Kuantum güvenli şifrelemeye yönelik Kyber anahtar kapsülleme mekanizmasının çoklu uygulamaları, toplu olarak KyberSlash olarak adlandırılan ve gizli anahtarların kurtarılmasına izin verebilecek bir dizi kusura karşı savunmasızdır.
CRYSTALS-Kyber, kuantum güvenli algoritma (QSA) için Kyber anahtar kapsülleme mekanizmasının (KEM) resmi uygulamasıdır ve CRYSTALS (Cebirsel Kafesler için Şifreleme Paketi) algoritma paketinin bir parçasıdır.
Genel şifreleme için tasarlanmıştır ve Ulusal Standartlar ve Teknoloji Enstitüsü’nün (NIST) kuantum bilgisayarlardan gelen saldırılara dayanacak şekilde tasarlanmış algoritma seçiminin bir parçasıdır.
Kyber uygulamalarını kullanan bazı popüler projeler Mullvad VPN ve Signal messenger’dır. İkincisi geçen yıl, saldırganların kullanıcıların iletişimini koruyan anahtarları hesaplamak için kırmaları gereken ek bir katman olarak CRYSTALS-Kyber KEM’i benimsediğini duyurdu.
KyberSlash kusurları, Kyber’in kapsül ayırma sürecindeki belirli bölme işlemlerini nasıl gerçekleştirdiğinden kaynaklanan zamanlamaya dayalı saldırılardır ve saldırganların yürütme süresini analiz etmesine ve şifrelemeyi tehlikeye atabilecek sırlar elde etmesine olanak tanır.
Kyber’i uygulayan bir hizmet aynı anahtar çiftine yönelik birden fazla işlem isteğine izin veriyorsa, saldırgan zamanlama farklılıklarını ölçebilir ve gizli anahtarı kademeli olarak hesaplayabilir.
KyberSlash güvenlik açıklarına neden olan sorunlu kod parçaları (KyberSplash1 ve KyberSplash2), doğrulama araçları ve matematiksel olarak kanıtlanmış yazılım sağlayıcısı olan Cryspen’deki araştırmacılar Goutam Tamvada, Karthikeyan Bhargavan ve Franziskus Kiefer tarafından keşfedildi.
Raspberry Pi sistemindeki KyberSlash1 demosunda araştırmacılar, üç denemeden ikisinde Kyber’in gizli anahtarını şifre çözme zamanlamalarından kurtardı.
Düzeltme çalışmaları sürüyor
Cryspen analistleri KyberSlash1’i geçen Kasım ayının sonlarında keşfettiler ve bunu Kyber geliştiricilerine bildirdiler ve onlar da 1 Aralık 2023’te KyberSlash1 için bir yama yayınladılar.
Ancak düzeltme bir güvenlik sorunu olarak etiketlenmedi ve 15 Aralık’a kadar Cryspen daha halka açık bir yaklaşım benimsedi ve etkilenen projeleri Kyber uygulamalarını yükseltmeleri için bilgilendirmeye başladı.
30 Aralık’ta KyberSlash2, Prasanna Ravi ve Matthias Kannwischer’in keşfi ve sorumlu raporlamasının ardından yamalandı.
2 Ocak 2024 itibarıyla aşağıdaki projelerin sorundan etkilendiği ve aşağıdaki düzeltme durumuna sahip olduğu belirlendi:
- pq-crystals/kyber/ref – tamamen yamalı
- semboliksoft/kyber-k2so – tamamen yamalı
- aws/aws-lc/crypto/kyber, ana dal – tamamen yamalı
- zig/lib/std/crypto/kyber_d00.zig – tamamen yamalı
- liboqs/src/kem/kyber – yalnızca KyberSlash1 için yama uygulandı
- aws/aws-lc/crypto/kyber, fips-2022-11-02 şubesi – yalnızca KyberSlash1 için yama uygulandı
- randombit/botan – yalnızca KyberSlash1 için yama uygulandı
- mupq/pqm4/crypto_kem/kyber – yalnızca KyberSlash1 için yama uygulandı
- antontutoveanu/crystals-kyber-javascript – yamalı
- Argyle-Yazılımı/kyber – yamalı
- debian/src/liboqs/unstable/src/kem/kyber – yamalı değil
- kudelskisecurity/crystals-go – henüz yama yok
- PQClean/PQClean/crypto_kem/kyber/aarch64 – yama yapılmadı
- PQClean/PQClean/crypto_kem/kyber/clean – yama yapılmadı
- Ruspq/pqcrypto/pqcrypto-kyber (Signal’de kullanılır) – yamasız
Ayrıca aşağıdaki kitaplıklar, gizli girişlere sahip bölümlere sahip olmadıkları için etkilenmeyecek şekilde etiketlendi:
- sıkıcıssl/kripto/kyber
- filippo.io/mlkem768
- formosa-crypto/libjade/tree/main/src/crypto_kem/kyber/common/amd64/avx2
- formosa-crypto/libjade/tree/main/src/crypto_kem/kyber/common/amd64/ref
- pq kristalleri/kyber/avx2
- pqclean/crypto_kem/kyber/avx2
En kötü senaryo, gizli anahtarın sızdırılmasıdır ancak bu, Kyber kullanan tüm projelerin anahtar sızıntılarına karşı savunmasız olduğu anlamına gelmez.
KyberSlash’ın etkileri Kyber uygulamasına bağlıdır ve pratik kullanım örneklerine ve ek güvenlik önlemlerine bağlı olarak değişiklik gösterebilir.
Örneğin Mullvad, KyberSlash’in VPN ürününü etkilemediğini, çünkü her yeni tünel bağlantısı için benzersiz anahtar çiftleri kullandıklarını ve aynı çifte karşı bir dizi zamanlama saldırısı gerçekleştirmeyi imkansız hale getirdiğini söylüyor.
BleepingComputer, KyberSlash’ın kriptografisi ve kullanıcı iletişimleri üzerindeki gerçek etkisinin yanı sıra projenin iyileştirme planları hakkında bilgi edinmek için Signal ile iletişime geçti ancak henüz bir yorum gelmedi.