Kryptoforskere knekker Microsoft Palladium

Stanford-forskere kan avsløre private nøkler i OpenSSL-forbindelser, som i Microsofts kopivernstrategi Palladium.

Forskerne David Brumley og Dan Boneh fra kryptogruppen ved Stanford University har publisert rapporten Remote Timing Attacks are Practical. Rapporten forklarer hvorfor de to mener det er mulig å finne fram til private RSA-nøkler som brukes i OpenSSL-forbindelser ved å måle responstider fra serveren.

Brumley og Boneh forklarer at kryptografer hittil har trodd at denne formen for angrep bare kunne lykkes mot forbindelser der det inngikk enheter som smartkort, siden responstider fra servere generelt forkludres av at maskinen også kjører en rekke andre prosesser.

Påstanden om at det likevel er mulig, belegges med beskrivelser og resultater fra flere eksperimenter, der forskernes applikasjon lykkes i å avdekke den private nøkkelen, altså hemmeligheten som hele forbindelsen hviler på, etter bare mellom 300.000 og 1,4 millioner forespørsler til serveren.

Forsøkene ble gjennomført overfor OpenSSL-forbindelser i et lokalnett, overfor samtidige prosesser på én og samme maskin, og overfor to virtuelle maskiner på samme prosessor, der en Virtual Machine Monitor (VMM) skal sikre at de to virtuelle maskinene er fullstendig isolert fra hverandre. Dette er en konfigurasjon som typisk brukes når det skal etableres en sikker forbindelse over et åpent nettverk, slik at selve hemmeligheten ligger på den virtuelle maskinen som er lukket av VMM-en.

– Dette er spesielt relevant for VMM-prosjekter som Microsofts Palladium-arkitektur, heter det i rapporten.

– Vi merker oss også at Palladium lar en applikasjon be VMM-en (altså Nexus) dekryptere (åpne) applikasjonsdata. [Vår] applikasjon kunne avsløre den hemmelige VMM-nøkkelen med å måle tiden det tar å svare på slike forespørsler.

Forskerne anbefaler at kryptobiblioteker må sørge for å bruke det vernet som allerede finnes i OpenSSL mot denne formen for angrep, men peker på at vanlige applikasjoner, for eksempel SSL-modulen i Apache, ikke gjør det. De håper at deres rapport vil føre til at flere beskytter seg.

Det heter videre at Mozillas kryptobibliotek NSS har et korrekt vern, i likhet med de fleste kryptoakseleratorkortene. Servere med slik kryptokort er ikke sårbare over denne formen for "tidtakerangrep" ("timing attacks").

Palladium er det opprinnelige kodenavnet på en sikkerhetsstrategi som Microsoft offentliggjorde i juni i fjor, og som siden har skiftet navn til "next-generation secure computing base".

Forskere som så nærmere på prosjektet viste at det dreide seg i hovedsak om et avansert vern mot kopiering av digitalt opphavsrettsbeskyttet materiale.

Dette førte til et ramaskrik.

Poenget med Palladium er å bruke en egen kryptoprosessor til å opprette en lukket virtuell maskin inne i selve PC-en. Prosesser som kjører inne i denne lukkede virtuelle maskinen kan vernes av attributter som ikke kan kontrolleres av brukeren, men som styres av eksterne kilder. For eksempel kan man plutselig miste retten til å kjøre et program eller lytte til en musikkfil, avhengig av innstillinger som kan endres mens man er koplet til Internett.

    Les også:

Selv om det er sannsynlig at en kommersiell Palladium-implementasjon vil beskyttes gjennom de ordningene forskerne selv gjør rede for, er det interessant at nok et påstått ubrytelig IT-sikkerhetstiltak viser seg å være sårbar likevel.

Det pågår ellers en omfattende diskusjon om rapporten på Slashdot.

Til toppen