Como hace la NSA para decifrar los datos en https, SSL, TLS y VPN

kcdtv · 17-10-2015 22:13:10

Eminentes investigadores especializados en criptografía demuestran como la NSA es capaz de descifrar gran parte de los datos supuestamente seguros ( VPN, SSL, https, TLS )

Los documentos desvelados por Snowden han dejado claro que la NSA es capaz de, por ejemplo, descifrar los datos que pasan por un VPN.
Desgraciadamente los documentos no dan los detalles matemáticos o técnicos sobre el procedimiento empleado por la agencia Norte Americana.
Dan indicaciones concretas y describen sumamente el proceso seguido por la "suite" de la NSA.

Para "crackear" un VPN la NSA esnifa el trafico (cifrado)
Selecciona en este trafico unos datos concretos que se mandan a su supercomputadora
La supercomputadora devuelva la llave al agente y puede descifrar los datos que le interesa.
Esto se sabe.
Lo que no se sabe (se sabía) es exactamente como esto es posible.
Es sumamente importante entender concretamente como hace la NSA para poder tomar la contras-medidas adecuados y proteger correctamente las comunicaciones en la red.

Y es lo que hicieron 14 investigadores, unos especialistas de fama mundial en criptografía informática procedentes del CNRS (El mejor centro para la Investigación en ciencias fundamentales en Francia) , microsoft reserach, la universidad de Michigan...
Han publicado el resultado de sus investigaciones en un articulo que ha ganado el premio a la mejor publicación del año 2015 en el CCS.

Imperfect Forward Secrecy: How Diffie-Hellman Fails in Practice

Vulnerabilidad a nivel del intercambio de llaves "Diffie Hellman"

Si has seguido de cerca las noticias en el mundo del crack wifi, habrás oído hablar del intercambio de llaves Diffie-Hellman con el ataque WPS "pixie dust" ( cf: "Pixie Dust" ataque de fuerza bruta offline para generar el PIN valido )
El intercambio de llave Deffie hellman es fundamental en criptografía moderna "asimétrica" (la buena) y se emplea abundantemente.
Es seguro si se implementa correctamente y si se evaluá correctamente los medios de los cuales disponen las fuerzas adversarias.
Y lo que ocurre con IPsec, TLS https... es similar (en otras proporciones) a la brecha "pixie dust" y se debe también a unos niveles mínimos de entropía no respectados en la implementación del intercambio DH.
Recuerdo que en un intercambia de llaves Diffie Hellman se hace asi (de forma asimétrica)
"Bob" (uno de los dos actores en la comunicación cifrada) y "Alice" (el otro actor) se ponen de acuerdo sobre el valor de p y g

p es un numero muy alto
g es un numero primario "modulo p" (Aritmética modular)

b y g no son secretos.
Luego cada uno forma su elige una llave privada ( a y b ) y generan cada uno una cadena (A y B) para intercambiarlas

Alice : A=g^a (mod p)
Bob : B=g^b (mod p)

Llegamos a una llave secreta comuna que se calcula así : g^(a*b) modulo p
a y b son secretos
Y se supone que no se puede calcular la llave teniendo solo p y g.
Pero en la practica no es así para gran parte de los sitios, VPN etc..

Si la implementación no es optima, con la potencia suficiente podemos crear tablas precomputadas (al igual de lo que hacemos con cowpatty para el crack WPA)

Con TLS (la versión moderna de SSL) , el servidor y el cliente obtienen unos logs.

Alice va a a generar y de este modo : y=g^a
Bob generará z de este modo : z=g^b

las tablas precomputadas sirven para deducir a con valores de y de tal forma que caímos en y=g^a (mod p)
Luego podremos generar la llave TLS : K=z^a=g^{a.b} (el secreto)
Los investigadores han llamado este ataque "logjam" y es así que la NSA ha sido capaz de explotar esta vulnerabilidad en intercambios Diffie-Hellman de 1024-bit
y lograr descifrar las comunicaciones a través de un VPN.

Los investigadores han hecho pruebas a pequeña escala sobre DHE de 512 bits para evaluar los recursos necesarios para petar un DHE de 1024-bits.
Han hecho tablas precomputadas para los dos números primarios los más empleado cuando se usan DHE de 512 bits

Normalmente los sitios usan llaves 1024bits... No obstante han obtenido resultados probantes : 8.5% del millón de sitios los mas visitado.

1024bits de entropia a reventar no es el doble de 512bits; es muchísimo más, esto es exponencial..
¿Es possible romper 1024bits?

Yes we scan !

Romper un numero primero y crear las tablas necesita unos recursos extraordinarios.
Para construir tal maquina los investigadores han estimado que se necesitaría cienes de millones de dolares.
... Un coste perfectamente asumible por la NSA con su presupuesto de 10 billlones de dolares en 2013 de los cuales 1 billón va al departamento de criptologia,
Tal maquina podría crackear un solo numero al año.
¿Vale la pena?
Si.
Porque muchos sitos usan implementaciones por defecto-estandardiza y con un par de grupos precomputados (dos años de trabajo) se podría descifrar... 66% de los VPN IPsec :

A small number of fixed or standardized groups are used by millions of servers; performing precomputation for a single 1024-bit group would allow passive eavesdropping on 18% of popular HTTPS sites, and a second group would allow decryption of traffic to 66% of IPsec VPNs and 26% of SSH server

Hablamos de tiempo y dinero que solo pueden invertir entidades como la NSA... pero nada nos dice que otros estados no hacen o están a punto de hacer lo mismo.

Resolver el problema

Lo primero que hay que hacer es "difundir la palabra".

Las llaves DH de 768bits no son bastante seguras y se pueden romper con recursos como los de las universidades prestigiosas que hicieron el estudio
Mal configuradas, las llaves DH de 1024bits son suseptibles de ser rotas por agencia con recursos extraordinarios

Tiene que haber mas comunicación y interacciones entre universitarios/investigadores y "webmasters/desarrolladores"
La idea sería que todo el mundo tome buenos hábitos, en fase con la realidad, para estar un paso por adelante

Adoptar ECDH : Es decir Diffie Hellman con "curva elíptica" . El proceso es mas liviano que con "mod p" y sobre todo no permite hacer precomputación gracias a los logs. El ataque jamlog descrito en el paper es imposible
Fortalecer las llaves Diffie Hellman : Lo suyo sería que se generalice directamente el uso de llaves de 2048bits
Evitar los grupos predeterminados para los sistemas que requieren una compatibilidad con llaves de 1024bits

Los investigadores han comunicado los resultados a empresas como Safari, Opera... cuyos software aceptaban números primarios de 512bits (safari incluso menos)
Han rectificado el tiro con llaves de 1024 bits correctamente configuradas.
Los desarrolladores de Servicios TLS han tomado nota y trabajan a la implementación una nueva extensión que rechaza las llaves de menos de 2048bits.

dynyly · 17-10-2015 22:55:58

salu2

gracias de nuevo por tus post amigo

pero hmm :/ aqui me perdi lol :lol::lol:

Recuerdo que en un intercambia de llaves Diffie Hellman se hace asi (de forma asimétrica)
"Bob" (uno de los dos actores en la comunicación cifrada) y "Alice" (el otro actor) se ponen de acuerdo sobre el valor de p y g
p es un numero muy alto
g es un numero primario "modulo p" (Aritmética modular)
b y g no son secretos.
Luego cada uno forma su elige una llave privada ( a y b ) y generan cada uno una cadena (A y B) para intercambiarlas
Alice : A=g^a (mod p)
Bob : B=g^b (mod p)
Llegamos a una llave secreta comuna que se calcula así : g^(a*b) modulo p
a y b son secretos
Y se supone que no se puede calcular la llave teniendo solo p y g.
Pero en la practica no es así para gran parte de los sitios, VPN etc.................
Con TLS (la versión moderna de SSL) , el servidor y el cliente obtienen unos logs.
Alice va a a generar y de este modo : y=g^a
Bob generará z de este modo : z=g^b
las tablas precomputadas sirven para deducir a con valores de y de tal forma que caímos en y=g^a (mod p)
Luego podremos generar la llave TLS : K=z^a=g^{a.b} (el secreto)
Los investigadores han llamado este ataque "logjam" y es así que la NSA ha sido capaz de explotar esta vulnerabilidad en intercambios Diffie-Hellman de 1024-bit
y lograr descifrar las comunicaciones a través de un VPN.

no entiendo como eres capaz de entender esa algebra porque tiene tela

gracias de nuevo por tus post amigo

kcdtv · 18-10-2015 19:41:25

No entiendo la aritmética modular.
Lo que pasa es que el intercambio de llaves diffie hellman es exactamente de lo que se trata en el ataque pixie dust.
Dejando de lado las ecuaciones y las historias de módulos y números primarios (números que solo se pueden dvidir por ellos mismo o 1); con palabras humanas,

Diffie hellman :
* Alice tiene una llave secreta ( que llamamos A)
* Bob tiene otra llave secreta ( que llamamos B)
Los dos tienen una llave secreta, bob no conoce la llave de Alice, Alide no conce la llave de Bob.
Por esto hablamos de "cifrado asimétrico", cada uno tiene una llave propia, secreta.
Gracias a la magia de la aritmética modular (y al genio de Diffie y Hellman) y gracias a estas ecuaciones que te despistan, los dos generan para su comunicación una llave secreta comuna (shared secret)
Lo fuerte es que de un lado, los dos pueden generar y usar la misma llave comuna secreta sin conocer la llave secreta del otro; y que por otro lado es "imposible" para un intruso (eve en el vídeo que tienes en esta pâgina smile descifrar la comunicación :

intercambio de claves Diffie-Hellman

mirate el vídeo un par de veces, es corto, dos minutos, Tendrás la ideas claras sobre los principios de funcionamiento en estas operaciones,

Vulenrabilidad en diffie hellman
Diffie hellman se usa por todos lados (TLS, VPN etc...) y es seguro si se respectan ciertas reglas.
Principalmente usar valores muy altos en la operaciones para generar llaves bastante fuerte (llaves idealmente superiores a 1024bits)
Hablo de vulnerabilidad y no de brecha porque depende enteramente de la configuración de nuestro intercambio de llaves diffie hellman.
Una vulnerabilidad solo explotable con medios en computación colosales, fuera de lo normal.
Gran parte de los servicios web no están en fase con los medios extraordinarios de los cuales disponen hoy en día la NSA (u otros).
Vemos que por ejemplo Safari aceptaba llaves DH de 34 bits... es como estar 15 años atrasados ya que hace mucho tiempo que se considera como "inseguras" llaves inferiores a 512 bits.
Y hoy en día lo suyo sería directamente pensar que les queda poco a las llaves de 1024 (ya comprometidas) y pasar a llaves de 2048 bits, para estar un paso por adelante de la NSA-.

kcdtv · 25-10-2015 16:56:26

Otro articulo sobre este tema en The register :

So what's the internet community doing about the NSA cracking VPN, HTTPS encryption? de Kieren Mc CARTHY

Aquí el autor se pregunta - perdonar mí lenguaje - ¿Que coño ha hecho "la comunidad" para protegerse en diez años?
Ya que se recomienda desde 2005 el uso de claves Diffie Hellman de más de 1024bits.
Si la NSA es capaz de romper cifrados es en gran parte porque no se han hecho los deberes.
Esperamos que gracias a este tipo de "paper" se terminen estos diez años de apatía generalizada y que se tome conciencia de la urgencia de la situación...

Tema	Respuestas	Vistas	Ultimo mensaje
WPA2: roto con KRACK. ¿Ahora que? por Virkon [ 1 2 ]	26	7597	15-03-2023 16:57:32 por kcdtv
Pegado: Pegado:: AWITAS. Ataque a WPS con rogueAP potegido con WPA por javierbu [ 1 2 ]	34	3711	12-03-2023 18:24:22 por Guybrush92
Pegado: Pegado:: Script multiuso wifi para Kali y otras distros por v1s1t0r [ 1 2 3 … 18 ]	436	63222	07-03-2023 12:35:27 por kcdtv
iwd;¿El demonio WiFi Linux qué lo cambiara todo? por kcdtv	0	389	23-02-2023 17:09:39 por kcdtv
Pegado: Pegado:: Base de datos WPSPIN (original) open source actualizada por kcdtv [ 1 2 3 4 5 ]	114	258209	19-02-2023 17:36:14 por chuchof

Foro Wifi-libre.com

Anuncio

#1 17-10-2015 22:13:10