişmiş Şifreleme Standardı (AES) algoritmasıdır. AES algoritması permütasyonlara ve ikamelere dayanmaktadır. Permütasyonlar verilerin yeniden düzenlenmesidir ve ikameler bir veri birimini diğeriyle değiştirir. AES, birkaç farklı teknik kullanarak permütasyonlar ve ikameler gerçekleştirir. AES hakkında daha fazla ayrıntı için lütfen http://msdn.microsoft.com/en-us/magazine/cc164055.aspx .

SHA, Güvenli Karma Algoritmadır. SHA-2 (SHA-224, SHA-256, SHA-384, SHA-512) artık önerilmektedir. .NET Framework'te Hash Değerleri hakkında daha ayrıntılı bilgi için lütfen http://msdn.microsoft.com/en-us/library/92f9ye3s.aspx#hash_values ​​ adresine bakın.

AesCryptoServiceProvider için simetrik algoritmanın çalıştırılmasına yönelik modun varsayılan değeri CBC'dir. CBC, Şifreleme Bloğu Zincirleme modudur. Geri bildirimi tanıtır. Her düz metin bloğu şifrelenmeden önce, bit düzeyinde özel OR işlemiyle önceki bloğun şifreleme metni ile birleştirilir. Bu, düz metin birçok özdeş blok içerse bile, her birinin farklı bir şifreleme metin bloğuna şifrelenmesini sağlar. Başlatma vektörü, blok şifrelenmeden önce bit düzeyinde özel VEYA işlemiyle ilk düz metin bloğu ile birleştirilir. Şifreleme metin bloğunun tek bir biti karıştırılırsa, karşılık gelen düz metin bloğu da karıştırılır. Ek olarak, sonraki blokta orijinal karıştırılmış bit ile aynı konumda bulunan bir bit karıştırılacaktır. CipherMode hakkında daha ayrıntılı bilgi için lütfen http://msdn.microsoft.com/en-us/library/system.security.cryptography.ciphermode.aspx adresine bakın.

İşte örnek kod.

  // Bu işlev, verileri anahtar ve iv ile şifrelemek için kullanılır.
bayt [] Şifrele (bayt [] veri, bayt [] anahtar, bayt [] iv) {// Bir AESCryptoProvider oluşturun. using (var aesCryptoProvider = new AesCryptoServiceProvider ()) {// AESCryptoProvider'ı anahtar ve iv ile başlatın. aesCryptoProvider.KeySize = key.Length * 8; aesCryptoProvider.IV = iv; aesCryptoProvider.Key = anahtar; // AESCryptoProvider'dan şifreleyici oluşturun. kullanarak (ICryptoTransform encryptor = aesCryptoProvider.CreateEncryptor ()) {// Şifrelenmiş verileri depolamak için bellek akışı oluşturun. kullanarak (MemoryStream stream = new MemoryStream ()) {// Verileri şifrelemek için bir CryptoStream oluşturun. using (CryptoStream cryptoStream = new CryptoStream (stream, encryptor, CryptoStreamMode.Write)) // Verileri şifreleyin. cryptoStream.Write (veri, 0, veri.Uzunluğu); // şifrelenmiş verileri döndür. return stream.ToArray (); }}}} // Bu işlev, anahtar ve iv.byte [] Şifre çözme (bayt [] veri, bayt [] anahtar, bayt [] iv) {// Bir AESCryptoServiceProvider oluşturarak verilerin şifresini çözmek için kullanılır. using (var aesCryptoProvider = new AesCryptoServiceProvider ()) {// AESCryptoServiceProvier'i anahtar ve iv ile başlatın. aesCryptoProvider.KeySize = key.Length * 8; aesCryptoProvider.IV = iv; aesCryptoProvider.Key = anahtar; // AESCryptoServiceProvider'dan şifre çözücü oluşturun. kullanarak (ICryptoTransform decryptor = aesCryptoProvider.CreateDecryptor ()) {// Şifrelenmiş verileri içeren bir bellek akışı oluşturun. kullanarak (MemoryStream stream = new MemoryStream (data)) {// Şifrelenmiş verilerin şifresini çözmek için bir CryptoStream oluşturun. using (CryptoStream cryptoStream = new CryptoStream (stream, decryptor, CryptoStreamMode.Read)) {// Bir bayt arabellek dizisi oluşturun.
bayt [] readData = yeni bayt [1024]; int readDataCount = 0; // Şifresi çözülmüş verileri depolamak için bir bellek akışı oluşturun. kullanarak (MemoryStream resultStream = new MemoryStream ()) {do {// Verilerin şifresini çözün ve verileri readData arabellek dizisine yazın. readDataCount = cryptoStream.Read (readData, 0, readData.Length); // Şifresi çözülmüş verileri resultStream'e yazın. resultStream.Write (readData, 0, readDataCount); } // Akışta daha fazla şifrelenmiş veri olup olmadığını kontrol edin. while (readDataCount > 0); // Şifresi çözülmüş verileri döndür. sonuçStream.ToArray (); }}}}}} // Bu işlev, UTF8 kodlaması ve SHA256 karma algoritması ile geçerli bir anahtar ikili oluşturmak için kullanılır. Bayt [] GetKey (dize anahtarı) {// SHA256 karma algoritma sınıfı oluşturun. using (SHA256Managed sha256 = new SHA256Managed ()) // Dize anahtarının kodunu ikili olarak çöz ve anahtarın karma ikili değerini hesapla. return sha256.ComputeHash (Encoding.UTF8.GetBytes (key));}  

Örnek koddaki sınıflarla ilgili daha fazla ayrıntı için lütfen aşağıdaki bağlantılara bakın:

· AesCryptoServiceProvider Sınıfı

· SHA256Yönetilen Sınıf

· CryptoStream Sınıfı

Ayrıca, .NET Framework'te şifrelemenin daha iyi anlaşılmasına yardımcı olabilecek birkaç makale vardır, lütfen aşağıdaki bağlantılara bakın:

· Şifreleme Hizmetleri

· .NET Framework Şifreleme Modeli

· Basit Bir Kriptografi Rehberi

· Olmadan Şifreleme Sırlar

Hem şifreleme hem de kimlik doğrulama için aynı anahtarı kullanmayın. Hem şifreleme hem de imzalama için aynı anahtarı kullanmayın.

Bir anahtar birden çok amaçla yeniden kullanılmamalıdır; Bu, çeşitli gizli saldırılara yol açabilir.

Örneğin, bir RSA özel / genel anahtar çiftiniz varsa, şifreleme için ikisini birden kullanmamalısınız (açık anahtarla şifreleyin, özel anahtarla şifresini çözün) ve imzalamak için (özel anahtarla imzalayın, açık anahtarla doğrulayın): tek bir amaç seçin ve onu yalnızca bu amaç için kullanın. Her iki yeteneğe de ihtiyacınız varsa, biri imzalama ve diğeri şifreleme / şifre çözme için olmak üzere iki anahtar çifti oluşturun.

Benzer şekilde, simetrik kriptografide, şifreleme için bir anahtar ve ileti kimlik doğrulaması için ayrı bir bağımsız anahtar kullanmalısınız. Aynı anahtarı her iki amaç için de tekrar kullanmayın.

Kerckhoffs'un ilkesi: Anahtar dışında sistemle ilgili her şey herkese açık bilgi olsa bile bir şifreleme sistemi güvenli olmalıdır

Yanlış bir örnek: LANMAN karmaları

LANMAN hash'lerini kimse algoritmayı bilmeseydi anlamak zor olurdu, ancak algoritma bilindikten sonra artık kırmak çok önemsiz hale geldi.

Algoritma aşağıdaki gibidir ( Wikipedia'dan):

1. Kullanıcının ASCII şifresi büyük harfe dönüştürülür.
2. Bu şifre 14 bayta boş doldurulmuştur
3. "Sabit uzunlukta" şifre iki yedi baytlık yarıya bölünmüştür.
4. Bu değerler iki DES anahtarı oluşturmak için kullanılır, biri her bir 7 baytlık yarımdan
5. İki anahtarın her biri, sabit ASCII dizesi “KGS! @ # $%” DES-şifrelemek için kullanılır, bu da iki 8 baytlık şifreli metin değeriyle sonuçlanır.
6. Bu iki şifreli metin değeri, LM karması olan 16 baytlık bir değer oluşturmak için birleştirilir

Artık bu gerçeklerin şifreli metnini bildiğiniz için artık çok Şifreli metni, büyük harf olduğunu bildiğiniz iki şifreli metne kolayca ayırın ve şifrenin muhtemelen sınırlı bir karakter kümesine yol açmasını sağlayın.

Doğru bir örnek: AES şifreleme

• Bilinen algoritma
• Teknolojiye göre ölçeklenir. Daha fazla kriptografik güce ihtiyaç duyduğunuzda anahtar boyutunu artırın

Şifreleri şifreleme anahtarı olarak kullanmaktan kaçınmaya çalışın.

Çoğu sistemde yaygın bir zayıflık, bir şifre veya parola ya da bir parola veya parola karması kullanmaktır. şifreleme / şifre çözme anahtarı. Sorun, bunun çevrimdışı anahtar arama saldırılarına karşı oldukça hassas olmasıdır. Çoğu kullanıcı, bu tür saldırılara direnmek için yeterli entropiye sahip olmayan parolaları seçer.

En iyi çözüm, bir parola / paroladan belirleyici olarak üretilen bir anahtar değil, gerçekten rastgele bir şifreleme / şifre çözme anahtarı kullanmaktır.

Ancak, bir parola / parola temelli bir parolayı kullanmanız gerekiyorsa, kapsamlı anahtar aramayı yavaşlatmak için uygun bir şema kullanın. Sözlük aramasını yavaşlatmak için yinelemeli karma (H (H (.... H (şifre) ...))) satırları boyunca) kullanan PBKDF2 'yi öneriyorum. Bu işlemin anahtarı oluşturmak için kullanıcının makinesinde 100 ms sürmesine neden olacak kadar yeterince yineleme kullanın.

Kriptografik bir protokolde: Doğrulanmış her mesajı tanınabilir yapın: iki mesaj aynı görünmemelidir

Bir genelleme / varyantı:

• Birden çok dizeyi birleştirmeden önce dikkatli olun.
• Anahtarları yeniden kullanmayın.
• Hiçleri tekrar kullanmayın.

Bir kriptografik protokol çalıştırma, bir sır olmadan (anahtar veya nonce) taklit edilemeyen birçok mesaj değiştirilebilir. Bu mesajlar, bazı genel (imza) anahtarlarını bildiği için veya yalnızca kendisi ve gönderen bazı simetrik anahtarları veya nonce bildiği için alınan tarafından doğrulanabilir. Bu, bu mesajların değiştirilmediğinden emin olmanızı sağlar.

Ancak bu, bu mesajların protokolün aynı çalışması sırasında gönderilmesini sağlamaz : bir düşman ele geçirmiş olabilir bu mesajlar önceden veya protokolün eşzamanlı çalışması sırasında. Bir düşman, geçerli mesajları yakalamak ve bunları değiştirilmeden yeniden kullanmak için eşzamanlı birçok kriptografik protokol çalıştırması başlatabilir.

Mesajları akıllıca tekrar oynayarak, herhangi bir RNG'ye saldırmadan herhangi bir birincil anahtardan ödün vermeden bir protokole saldırmak mümkün olabilir. , herhangi bir şifre, vb.

Protokolün kimliği doğrulanmış her mesajını alıcı için açıkça farklı kılarak, değiştirilmemiş mesajları yeniden oynatma fırsatları azaltılır (ortadan kaldırılmaz).

Güvenli olmayan anahtar uzunlukları kullanmayın.

Yeterince uzun bir anahtara sahip algoritmalar kullandığınızdan emin olun.

Simetrik anahtar şifrelemesi için, I ' d en az 80 bitlik bir anahtar önerin ve mümkünse 128 bitlik bir anahtar iyi bir fikirdir. 40 bitlik kripto kullanmayın; güvensizdir ve amatörler tarafından, sadece mümkün olan her anahtarı kapsamlı bir şekilde denemek suretiyle kolayca kırılır. 56 bit DES kullanmayın; kırmak önemsiz değildir, ancak DES'i kırmak adanmış saldırganların ulaşabileceği bir mesafededir. AES gibi 128 bitlik bir algoritma, 40 bitlik kriptodan kayda değer ölçüde yavaş değildir, bu nedenle bozuk kripto kullanmak için mazeretiniz yoktur.

Açık anahtarlı şifreleme için, anahtar uzunluğu önerileri algoritmaya bağlıdır ve gerekli güvenlik seviyesi. Ayrıca, anahtar boyutun artırılması performansa zarar verir, bu nedenle devasa aşırılık ekonomik değildir; bu nedenle, bu simetrik anahtar boyutlarının seçiminden biraz daha fazla düşünmeyi gerektirir. RSA, El Gamal veya Diffie-Hellman için, anahtarın mutlak minimum olarak en az 1024 bit olmasını öneririm; ancak 1024-bit anahtarlar, yakın vadede kırılabilir hale gelebilecek olanın sınırındadır ve genellikle modern kullanım için tavsiye edilmez, bu yüzden eğer mümkünse, 1536 veya hatta 2048-bit anahtarları tavsiye ederim. Eliptik eğri şifreleme için 160 bitlik anahtarlar yeterli görünür ve 224 bitlik anahtarlar daha iyidir. Simetrik ve açık anahtar boyutları arasında kabaca denklikler belirleyen yayınlanmış yönergelere de başvurabilirsiniz.

Aynı anahtarı her iki yönde de kullanmayın.

Ağ iletişimlerinde yaygın bir hata, iletişim için aynı anahtarı A-> B yönünde kullanmaktır. B-> A yönüne gelince. Bu kötü bir fikir, çünkü genellikle A'nın B'ye A'ya gönderdiği bir şeyi tekrar eden tekrar oynatma saldırılarını mümkün kılıyor.

En güvenli yaklaşım, her bir yön için bir tane olmak üzere iki bağımsız anahtar üzerinde uzlaşmaktır. Alternatif olarak, tek bir K anahtarıyla anlaşabilir, ardından bir yön için K1 = AES (K, 00..0) ve diğer yön için K2 = AES (K, 11..1) kullanabilirsiniz.

Doğru modu kullanın

Aynı şekilde, güvenli olmak için kitaplık varsayılan ayarlarına güvenmeyin. Spesifik olarak, AES'yi uygulayan birçok kitaplık, FIPS 197'de açıklanan algoritmayı uygular; bu, ECB (Elektronik Kod Kitabı) modu olarak adlandırılır ve esasen aşağıdakilerin basit bir eşlemesidir:

  AES ] bayt, anahtar [32] bayt) -> şifreli metin [32] bayt  

çok güvenli değil. Muhakeme basittir, anahtar uzayındaki olası anahtarların sayısı oldukça büyükken, buradaki zayıf bağlantı mesajdaki entropi miktarıdır. Her zaman olduğu gibi, xkcd.com'un tanımladığımdan daha iyi olduğunu http://xkcd.com/257/

Temelde CBC (Cipher Block Chaining) gibi bir şey kullanmak çok önemlidir. şifreli metni [i] bir eşleme yapar:

  ciphertext [i] = SomeFunction (ciphertext [i-1], message [i], key)  

Sadece bu tür bir hatanın yapılmasının kolay olduğu birkaç dil kitaplığına işaret etmek için: http://golang.org/pkg/crypto/aes/, safça kullanılırsa, bir AES uygulaması sağlar. sonuç ECB modunda olur.

Pycrypto kitaplığı, yeni bir AES nesnesi oluştururken varsayılan olarak ECB moduna geçer.

OpenSSL, bunu doğru yapar. Her AES çağrısı, işlemin modu hakkında açıktır. Gerçekten en güvenli şey, IMO'nun kendi kendinize böyle düşük seviyeli kripto yapmamaya çalışmasıdır. Eğer mecbur kalırsanız, kırık cam üzerinde yürüyormuş gibi (dikkatlice) ilerleyin ve kullanıcılarınızın verilerini korumak için size güvendiklerinden emin olmaya çalışın.

Aynı anahtarı birçok cihazda tekrar kullanmayın.

Bir kriptografik anahtarı ne kadar yaygın şekilde paylaşırsanız, onu tutma olasılığınız o kadar düşüktür gizli. Bazı konuşlandırılmış sistemler, sistemdeki her cihazda aynı simetrik anahtarı yeniden kullandı. Bununla ilgili sorun, er ya da geç, birinin anahtarı tek bir cihazdan çıkarması ve sonra diğer tüm cihazlara saldırabilmesidir. Öyleyse, bunu yapmayın.

Ayrıca bu blog makalesinde "Simetrik Şifreleme # 6 Yapmayın: Tek bir anahtarı birçok cihazda paylaşmayın" konusuna bakın. Matthew Green kredileri.

Anahtar bir algoritma tarafından genişletilirse, tek kullanımlık ped, tek kullanımlık ped değildir

"tek kullanımlık ped" (Vernam şifresi olarak da bilinir) tanımlayıcı sıklıkla yanlış uygulanır kırılmaz güvenlik talep etme girişiminde çeşitli kriptografik çözümler. Ancak tanımı gereği, bir Vernam şifresi ancak ve ancak bu koşulların üçü de karşılanırsa güvenlidir:

• Anahtar malzeme gerçekten tahmin edilemez; VE
• Anahtar materyal, düz metin ile aynı uzunluktadır; VE
• Temel materyal asla tekrar kullanılmaz.

Bu koşulların herhangi bir ihlali, artık tek seferlik bir tuş şifresi olmadığı anlamına gelir.

Yapılan yaygın hata, kısa bir anahtarın bir algoritma ile uzatılmasıdır. Bu eylem, tahmin edilemezlik kuralını ihlal eder (anahtar uzunluk kuralını boşverin.) Bu yapıldığında, tek seferlik alan matematiksel olarak anahtar genişletme algoritmasına dönüştürülür. Kısa anahtarı rastgele baytlarla birleştirmek, yalnızca anahtar genişletme algoritmasını zorlamak için gereken arama alanını değiştirir. Benzer şekilde, "rastgele oluşturulmuş" baytların kullanılması, rastgele sayı üreteci algoritmasını güvenlik algoritmasına dönüştürür.

İşte basit bir örnek. Anahtar oluşturucu olarak kriptografik olarak güvenli bir işlev kullanan bir "tek kullanımlık ped" kullanarak şifreleyeceğim bir mesajım var. Gizli bir anahtar seçtim, ardından tekrar kullanılmamasını sağlamak için ona rastgele bir sayı ekledim. Anahtarı yeniden kullanmadığım için, bir mesajı diğerinden çıkararak şifreli metne saldırmanın bir yolu yok.

  düz metin: 1234567890123456789012345678901234567890 anahtar malzemesi: 757578fbf23ffa4d748e0800dd7c424a46feb0ccOTP işlevi (xor0ccOTP) ------ şifreli metin: 67412E83622DCE1B0C1E1A348B04D25872A8C85C  

Anahtar materyali, SHA-1 kullanılarak gizli şifremi genişletmek amacıyla (artı rasgele) hashing uygulayacak şekilde güvenli bir şekilde oluşturuldu. Ancak kullanılan germe algoritmasını * bilen herhangi bir saldırgan, SHA-1'e çeşitli girdiler deneyerek ve çıktıyı şifreli metinle XORlayarak ona saldırabilir. "OTP" anahtarını tahmin etmek artık kriptografik algoritmanın birleşik girişlerini tahmin etmekten daha zor değil. Bu özellik, hangi temel şifreleme algoritmasının seçildiğinden, hangi karmaşıklık ölçülerini içerdiğinden veya nasıl uygulandığından veya tohumlandığından bağımsız olarak geçerlidir.

Çok iyi bir anahtar genişletme algoritmanız olabilir. Ayrıca çok güvenli bir rastgele sayı üreticiniz de olabilir. Bununla birlikte, algoritmanız tanımı gereği tek seferlik bir blok değildir ve bu nedenle tek seferlik bir pedin kırılmaz özelliğine sahip değildir.

* Kerckhoff ilkesini uygulamak, saldırganın her zaman karar verebileceğini varsaymanız gerektiği anlamına gelir. kullanılan algoritmalar.

Standartlara Güvenmeyin.

Kriptografide pek çok standart vardır ve bazen bunları kullanmanız gerekir. Ancak standartları yazan kişilerin ihtiyaç duydukları kriptografiyi yeterince anladıklarını varsaymayın. Örneğin, EAX bir ağ standardında yeniden çalışıldı. EAX'ın bir güvenlik kanıtı vardır. Yeniden işlenmiş sürüm olmadı.

MD5 standarttır. Şimdi kırıldı. Çok sayıda tehlikeli özellik sayesinde çip ve PIN defalarca kırıldı. GPG, rahatlık için çok kısa olan DSA anahtarlarını hala desteklemektedir. SSL, kullanılmaması gereken seçeneklere sahiptir ve bunlardan kaçınmak için özen gerektirir.

Bu konuda ne yapılabilir? Dikkatli olmak, bilinen riskleri anlamak ve yenileri için araştırmaya ayak uydurmak.

Disk şifrelemede OTP veya akış şifresi kullanmayın

Örnek 1

İki dosyanın kaydedildiğini varsayalım bir akış şifresi / OTP kullanarak. Dosya küçük bir düzenlemeden sonra yeniden kaydedilirse, saldırgan yalnızca belirli bitlerin değiştirildiğini görebilir ve belge hakkında bilgi çıkarabilir. ("Sevgili Ahmet" i "Sevgili Alice" olarak değiştirdiğinizi hayal edin).

Örnek 2

Çıktıda bütünlük yoktur: bir saldırgan Şifreli metni değiştirin ve verileri yalnızca XORing yaparak verilerin içeriğini değiştirin.

Çıkarın: Şifreli metinde yapılan değişiklikler tespit edilmez ve düz metin üzerinde tahmin edilebilir bir etkiye sahiptir.

Çözüm

Bu durumlar için mesaj bütünlüğü kontrollerini içeren bir Blok şifresi kullanın

Asla Tek Kullanımlık Tuş Takımı (OTP) veya akış şifreleme anahtarını birden fazla kullanmayın

İki kez uygulanan OTP, "mükemmel gizlilik" ile şifrelenen verilerin şifresinin çözüleceği ve açıkta. Bunun nedeni verilerin iki kez XOR'lanmasıdır.

Örnek

Bir OTP'nin / veya aynı anahtara sahip akışın yeniden kullanıldığını varsayın.

Bir saldırgan çok fazla veri toplar bir istemciden bir sunucuya gönderilir ve iki paket birbirinin şifresini çözene kadar (veya oradaki alt küme) iki paketten oluşan bir kümeyi XORs.

ASCII kodlamasında yeterince fazlalık vardır, bu da yeterli şifreli metin verildiğinde orijinal mesajların (gizli OTP anahtarı ile birlikte) kodunun çözülebileceği anlamına gelir.

Gerçek dünya örnekleri

• Ruslar tarafından kullanılan bir OTP örneği için Project Verona (1941-46) ve daha sonra ABD istihbarat teşkilatı tarafından şifresi çözüldü

• Microsoft'un PPTPv1'i hem istemci hem de sunucu aynı anahtarı kullanarak verileri şifreler.

• WEP yeniden kullanır aynı anahtar 2 ^ 24 paket gönderildiğinde veya bir NIC kartı sıfırlandığında. İlk sorun, IV'ün 24 bit uzunluğunda olmasından kaynaklanır ve 16 Milyon kare iletildikten sonra iki zaman pedi yaratılır. İkinci sorun, bir güç döngüsünden sonra IV'ün sıfıra sıfırlanarak iki zaman aralığı oluşturduğu donanım uygulamalarında ortaya çıkar. IV net bir şekilde gönderildiği için bu sorunu görmek kolaydır.

Öneriler

• Her oturum için yeni bir anahtar oluşturulmalıdır (ör. TLS).

• İstemci, sunucu ve sunucu ile bir OTP (veya PRG ile akış şifresi) kullanmalıdır. istemciye veri şifrelerken farklı bir anahtar kullanmalıdır

• Çok sayıda anahtar oluşturmak yerine, tek bir anahtarı uzun bir akış halinde genişletmek mümkündür PRG kullanarak (PRG'ye güvendiğinizi varsayarak) ve bu genişlemenin her bir bölümünü anahtar olarak kullanın.

• Tüm PRG'lerin artış modunda çalışmak üzere tasarlanmadığını ve rastgele giriş gerekebileceğini bilin. (RC4'te bu sorun artış modunda var)

RC4'ü kullanmayın

RC4, 1987'de bir akış şifresi olarak kullanılmak üzere tasarlanmıştır. HTTPS ve WEP'de kullanılır.

Zayıf yönler vardır

1. İlk çıktıda sapma vardır: Pr [2. bayt = 0] = 2/256
2. Sıfıra eşit on altı bit olasılığı 1/256 ^ 2 + 1/256 ^ 3'tür. Bu, birkaç GB veri şifrelendikten sonra gerçekleşir.
3. Yalnızca IV'ün değiştiği ancak anahtarın aynı kaldığı ilgili anahtar saldırılarına karşı savunmasızdır.

Çıkarın RC4 kullanmanız gerekiyorsa, önyargılı oldukları için ilk 256 baytı dikkate almayın. RC4'ü Gigs veri için kullanırsanız, RC4'teki önyargı, önceki tüm şifrelenmiş verilerin saldırılarına izin verecektir.

Donanım veya Yazılımda uygun şekilde çalışan modern akış işlemcileri kullanın

Tüm akış şifreleri, donanım veya yazılımda uygulanacak şekilde tasarlanmamıştır. Doğrusal geribildirim kaydırma yazmacı (LFSR), kolayca kırılan, yaygın olarak kullanılan bir donanım şifresinin bir örneğidir.

LFSR şu uygulamalarda kullanılır:

• DVD şifreleme (CSS olarak da bilinir) 2 LFSR
• GSM şifreleme (A5 / 1.2) 3 LSFR
• Bluetooth (E0): 4 LFSR

Yukarıdakiler için donanım yaygın olarak kullanılmaktadır ve bu nedenle güncellenmesi veya modern standartlara getirilmesi zordur. Yukarıdakilerin tümü kötü bir şekilde bozuktur ve güvenli iletişim için güvenilmemelidir.

Saldırı:

Şifreleme sırasında anahtar iki bölüme ayrıldığından ( 17 bit ve 25 bit) ve bu bitler aynı şifre metnini şifrelemek için kullanılır, MPEG formatı bilgisini kullanmak ve 25 bitlik anahtarın ne olduğunu tahmin etmek için 17 bitlik bir anahtara kaba kuvvet uygulamak mümkündür.

Bu pek yeni değil, ancak FOSS'u bulmak kolay, bu sorunu gösteriyor.

Çözüm:

eStream projesi (2008'de ) kullanılması gereken nitelikli 5 akış şifresi. Dikkate değer bir fark, IV ile bir Anahtar kullanmak yerine, şifrelerin bir Anahtar, bir nonce ve bir sayaç kullanmasıdır. Salsa20 bu şekilde çalışır ve hem donanım hem de yazılımda kolayca kullanılmak üzere tasarlanmıştır. Özellikle, x86 SSE2 komut setine dahil edilmiştir.

Bir kenara

Modern şifreler yalnızca daha güvenli değil, aynı zamanda daha hızlıdır:

  PRG Hızı (MB / sn) RC4 126 (eski) Salsa20 / 12 643 (modern) Sosemaunk 727 (modern)  

Yalnızca mesaj uzantısı saldırılarına karşı savunmasız olmayan MAC'leri kullanın

MAC, belirli bir düzeyin mesaj bütünlüğünü (hiçbir değişiklik, vb.) sağlayan bir karma koddur. Metin. Pek çok uygulama ve yayınlanmış standart, bir MAC'yi, MAC'a ek veri ekleyen bir saldırgandan korumada başarısız olur.

Bunun çözümü, MAC uygulamasının ikinci (farklı) bir anahtar kullanması ve son çıktıyı yeniden şifrelemesidir.

ECBC ve NMAC, şifreyi doğru şekilde engelleyen şifrelere örneklerdir. mesaj uzantısı saldırısı.

Çözüm:

• Ham CBC yerine Şifreli CBC (ECBC) kullanın
• cascade