Poliisi tutkii laajaa tietomurtosarjaa

Joo. :-)

Puhuin "RC-_algoritmeista_" viitaten ssh.com:n parjattuun ssh1:n RC4:ään (openssh:n ARC4 / ARCFOUR ("alleged rc4") on varsin kelvollinen RC4-yhteensopiva implementaatio), ja "CRC-pohjaisella _salauksesta_" viitaten nimenomaan ssh1-protokollan toimintaan, johon liittyy crc:hen pohjautuva pakettien integriteetin tarkistus. Kumpaakaan ei kannata IMO käyttää jos sen vaan voi välttää. (SSH1:ssä ei siis ole vaihtoehtoa CRC:n käytölle sinällään, mutta myöhemmissä versioissa on paikattu aiempien CRC-versioiden onkelmia; ja tietysti SSH1:n voi disabloida kokonaan; RC4 taas on kokonaan CRC:stä riippumattakin varsin kehnosti toteutettu).

Salausalgoritmeihin CRC32 ei tietenkään kuulu mutta esim. SSH1:n funktionaalisuuteen se minusta kyllä erottomattomasti; datan on oltava sekä "autentikoitua" että "eheää".

ssh1:n RC4 oli ensimmäinen algoritmi, jonka myötä CRC:n ongelmia ylipäätään tajuttiin ruveta ihmettelemään (siinä on kyllä CRC:stä riippumattomiakin ongelmia). Sittemmin toinen crc-pohjainen ongelma havaittiin ssh1:n IDEAssa. OpenSSH:n mitään versiota nämä RC4- ja IDEA-spesifit ongelmat eivät oikeastaan koskekaan, koska kumpaakaan algoritmia ei koskaan hyväksytty OpenSSH:hon, toisin kuin ssh.com:n SSH1:een (edellisen implementaatio todettiin turvattomaksi, jälkimmäinen taas on patentoitu). IDEA ja RC4 eivät ole fiksuja algoritmeja pitää yllä SSH1:ssä, jos ko. protokollaa ja ssh.com:n implementaatiota ylipäätään tarvitsee.

Sittemmin ssh1/CRC havaittiin ongelmalliseksi kaikissa ssh1:n tukemissa cfb- ja cbc-modeissa käytetyissä block cipher algoritmeissa (== des, 3des, blowfish, idea eli kaikki muut kuin rc4, joka on stream cipher-pohjainen; en tajua, miksi alkuperäinen core sdi:n deattack-teksti väittää, että sitä voisi käyttää c{fb,bc}-modessa..). Palvelimen ja asiakkaan välissä oleva osapuoli saattaa käyttäen hyväkseen tiettyjä CRC32:n heikkouksia tietyillä edellytyksillä kiertää salauksen.

Core-SDI kehitti tätä varten ns. deattackin, joka valitettavasti toi enemmän murheita muassaaan kuin alkuperäinen CRC32-reikä (joka oli murrettavissa vain tietyin edellytyksin) itsessään. Se sisälsi ylivuodon, joka mahdollistaa paljon vapaammissa olosuhteissa komentojen suorittamisen SSH1-palvelimessa SSH1-daemonia ajavan käyttäjän (yleensä root) oikeuksin.

SSH:n protokolla kaksi ei ole koskaan ollut riippuvainen CRC:sta, koska siinä käytetään ykköstä vahvempaa ratkaisua tarkistukseen (MAC).

OpenSSH 2.3.0 ja SSH 2.4.0 ovat paikanneet deattackin reiän, ja noita versioita vastaan on olemassa vain lähinnä - itsepintaisia - huhuja murtautumisesta SSH1:n läpi. Aiemmatkaan versiot ssh2:sta eivät ole exploitattavissa jos ei ssh1:ta pidä lainkaan päällä.

Itseasiassa CRC-pohjaisessa datan ehjyyden tarkastuksessa ei ole mitään varsinaista virhettä, lukuunottamatta tarkistussumman lyhyyttä. SecSH:n MAC:hän käyttää joko 160-bittistä SHA:ta tai 128-bittistä MD5:ttä (tai 96-bittistä kevyempää versiota kummastakin). Näin ollen saman hashin saaminen on reilusti epätodennäköisempää kuin 32-bittisessä CRC:ssä. Tähän tuo SSH-yhteyden kaappaus perustuukin (CRC32:stä on huomattavasti helpompi manipuloida sama arvo).

Tuo SSH1:htä vastaan hyökkäys (joka muuten ymmärtääkseni toimii kaikkia sen algoritmeja vastaan) on aika hyvin dokumentoitu esim. CORE:n advisoryssa http://packetstorm.widexs.nl/advisories/core/core-...

En ole aivan varma mikä tuo ARCFOUR-ongelma SSH1:ssa on?

SSH-palvelimien roottailu siis perustuu tuon deattack-osion reikään, joka tehtiin korjaamaan tuota ongelmaa. Onneksi OpenSSH:n myötä ei ole juuri syytä käyttää kaupallisia SSH-palvelinsoftia.

(Ja deattackia, jos sen haluaa lukea mukaan tarkistusimplementaatioon.)

Unixeissa tavalliset ``cksum'' ja ``sum''-utilityt käyttävät yleensä hyväkseen nimenomaan crc:ta (joka löytyy myös POSIX.2:sta, vaikka ensimmäiset AT&T:lta perityt implementaatiot käyttivät heikompaa tarkistusalgoritmia), mutta nykyään suositeltavampi tapa on kyllä md5 (vielä suositeltavampi lienee sha1, mutta siitä ei löydy kovin monesta järjestelmästä ainakaan komentorivityökalua). (Man-sivulta: ``Do not use cksum or sum to detect hostile binary modifications. An attacker can trivially produce backdoored daemons which have the same CRC as the standard versions. Use a cryptographic checksum (such as MD5) instead.'')

Ainakin (uusin OpenBSD-)OpenSSH tukee myös rmd160:ta. ;-)

Tämä on siis _yksi_ CRC:n ongelma. Se toimii, kuten mainitsemasi dokumenttikin kertoo, "The use of these algorithms in CBC (Cipher Block Chaining) or CFB (Cipher Feedback 64 bits) modes with the CRC-32 integrity check"; ja juuri tuohon virheeseen, että rc4:ää voisi jotenkin käyttää block cipher -modeissa, kiinnitin huomiota. Eräs tapa ajatella block cipher -modeja on juuri ajatella niiden tuovan block cipheriin stream cipherin ominaisuuksia..

SSH1:n RC4:llä salattua dataa on kohtuullisen helppo ulkopuolisen murtaa, jos saa kaapattua ja toistettua yhteyden http://www.kb.cert.org/vuls/id/565052); kaapatun yhteyden saa toistettua http://www.kb.cert.org/vuls/id/665372); ja paketteja pystyy muokkaamaan ilman että CRC huomaa sitä http://www.kb.cert.org/vuls/id/25309). Viimeinen on siis spesifinen RC4/CRC-yhdistelmälle.

Kts. yltä, tai:

http://www.ssh.com/products/ssh/cert/vulnerability...

RC4 on defaulttina disabloitu uudemmista ssh, inc.:nkin versioista protokollan 1 kanssa, ja RC4:n disabloiminen vanhoissa versioissa on ssh, inc.:n omakin suositus.

"ARC4:n" ja "RC4:n" eroissa täytyy myöntää olleeni siinä mielessä väärässä (ja tarkemmin ajatellen luonnollisesti olen, koska alkuperäinen ssh ei vapaana voinut käyttää rsa:n implementaatiota), että ssh.inc ei koskaan ole käyttänyt RSA:n kauppasalaisuudeksi luokittelemaa alkuperäistä RC4:ää, vaan Usenetista 95 poimittua "arc4:ää". OpenSSH käyttää toista ARC4-implementaatiota OpenSSL:n läpi (OpenSSL:n implementaatio väittää pohjautuvansa '94 nyyssipostaukseen, ja koodia tutkailemalla vaikuttaa kovasti erilaiselta kuin ainakin SSH:n alunperin käyttämä, tosin OpenSSL:n koodin lukeminen sen optimoinnin tason takia on välillä vähän ikävää). Itse asiasta eli RC4-implementaation soveltuvuudesta ssh1:n kanssa käytettäväksi olin sen sijaan sentään käsittääkseni oikeassa.

Sekoittaakseen asioita lisää OpenBSD-OpenSSH käyttää ARC4:ää yhteyden salauksen lisäksi satunnaislukujen generoimiseen RandomStaten sijaan arc4randomia, joka taas on arc4:n läpi ajettu satunnaislukugeneraattori. Tämä arc4 on taas "Applied Cryptography"-opuksesta johdettu OpenBSD:n C-kirjaston implementaatio, jota on vielä arc4randomia varten muutettu niin, että se ottaa huomioon tilaa initialisoidessaan ajan.

OpenSSH ei ole koskaan tukenut RC4:n käyttöä protokollan yksi kanssa (.inc:n implementaatio poistettiin parissa ekassa revisiossa ennen ensimmäistä julkaisua) - ei nykyisissäkään versioissa ("Ciphers" on ssh2-spesifinen optio). (Klaientissa koodi on tosin hieman hassua, kutsutaan ciphers_valid()ia ja jos se palauttaa NULLin, cipher on validi ssh1-cipheri; muuten asetetaan options.cipher = SSH_CIPHER_ILLEGAL :- )

Juupas-eipäs -väittely ei auta mitään. Heittäkää nyt joku tänne oikeita perusteluita suuntaan tai toiseen?