Бэкдор

Бэкдор, тайный вход (от англ. back door — «чёрный ход», буквально «задняя дверь») — дефект алгоритма, который намеренно встраивается в него разработчиком и позволяет получить несанкционированный доступ к данным или удалённому управлению операционной системой и компьютером в целом^[1].

Основной целью бэкдора является скрытное и быстрое получение доступа к данным, в большинстве случаев — к зашифрованным и защищённым. Например, бэкдор может быть встроен в алгоритм шифрования для последующей прослушки защищённого канала злоумышленником^[1]^[2].

Основные свойства бэкдораПравить

Идеальный бэкдорПравить

сложно обнаружить;
можно использовать многократно;
легко отрицать — выглядит как ошибка, и в случае обнаружения разработчик может сослаться, что допустил эту ошибку случайно и злого умысла не имел;
эксплуатируем только при знании секрета — только тот, кто знает, как активируется бэкдор, может им воспользоваться;
защищён от компрометации предыдущими использованиями — даже если бэкдор был обнаружен, то невозможно установить, кем он до этого эксплуатировался и какой информацией завладел злоумышленник;
сложно повторить — даже если бэкдор был кем-то найден, то его невозможно будет использовать в другом коде или в другом устройстве.

Распространённые принципы создания бэкдоров в алгоритмахПравить

слабая устойчивость алгоритма к криптоанализу;
специально подобранные константы — алгоритм может стать неустойчивым к криптоанализу при выборе определённых значений констант, используемых в его работе;
сложность в безопасной реализации — это означает, что безопасная реализация алгоритма работает слишком медленно, и все будут использовать небезопасный вариант, что и выгодно злоумышленнику.

Гипотетические примеры бэкдоров в современных алгоритмахПравить

Уязвимость генератора псевдослучайной последовательности DUAL_EC_DRBG Править

Данный генератор был разработан в АНБ и стандартизован в качестве криптографически стойкого генератора псевдослучайных чисел национальным институтом стандартов и технологий США NIST в 2006 году. Однако уже в 2007 году независимыми исследователями было высказано предположение, что в этот алгоритм мог быть встроен бэкдор.^[3]^[4]^[5]

Иллюстрация работы алгоритма согласно спецификации АНБ^[6]:

Данный алгоритм использует эллиптические кривые. $\text{[math]}$ $\text{[math]}$ $P$ — генератор группы точек на эллиптической кривой, $\text{[math]}$ $\text{[math]}$ $Q$ — точка на эллиптической кривой — константа, определённая стандартом, как она была выбрана неизвестно. Параметры самой кривой также заданы стандартом.

Принцип работы:

Уравнение кривой

\text{[math]}

y^{2}=(x^{3}+ax+b){\bmod {p}}

можно переписать в виде $\text{[math]}$ $\text{[math]}$ $x=\varphi (x,y){\bmod {p}}$ и записать следующие выражения для работы алгоритма:

\text{[math]}

r_{i}=\varphi (s_{i}*P)

,

\text{[math]}

t_{i}=\varphi (r_{i}*Q)

,

\text{[math]}

s_{i+1}=\varphi (r_{i}*P)

\text{[math]}

s_{i}

— внутреннее состояние генератора на текущем шаге

\text{[math]}

s_{i+1}

— внутреннее состояние генератора на следующем шаге

\text{[math]}

t_{i}

— выход генератора на текущем шаге

Предполагаемый бэкдор:

Так как $\text{[math]}$ $\text{[math]}$ $p$ — простое число, то существуют такое число $\text{[math]}$ $\text{[math]}$ $e$ , что $\text{[math]}$ $\text{[math]}$ $e*Q=P$ . Нахождение $\text{[math]}$ $\text{[math]}$ $e$ — вычислительно сложная задача дискретного логарифмирования на эллиптической кривой, для решения которой на сегодняшний день не существует эффективных алгоритмов. Но если предположить, что злоумышленник знает $\text{[math]}$ $\text{[math]}$ $e$ , то получается следующая атака: Если $\text{[math]}$ $\text{[math]}$ $x=t_{i}$ — очередной выход генератора, и если существует такое $\text{[math]}$ $\text{[math]}$ $y$ , что $\text{[math]}$ $\text{[math]}$ $y^{2}\equiv (x^{3}+ax+b){\bmod {p}}$ , то точка $\text{[math]}$ $\text{[math]}$ $A=(x,y)$ , лежит на кривой и для неё выполняется следующее равенство: $\text{[math]}$ $\text{[math]}$ $A=r_{i}*Q$ . Зная число $\text{[math]}$ $\text{[math]}$ $e$ можно вычислить: $\text{[math]}$ $\text{[math]}$ $s_{i+1}=\varphi (e*A)=\varphi (e*r_{i}*Q)=\varphi (r_{i}*P)$ . Таким образом, злоумышленник, знающий число $\text{[math]}$ $\text{[math]}$ $e$ , может не только вычислить следующий выход генератора, но и быстро перебрать все возможные внутренние состояния генератора и восстановить его начальное внутреннее состояние. Согласно независимым исследованиям^[2]^[7], при знании $\text{[math]}$ $\text{[math]}$ $e$ достаточно всего 30 байт выходной последовательности генератора, чтобы простым перебором $\text{[math]}$ $\text{[math]}$ $2^{15}$ значений восстановить его начальное внутреннее состояние. По мнению исследователей, такая уязвимость может быть расценена как бэкдор.

Ошибка в реализации протокола проверки сертификатов TLS от компании Apple Править

Исследователями компании Яндекс была обнаружена уязвимость в реализации протокола TLS в одном из программных продуктов Apple^[2]. По их мнению, данная ошибка вполне может оказаться бэкдором, намеренно встроенным в алгоритм кем-то из разработчиков.

Участок кода с ошибкой:

static DSStatus SSLVerifySignedServerKeyExchnge(....)
{
     DSStatus err;
     ....
     if ((err = SSLHashSHA1.update(&hashCtx, &signedParams)) != 0)
          goto fail;
          goto fail;
     if ((SSHashSHA1.final(&hashCtx, &hashOut)) != 0)
          goto fail;
     ....
     fail:
          ....
          return err;
}

Как можно видеть, после первого оператора if стоят две строчки goto fail, и вторая строчка выполняется всегда, независимо от результата if. Таким образом процедура проверки сертификата проходит не полностью. Злоумышленник, знающий об этой уязвимости, может подделать сертификат и пройти проверку подлинности. Это позволит ему организовать атаку типа «Человек посередине», тем самым вмешаться в защищённое соединение между клиентом и сервером. Исследователи, обнаружившие данную ошибку в реализации, не могут точно сказать, намеренно она была сделана или случайно. Вполне возможно, что это бэкдор, встроенный в алгоритм кем-то из разработчиков.

Примеры методов создания бэкдоровПравить

Специально подобранные константыПравить

Очень многие современные криптографические алгоритмы используют при своей работе определённый набор внутренних констант. Как правило, эти константы задаются стандартом и выбираются из соображений криптографической стойкости к известным на данный момент видам криптоанализа. Но выбор констант при стандартизации алгоритма теоретически может быть использован разработчиками и со злым умыслом: например, для создания определённых уязвимостей и бэкдоров в алгоритме.

В качестве такого примера использования констант можно привести недавние исследовательские работы на тему так называемого «вредоносного хеширования»^[8]^[9], где авторам удалось построить коллизии для криптографической хеш-функции SHA1 путём модификации её раундовых констант. Отметим, что предложенная авторами исследования атака не является атакой на саму хеш-функцию SHA1, она позволяет лишь находить коллизии при условии возможности изменения раундовых констант и только для определённых типов файлов.

Краткое описание SHA1:

SHA1 — современная раундовая хеш-функция. Алгоритм хеширования следующий:

Инициализируются 32-битные значения $\text{[math]}$ $\text{[math]}$ $a=h_{0},b=h_{1},c=h_{2},d=h_{3},e=h_{4}$
Входное сообщение разбивается на блоки длиной 512 бит
Каждый блок сообщения обрабатывается и дополняется специальным образом, по алгоритму, определённому в стандарте
Полученный блок сообщения хэшируется в 4 этапа по 20 раундов в каждом, причём для каждого этапа используется своя константа $\text{[math]}$ $\text{[math]}$ $K_{1},K_{2},K_{3}$ или $\text{[math]}$ $\text{[math]}$ $K_{4}$
Выходом функции для каждого блока будут новые значения $\text{[math]}$ $\text{[math]}$ $a, b, c, d, e$ , которые добавляются к результату: $\text{[math]}$ $\text{[math]}$ $h_{0}=h_{0}+a,h_{1}=h_{1}+b,h_{2}=h_{2}+c,h_{3}=h_{3}+d,h_{4}=h_{4}+e$
Итоговым результатом хеширования будет 160-битное значение полученное конкатенацией пяти 32-битных значений $\text{[math]}$ $\text{[math]}$ $h_{0},h_{1},h_{2},h_{3},h_{4}$ после обработки последнего блока сообщения.

Построение коллизий:

Целью рассматриваемой атаки является нахождение таких констант $\text{[math]}$ $\text{[math]}$ $K_{1},K_{2},K_{3},K_{4}$ и таких сообщений $\text{[math]}$ $\text{[math]}$ $M_{1}$ и $\text{[math]}$ $\text{[math]}$ $M_{2}$ , что $\text{[math]}$ $\text{[math]}$ $Hash(M_{1})=Hash(M_{2})$ . Данная атака модифицирует только первые 512 бит (1-й блок) сообщений, для которых требуется построить коллизию. Алгоритм базируется на уже известной разностной атаке на SHA1, предложенной в 2005 году^[10]^[11] и имеющей сложность порядка $\text{[math]}$ $\text{[math]}$ $2^{69}$ операций, что делает её трудноосуществимой на практике. Поэтому до настоящего времени ни одной реальной коллизии для SHA1 найдено не было.

Но в случае создания вредоносного варианта SHA1 злоумышленник может варьировать не только блоки сообщений $\text{[math]}$ $\text{[math]}$ $M_{1}$ и $\text{[math]}$ $\text{[math]}$ $M_{2}$ , но и раундовые константы $\text{[math]}$ $\text{[math]}$ $K_{1},K_{2},K_{3},K_{4}$ . Согласно исследованиям^[9], это сильно снижает сложность атаки до порядка $\text{[math]}$ $\text{[math]}$ $2^{48}$ операций и делает построение таких коллизий реальной задачей которую можно выполнить на нескольких компьютерах. Таким образом, авторам исследования удалось построить одноблоковые коллизии для многих известных типов файлов.

Одноблоковая коллизия:

\text{[math]}

M_{1}

и

\text{[math]}

M_{2}

— первые блоки сообщений (512 бит), которые отличаются между собой, но дают одинаковую хеш-сумму

\text{[math]}

C o n t e n t

— остальное содержимое, которое одинаково для обоих файлов

Пример использования вредоносного хеширования для создания бэкдоровПравить

С помощью описанной атаки были созданы два sh-скрипта, которые при выборе $\text{[math]}$ $\text{[math]}$ $K_{1}=5a827999~,~K_{2}=88e8ea68~,~K_{3}=578059de~,~K_{4}=54324a39$ дают одинаковую хеш-сумму SHA1, но работают по-разному.

Как можно видеть, различие между этими двумя скриптами заключается только в первых блоках по 512 бит, которые представляют собой закоментированный мусор. Но содержимое этих блоков затем используется в условии if , следовательно скрипты при запуске работают по-разному. Подобные файлы могут быть использованы создателем со злым умыслом.

Аппаратные бэкдорыПравить

Бэкдоры могут встраиваться не только в программное обеспечение, но и в аппаратуру. Подобные бэкдоры могут использоваться производителями аппаратной начинки для встраивания в неё вредоносных функций на этапе производства.

Аппаратные бэкдоры имеют ряд преимуществ над программными:

Не могут быть обнаружены антивирусами, сканерами кода и другим защитным ПО.
Не могут быть устранены обновлением или заменой программного обеспечения.

Примером аппаратного бэкдора может быть вредоносная прошивка BIOS. Согласно исследованиям^[12], такая прошивка может быть построена на основе свободных прошивок Coreboot^[13] и SeaBIOS. Coreboot не является полноценным BIOS: он отвечает только за обнаружение имеющегося на машине оборудования и передачу управления самой «начинке BIOS», в качестве которой может быть использован модифицированный злоумышленником под свои нужды SeaBIOS.

Принцип действия вредоносной прошивки кратко можно описать так: сразу после включения заражённого компьютера, ещё до загрузки операционной системы, она производит попытку установить соединение с сервером злоумышленника через интернет. Если такая попытка удалась, то производится удалённая загрузка какого-нибудь буткита, который уже в свою очередь предоставляет злоумышленнику возможность производить с заражённым компьютером вредоносные действия: кражу данных или удалённое управление. Если же попытка соединения с интернетом не удалась, то происходит нормальная загрузка операционной системы. Несомненным плюсом для злоумышленника является то, что сама по себе модифицированная прошивка не содержит в себе никакого вредоносного кода, а буткиты трудно обнаруживаются.

См. такжеПравить

ПримечанияПравить

↑ ¹ ² J.P. Aumasson Cryptographic bacdooring Архивная копия от 21 декабря 2019 на Wayback Machine
↑ ¹ ² ³ Евгений Сидоров, Криптографические баги и бэкдоры Архивная копия от 8 декабря 2015 на Wayback Machine, Yandex security meet up, 24.07.2015
↑ Dan Shumow, Niels Ferguson, On the Possibility of a Back Door in the NIST SP800-90 Dual Ec Prng Архивная копия от 15 июня 2022 на Wayback Machine, CRYPTO 2007, august 2007
↑ Брюс Шнайер. Did NSA Put a Secret Backdoor in New Encryption Standard?, Wired News (15 ноября 2007). Архивировано 19 сентября 2012 года.
↑ Киви Берд, Неслучайные случайности Архивная копия от 13 марта 2016 на Wayback Machine // Компьютерра, 07 декабря 2007
↑ John Bryson, Patrick Gallagher, Recommendation for Random Number Generation Using Deterministic Random Bit Generators Архивная копия от 20 февраля 2016 на Wayback Machine, p. 60, 2012
↑ Dan Shumow, Niels Ferguson, On the Possibility of a Back Door in the NIST SP800-90 Dual Ec Prng Архивная копия от 15 июня 2022 на Wayback Machine, pages 6-7, CRYPTO 2007, august 2007
↑ Ange Albertini, Jean-Philippe Aumasson, Maria Eichlseder, Florian Mendel, Martin Schlaeffer, Malicious SHA-1 Архивная копия от 10 января 2016 на Wayback Machine, 14.08.2014
↑ ¹ ² Ange Albertini, Jean-Philippe Aumasson, Maria Eichlseder, Florian Mendel, Martin Schlaffer, Malicious Hashing: Eve’s Variant of SHA-1 Архивная копия от 22 октября 2015 на Wayback Machine, 2014 year
↑ Wang, X., Yao, A.C., Yao, Cryptanalysis on SHA-1. NIST — First Cryptographic Hash Work-shop Архивная копия от 7 ноября 2016 на Wayback Machine, 31 October 2005
↑ Wang, X., Yin, Y.L., Yu, H. , Finding collisions in the full SHA1 Архивная копия от 30 апреля 2015 на Wayback Machine, CRYPTO 2005
↑ Jonathan Brossard, Аппаратные бэкдоры — это практично Архивная копия от 8 декабря 2015 на Wayback Machine, 12 марта 2012
↑ Обзор проекта свободного BIOS — Coreboot Архивная копия от 8 декабря 2015 на Wayback Machine, 9 октября 2014

СсылкиПравить

Dan Shumow, Niels Ferguson. On the Possibility of a Back Door in the NIST SP800-90 Dual Ec Prng. — 2007.
Евгений Сидоров. Криптографические баги и бэкдоры. — 2015.
John Bryson, Patrick Gallagher. Recommendation for Random Number Generation Using Deterministic Random Bit Generators. — U.S. Department of Commerce, 2012.

[Cryptographic_backdooring-1] ¹ ² J.P. Aumasson Cryptographic bacdooring Архивная копия от 21 декабря 2019 на Wayback Machine

[Yandex_security_meet_up-2] ¹ ² ³ Евгений Сидоров, Криптографические баги и бэкдоры Архивная копия от 8 декабря 2015 на Wayback Machine, Yandex security meet up, 24.07.2015

[3] Dan Shumow, Niels Ferguson, On the Possibility of a Back Door in the NIST SP800-90 Dual Ec Prng Архивная копия от 15 июня 2022 на Wayback Machine, CRYPTO 2007, august 2007

[wired-schneier-4] Брюс Шнайер. Did NSA Put a Secret Backdoor in New Encryption Standard?, Wired News (15 ноября 2007). Архивировано 19 сентября 2012 года.

[kiwi07-5] Киви Берд, Неслучайные случайности Архивная копия от 13 марта 2016 на Wayback Machine // Компьютерра, 07 декабря 2007

[6] John Bryson, Patrick Gallagher, Recommendation for Random Number Generation Using Deterministic Random Bit Generators Архивная копия от 20 февраля 2016 на Wayback Machine, p. 60, 2012

[7] Dan Shumow, Niels Ferguson, On the Possibility of a Back Door in the NIST SP800-90 Dual Ec Prng Архивная копия от 15 июня 2022 на Wayback Machine, pages 6-7, CRYPTO 2007, august 2007

[Malicious_SHA1-8] Ange Albertini, Jean-Philippe Aumasson, Maria Eichlseder, Florian Mendel, Martin Schlaeffer, Malicious SHA-1 Архивная копия от 10 января 2016 на Wayback Machine, 14.08.2014

[Eve's_variant_of_SHA1-9] ¹ ² Ange Albertini, Jean-Philippe Aumasson, Maria Eichlseder, Florian Mendel, Martin Schlaffer, Malicious Hashing: Eve’s Variant of SHA-1 Архивная копия от 22 октября 2015 на Wayback Machine, 2014 year

[SHA1-analyse-10] Wang, X., Yao, A.C., Yao, Cryptanalysis on SHA-1. NIST — First Cryptographic Hash Work-shop Архивная копия от 7 ноября 2016 на Wayback Machine, 31 October 2005

[SHA1-analyse-2-11] Wang, X., Yin, Y.L., Yu, H. , Finding collisions in the full SHA1 Архивная копия от 30 апреля 2015 на Wayback Machine, CRYPTO 2005

[Аппаратный_бэкдор-12] Jonathan Brossard, Аппаратные бэкдоры — это практично Архивная копия от 8 декабря 2015 на Wayback Machine, 12 марта 2012

[Coreboot-13] Обзор проекта свободного BIOS — Coreboot Архивная копия от 8 декабря 2015 на Wayback Machine, 9 октября 2014

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]