Исследователи Калифорнийского университета в Сан-Диего впервые продемонстрировали, что большая часть криптографических ключей, используемых для защиты данных в SSH-трафике между компьютером и сервером, уязвима для полной компрометации, когда во время установления соединения возникают естественные вычислительные ошибки.
Авторы исследования продемонстрировали возможность воссоздания закрытых хостовых RSA-ключей SSH-сервера с использованием пассивного анализа трафика SSH. Атака возможна в случае с серверами, которые подвержены сбоям во время вычисления цифровой подписи при установке SSH-соединения. Сбои могут быть программными (некорректное выполнение математических операций, повреждение памяти) и аппаратными (ошибки при работе NVRAM и DRAM или при перебоях с питанием).
Исследователи приводят в пример атаки класса RowHammer, которые позволяют удалённо или при обработке JavaScript-кода в браузере добиться искажения содержимого отдельных битов памяти, если происходит интенсивное цикличное чтение данных из соседних ячеек памяти. Также хакеры могут эксплуатировать уязвимости, приводящие к переполнению буфера и повреждению данных с ключами в памяти.
При использовании в SSH цифровых подписей на базе алгоритма RSA к параметрам цифровой подписи применимы атаки по воссозданию закрытых ключей RSA методом Lattice (Fault Attack). Путём сравнения корректной и некорректной цифровых подписей RSA можно определить наибольший общий делитель для вывода одного из простых чисел, использованных при формирования ключа.
Шифрование RSA основывается на операции возведения в степень по модулю большого числа. В открытом ключе содержится модуль и степень. Первый формируется на основании двух случайных простых чисел, известных только владельцу закрытого ключа. Чтобы организовать атаку, достаточно пассивного отслеживания легитимных соединений к SSH-серверу до выявления в трафике сбойной цифровой подписи, которую можно использовать в качестве источника информации.
Исследователи изучили коллекцию перехваченных сетевых данных с 5,2 млрд записей, связанных с использованием протокола SSH. Они выявили около 3,2 млрд открытых хостовых ключей и цифровых подписей, применяемых во время согласования сеанса SSH, из них 1,2 млрд были сформированы при помощи алгоритма RSA. В полумиллионе случаев RSA-подпись была повреждена и не проходила проверку. Для почти 5 тысяч сбойных подписей удалось применить метод факторизации Lattice. На воссоздание ключей ушло около 26 часов процессорного времени.
По словам исследователей, проблема затрагивает только специфичные реализации протокола SSH на встраиваемых устройствах, в том числе продукты Zyxel, Cisco, Mocana и Hillstone Networks.
