Une nouvelle étude a démontré qu’il est possible pour des attaquants de réseau passifs d’obtenir des clés d’hôte RSA privées à partir d’un serveur SSH vulnérable en observant les événements naturels. erreurs de calcul qui se produisent lors de l’établissement de la connexion.
Le protocole Secure Shell (SSH) est une méthode permettant de transmettre en toute sécurité des commandes et de se connecter à un ordinateur via un réseau non sécurisé. Basé sur une architecture client-serveur, SSH utilise la cryptographie pour authentifier et chiffrer les connexions entre appareils.
UN clé d’hôte est une clé cryptographique utilisée pour authentifier les ordinateurs dans le protocole SSH. Les clés d’hôte sont des paires de clés généralement générées à l’aide de systèmes de chiffrement à clé publique tels que RSA.
« Si une implémentation de signature utilisant CRT-RSA présente un défaut lors du calcul de la signature, un attaquant qui observe cette signature peut être en mesure de calculer la clé privée du signataire », a déclaré un groupe d’universitaires de l’Université de Californie à San Diego et du Massachusetts Institute of Technology. Technologie dit dans un journal ce mois-ci.
En d’autres termes, un adversaire passif peut tranquillement suivre les connexions légitimes sans risquer d’être détecté jusqu’à ce qu’il observe une signature défectueuse qui expose la clé privée. L’acteur malveillant peut alors se faire passer pour l’hôte compromis pour intercepter des données sensibles et organiser des attaques d’adversaire au milieu (AitM).
Les chercheurs ont décrit la méthode comme une attaque de récupération de clé basée sur un réseau, qui leur a permis de récupérer les clés privées correspondant à 189 clés publiques RSA uniques qui ont ensuite été retracées jusqu’aux appareils de quatre fabricants : Cisco, Hillstone Networks, Mocana et Zyxel.
Il convient de noter que la sortie de la version 1.3 de TLS en 2018 agit comme une contre-mesure en cryptant la poignée de main qui établit la connexion, empêchant ainsi les oreilles indiscrètes passives d’accéder aux signatures.
« Ces attaques fournissent une illustration concrète de la valeur de plusieurs principes de conception en cryptographie : chiffrer les poignées de main du protocole dès qu’une clé de session est négociée pour protéger les métadonnées, lier l’authentification à une session et séparer l’authentification des clés de chiffrement », ont déclaré les chercheurs.
Les conclusions interviennent deux mois après la divulgation de Attaque de Marvinune variante de l’attaque ROBOT (abréviation de « Return Of Bleichenbacher’s Oracle Threat ») qui permet à un acteur malveillant de déchiffrer les textes chiffrés RSA et de falsifier des signatures en exploitant les failles de sécurité de PKCS #1 v1.5.