RSA şifresinin çözülmesini sağlayan 25 yıllık bir güvenlik açığı, 28. Avrupa Bilgisayar Güvenliği Araştırma Sempozyumu’nda sunuldu. Kağıt, Sonsuz robot: Marvin saldırısıSSL sunucularında hata mesajı işlemenin, 1998’de keşfedilen bir RSA “doldurma modu” saldırısına karşı nasıl hala savunmasız olduğunu tartışıyor.
Bu saldırı, RSA şifrelemesi ile kullanıldığında TLS protokolünün gizliliğini tamamen bozmaktadır. 2019’da araştırmacılar, birçok internet sunucusunun orijinal saldırının küçük varyasyonlarına karşı hâlâ savunmasız olduğunu gösterdi.
Red Hat’in kıdemli kalite mühendisi Hubert Kario, güvenlik açığının yeni versiyonunu açıklayan bir blog yazısında şunları söyledi: “25 yıldır bu temelde bozuk dolgu modunu düzeltmeye çalışan insanlarımız var. Robot, çok daha kolay olan geçici çözümün çok sayıda uygulamada yanlış uygulandığını gösterdi. Marvin geçici çözümünü doğru bir şekilde uygulamak çok daha zorlu, çünkü bunun yan kanal sızıntısı açısından test edilmesini de içermesi gerekiyor.”
Kusuru tartışan makalede Kario şunları yazdı: “Yalnızca şifre çözme işleminin zamanlamasını kullanarak birden fazla uygulamaya başarıyla saldırdık ve diğer pek çok uygulamanın da savunmasız olduğunu gösterdik.”
Kario, güvenlik açığının bir saldırganın RSA şifreli metinlerini çözebileceği ve imzaları taklit edebileceği anlamına geldiğini söyledi. Kario, varsayılan olarak RSA şifreleme anahtar alışverişini kullanan bir TLS sunucusunda, saldırganın bir oturumu kaydedebileceğini ve daha sonra şifresini çözebileceğini söyledi.
Ancak Kario’nun “ileri güvenli şifre paketleri” olarak tanımladığı şeyi kullanan TLS ana bilgisayarları için, saldırganın bağlantı girişiminden önce bir sunucu imzası oluşturmak için büyük ölçüde paralel bir saldırı gerçekleştirmesi gerekeceğini söyledi. Kario, bunun böyle bir saldırının çok daha zor olduğu ancak imkansız olmadığı anlamına geldiğini söyledi.
Kario’ya göre saldırı, S/MIME, JSON web belirteçleri veya donanım belirteçleri gibi RSA şifre çözme işlemini otomatik olarak gerçekleştiren diğer arayüzlere de uygulanabiliyor.
Kendisi şunları söyledi: “Birden fazla uygulamadaki güvenlik açığını belirledik ve bunlardan birkaçında düzeltmeleri onayladık, ancak çoğu kriptografik uygulamanın pratikte savunmasız olduğuna inanıyoruz.”
Kario, yamaların mevcut olduğu yamaların yanı sıra, BT yöneticilerini “RSA şifrelemesini kullanan şifre paketlerini devre dışı bırakmaya” çağırdı ve bunun, bu güvenlik açığını düzeltmenin önerilen yolu olduğunu ekledi.
Makalede Kario, bunun doğru şekilde uygulanmasının imkansız olmasa da çok zor olmasından kaynaklandığını söyledi. Spesifik güvenlik açığı hakkında şunları söyledi: “Özellikle RSA şifrelemesi için PKCS#1 v1.5 dolgusunun kullanılmamasını ve kullanımına izin veren tüm protokollerin kullanımdan kaldırılmasını ve kullanımının tamamen yasaklanmasını öneriyoruz.”
Kario’ya göre, genel amaçlı çok duyarlıklı sayısal yöntemler kullanan herhangi bir kriptografik aritmetik uygulaması, yan kanal saldırılarına karşı savunmasızdır. “Tam sayıların değişken boyutlu dahili temsilini kullanan herhangi bir kod, büyük olasılıkla yan kanal saldırılarına karşı savunmasızdır” diye uyardı.