اوراکل های رمزنگاری می توانند ابزار بسیار خوبی برای هکرها باشند. در اینجا دلیل آن است.
آیا مهاجم ممکن است داده های برنامه شما را بدون دانستن کلیدهای رمزگشایی رمزگشایی و رمزگذاری کند؟ پاسخ مثبت است و در یک نقص رمزنگاری به نام اوراکل رمزگذاری نهفته است.
اوراکل های رمزگذاری به عنوان یک دروازه بالقوه برای مهاجمان برای جمع آوری اطلاعات در مورد داده های رمزگذاری شده، بدون دسترسی مستقیم به کلید رمزگذاری، عمل می کنند. بنابراین، چگونه مهاجمان میتوانند از طریق تکنیکهایی مانند حملات اوراکل از اوراکلهای رمزنگاری سوء استفاده کنند؟ چگونه می توانید از تأثیرگذاری چنین آسیب پذیری هایی جلوگیری کنید؟
اوراکل رمزنگاری چیست؟
رمزگذاری یک پروتکل امنیتی است که در آن متن یا دادههای ساده به فرمت کدگذاری شده غیرقابل خواندن، که به عنوان متن رمزی نیز شناخته میشود، تبدیل میشود تا از محرمانه بودن آن محافظت شود و اطمینان حاصل شود که تنها توسط اشخاص مجاز با کلید رمزگشایی قابل دسترسی است. دو نوع رمزگذاری وجود دارد: نامتقارن و متقارن.
رمزگذاری نامتقارن از یک جفت کلید مجزا (عمومی و خصوصی) برای رمزگذاری و رمزگشایی استفاده می کند، در حالی که رمزگذاری متقارن از یک کلید مشترک برای رمزگذاری و رمزگشایی استفاده می کند. تقریباً می توانید هر چیزی را رمزگذاری کنید، پیام های متنی، ایمیل ها، فایل ها، ترافیک وب و غیره.
از سوی دیگر، اوراکل رسانه ای است که از طریق آن شخص معمولاً اطلاعاتی را به دست می آورد که معمولاً برای مردان صرفاً در دسترس نیست. هنگامی که از چیزی عبور می کنید، به یک اوراکل مانند یک جعبه خاص فکر کنید و به شما نتیجه می دهد. شما محتوای جعبه را نمی دانید، اما می دانید که کار می کند.
اوراکل رمزنگاری، همچنین به عنوان اوراکل padding شناخته میشود، مفهومی در رمزنگاری است که به سیستم یا موجودیتی اطلاق میشود که میتواند اطلاعاتی درباره دادههای رمزگذاریشده بدون فاش کردن کلید رمزگذاری ارائه دهد. اساساً، این راهی برای تعامل با یک سیستم رمزگذاری برای کسب دانش در مورد داده های رمزگذاری شده بدون دسترسی مستقیم به کلید رمزگذاری است.
یک اوراکل رمزنگاری از دو بخش تشکیل شده است: پرس و جو و پاسخ. پرس و جو به عمل ارائه متن رمز شده برای اوراکل (داده های رمزگذاری شده) اشاره دارد و پاسخ، بازخورد یا اطلاعات ارائه شده توسط اوراکل بر اساس تحلیل آن از متن رمزی است. این می تواند شامل تأیید اعتبار آن یا افشای جزئیات مربوط به متن ساده مربوطه، کمک بالقوه به مهاجم در رمزگشایی داده های رمزگذاری شده و بالعکس باشد.
Padding Oracle Attacks چگونه کار می کند؟
یکی از راههای اصلی که مهاجمان از اوراکلهای رمزنگاری بهرهبرداری میکنند، از طریق حمله اوراکل padding است. حمله اوراکل padding یک حمله رمزنگاری است که از رفتار یک سیستم یا سرویس رمزگذاری هنگامی که اطلاعاتی را در مورد صحت padding در متن رمزی فاش می کند، سوء استفاده می کند.
برای اینکه این اتفاق بیفتد، مهاجم باید نقصی را کشف کند که یک اوراکل رمزنگاری را آشکار می کند، سپس متن رمزی اصلاح شده را به آن بفرستد و پاسخ های اوراکل را مشاهده کند. با تجزیه و تحلیل این پاسخ ها، مهاجم می تواند حتی بدون دسترسی به کلید رمزگذاری، اطلاعاتی در مورد متن ساده، مانند محتویات یا طول آن، استنباط کند. مهاجم بارها و بارها قسمت هایی از متن رمز را حدس زده و اصلاح می کند تا زمانی که کل متن ساده را بازیابی کند.
در یک سناریوی دنیای واقعی، مهاجم میتواند مشکوک باشد که یک برنامه بانکداری آنلاین، که دادههای کاربر را رمزگذاری میکند، ممکن است دارای یک آسیبپذیری اوراکل باشد. مهاجم درخواست تراکنش رمزگذاری شده یک کاربر قانونی را رهگیری می کند، آن را تغییر می دهد و به سرور برنامه ارسال می کند. اگر پاسخ سرور متفاوت باشد – از طریق خطاها یا زمان پردازش درخواست – به متن رمزی اصلاح شده، ممکن است نشان دهنده یک آسیب پذیری باشد.
سپس مهاجم با پرس و جوهایی که به دقت طراحی شده اند از آن سوء استفاده می کند، در نهایت جزئیات تراکنش کاربر را رمزگشایی می کند و به طور بالقوه دسترسی غیرمجاز به حساب کاربری خود را به دست می آورد.
مثال دیگر استفاده از اوراکل رمزگذاری برای دور زدن احراز هویت است. اگر یک مهاجم یک اوراکل رمزگذاری را در درخواست های یک برنامه کاربردی وب کشف کند که داده ها را رمزگذاری و رمزگشایی می کند، مهاجم می تواند از آن برای دسترسی به حساب کاربری معتبر استفاده کند. او میتواند رمز نشست حساب را از طریق اوراکل رمزگشایی کند، متن ساده را با استفاده از همان اوراکل تغییر دهد، و توکن جلسه را با یک توکن رمزگذاری شده دستکاری شده جایگزین کند که به او امکان دسترسی به حساب کاربر دیگر را میدهد.
چگونه از حملات رمزنگاری Oracle جلوگیری کنیم
حملات اوراکل رمزنگاری نتیجه آسیبپذیریها در طراحی یا پیادهسازی سیستمهای رمزنگاری است. مهم است که اطمینان حاصل کنید که این سیستم های رمزنگاری را به طور ایمن پیاده سازی می کنید تا از حملات جلوگیری کنید. سایر اقدامات برای جلوگیری از اوراکل های رمزگذاری عبارتند از:
- حالت های رمزگذاری احراز هویت شده: استفاده از پروتکل های رمزگذاری احراز هویت شده مانند AES-GCM (Galois/Counter Mode) یا AES-CCM (Counter با CBC-MAC) نه تنها محرمانه بودن را فراهم می کند، بلکه از یکپارچگی نیز محافظت می کند و دستکاری یا رمزگشایی متن رمز را برای مهاجمان دشوار می کند. .
- مدیریت خطای مداوم: اطمینان حاصل کنید که فرآیند رمزگذاری یا رمزگشایی همیشه همان پاسخ خطا را برمیگرداند، صرف نظر از اینکه بالشتک معتبر است یا خیر. این تفاوتها در رفتاری را که مهاجمان میتوانند از آن سوء استفاده کنند، حذف میکند.
- تست امنیتی: به طور منظم ارزیابی های امنیتی، از جمله تست نفوذ و بررسی کد، برای شناسایی و کاهش آسیب پذیری های احتمالی، از جمله مسائل اوراکل رمزگذاری، انجام دهید.
- محدود کردن نرخ: اعمال محدودیت نرخ برای درخواست های رمزگذاری و رمزگشایی برای شناسایی و جلوگیری از حملات brute-force.
- اعتبار سنجی ورودی: ورودی های کاربر را قبل از رمزگذاری یا رمزگشایی به طور کامل تأیید و پاکسازی کنید. اطمینان حاصل کنید که ورودیها به فرمت و طول مورد انتظار پایبند هستند تا از حملات اوراکل از طریق ورودیهای دستکاری شده جلوگیری شود.
- آموزش امنیتی و آگاهی: توسعه دهندگان، مدیران و کاربران را در مورد بهترین شیوه های رمزگذاری و امنیت آموزش دهید تا فرهنگ آگاه از امنیت را تقویت کنند.
- به روز رسانی منظم: تمام اجزای نرم افزار، از جمله کتابخانه ها و سیستم های رمزنگاری، را با آخرین وصله های امنیتی و به روز رسانی به روز نگه دارید.
وضعیت امنیتی خود را بهبود بخشید
درک و محافظت در برابر حملاتی مانند اوراکل های رمزگذاری ضروری است. سازمان ها و افراد می توانند با اجرای شیوه های ایمن، دفاع خود را در برابر این تهدیدات موذیانه تقویت کنند.
آموزش و آگاهی نیز نقشی اساسی در پرورش فرهنگ امنیتی ایفا می کند که از توسعه دهندگان و مدیران تا کاربران نهایی گسترش می یابد. در این نبرد مداوم برای محافظت از دادههای حساس، هوشیار ماندن، مطلع ماندن، و یک قدم جلوتر از مهاجمان بالقوه، کلید حفظ یکپارچگی داراییهای دیجیتالی و دادههایی است که شما عزیزان دارید.