1 \documentclass[a4paper,
10pt
]{article
}
3 \usepackage[francais
]{babel
}
4 \usepackage[utf8
]{inputenc}
5 \usepackage[T1]{fontenc}
12 \title{ICR - Labo \
#1 :
\textit{MAC-and-Encrypt and Padding Oracles
}}
23 %%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%
24 \section{Introduction
}
26 Le but de ce laboratoire est d'expérimenter le chiffrement symétrique
\emph{AES
} ainsi que l'authentification par
\emph{MAC
}, de mettre en évidence des problèmes de sécurité liés à un protocole choisi propre et de montrer des solutions afin de corriger ces problèmes.
28 Nous utiliseront
\emph{AES-
256} en mode
\emph{CBC
} pour chiffrer les données ainsi que
\emph{HMAC-SHA256
} pour l'authentification.
31 %%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%
32 \section{Simulation du protocole
}
34 \subsection{Utilisation du programme
}
36 Le code est écrit en langage Rust
\footnote{\url{http://www.rust-lang.org
}} et utilise le système de build
\emph{Cargo
} qui est livré en standard. Il est conseillé d'installer la version
\emph{nightly
} disponible ici :
\url{http://www.rust-lang.org/install.html
}.
38 Pour construire et lancer l'application il faut se trouver dans le dossier contenant le fichier
\emph{Cargo.toml
} et lancer la commande suivante.
41 $> cargo run -- <args>
44 Où
\emph{<args>
} peut valoir :
47 \item \emph{genkey
} : génère une clef de
256 bits. Utilisé initialement pour définir la clef d'authentification $K_
{a
}$ et la clef de chiffrement $K_
{c
}$ ;
48 \item \emph{tests
} : effectue un certain nombre de tests pour vérifier le comportement du serveur vis-à-vis du protocole ;
49 \item \emph{oracle-weak
} : effectue une attaque sur la première version du serveur ;
50 \item \emph{oracle-fixed
} : effectue une attaque sur la version corrigé du serveur.
54 \subsection{Structure du code
}
56 Le code est découpé en quatre modules :
59 \item \emph{crypto
} : fournit les primitives de chiffrement, déchiffrement, calcul du MAC. Utilise un binding
\emph{Rust
} vers
\emph{OpenSSL
} ;
60 \item \emph{packet
} : définit le format des paquets et permet leur sérialisation et dé-sérialisation ;
61 \item \emph{end
\_point} : permet la création de serveurs et de clients et gère la communication sur
\emph{TCP/IP
} ;
62 \item \emph{oracle
\_machine} : implémente l'attaque par padding-oracle.
65 \subsection{Tests du protocole
}
67 Un certain nombre de tests sont implémenté dans la fonction
\texttt{end
\_point::Client::start
\_tests(..)
}. Il est possible de les exécuter à l'aide de la commande suivante.
74 La sortie de cette commande est la suivante.
76 \begin{lstlisting
}[breaklines, basicstyle=
\small]
78 Compiling lab1_rust v0.0
.1 (file:///home/gburri/Documents/Master/ICR/lab1/lab1_rust)
79 Running `target/lab1_rust tests`
80 Starting server on
[::
1]:
4221...
83 Sending a valid packet...
84 [Client
] time:
0. Sending: Command
{ id:
154, payload(
29): "ba57cb4a9cc83c9b9027bca2cf9c46f25d0c1608a4044dc878bd474bbd"
}
85 [Server
] time:
2. Valid command received: Packet
{ t: Command
{ id:
154, payload(
29): "ba57cb4a9cc83c9b9027bca2cf9c46f25d0c1608a4044dc878bd474bbd"
}, timestamp:
1 }
86 [Server
] time:
3. Answer sent: Answer
{ id:
125, payload(
31): "a88ffbd4758e17d0130cd11c1749149bc33cc818c42edec5fb6edb29352f83"
}
87 [Client
] time:
4. Command transmitted correctly, answer: Packet
{ t: Answer
{ id:
125, payload(
31): "a88ffbd4758e17d0130cd11c1749149bc33cc818c42edec5fb6edb29352f83"
}, timestamp:
3 }
90 [Server
] time:
3. Connection closed: EOF
91 Sending a packet with an unknown type...
92 [Server
] time:
0. Error or invalid packet: Err(UnknownPacketTypeError)
94 [Server
] time:
0. Connection closed: EOF
96 Sending a packet with an old timestamp...
97 Error, timestamp mismatch, current timestamp:
0, packet received: Packet
{ t: Command
{ id:
154, payload(
29): "ba57cb4a9cc83c9b9027bca2cf9c46f25d0c1608a4044dc878bd474bbd"
}, timestamp:
0 }
98 [Server
] time:
0. Error or invalid packet: Err(InvalidTimestampError)
100 [Server
] time:
0. Connection closed: EOF
102 Sending a packet with altered crypted data (do not alter the padding)...
103 [Server
] time:
2. Error or invalid packet: Err(MACMismatchError)
105 [Server
] time:
2. Connection closed: EOF
107 Sending a packet with too small data...
108 [Server
] time:
0. Error or invalid packet: Err(UnconsistentDataSizeError)
110 [Server
] time:
0. Connection closed: EOF
112 Sending a packet with too large data...
113 [Server
] time:
0. Error or invalid packet: Err(UnconsistentDataSizeError)
115 [Server
] time:
0. Connection closed: EOF
117 Sending a packet with wrong padding (all
0)...
118 [Server
] time:
2. Error or invalid packet: Err(PaddingError)
121 [Server
] time:
2. Connection closed: EOF
125 \subsection{Quelle est la stratégie recommandée en pratique parmi les trois listées ci après ?
}
128 \item \emph{MAC-and-Encrypt
} : $Enc(M)|MAC(M)$ ;
129 \item \emph{MAC-then-Encrypt
} : $Enc(M|MAC(M))$ ;
130 \item \emph{Encrypt-then-MAC
} : $Enc(M)|MAC(Enc(M))$.
133 D'après
\cite{wiki-authentication-encryption
} la stratégie
\emph{Encrypt-then-MAC
} est la plus sûre dans le cadre de chiffrage authentifié. L'article de
\emph{M. Bellare and C. Namprempre
} \cite{authenticated-encryption-bellare-namprempre
} évalue ces trois stratégies.
136 \subsubsection{Quelle stratégie est utilisée par
\emph{TLS
} ?
}
138 \emph{TSL
} utilise la deuxième version (
\emph{MAC-then-Encrypt
}). À noté que le
\emph{MAC
} est optionnel.
140 Une proposition
\footnote{https://tools.ietf.org/html/draft-ietf-tls-encrypt-then-mac-
02} existe afin d'utiliser du
\textit{Encrypt-then-MAC
} pour
\emph{TSL
}.
143 \subsubsection{Quelle stratégie est utilisée par
\emph{SSH
} ?
}
145 \emph{SSH
} utilise la même méthode utilisée dans ce laboratoire, c'est à dire la première :
\emph{MAC-and-Encrypt
}.
147 \subsection{Quel est le rôle du timestamp en terme de sécurité ?
}
149 Permet de minimiser certaines attaques comme l'attaque par rejeu (
\emph{replay attack
})
\cite{wiki-replay-attack
} où un attaquant réutilise tel-quel tout ou une partie d'un message intercepté au préalable.
151 Dans notre cas un attaquant ne pourra pas rejouer une commande tel quelle, elle serait rejetée par le serveur ayant un
\emph{timestamp
} supérieur. Si l'attaquant essaie de renvoyer un paquet avec un timestamp modifié, alors les données décodées ne seront plus validées par la
\emph{MAC
} car le vecteur d'initialisation utilisé (
\emph{IV
}) lors du déchiffrement est composé en partie par le
\emph{timestamp
}.
154 \subsection{Y a-t-il un moyen d'effectuer une attaque de type
\emph{denial-of-service
} sur notre dispositif ?
}
156 Via une
\emph{replay attack
} en modifiant le
\emph{timestamp
} pour qu'il soit valide le dispositif va devoir déchiffrer les données puis calculer le
\emph{MAC
} avant de se rendre compte que le paquet est invalide et envoyer une réponse qui sera chiffrée et authentifiée. Dans ce cas on peut faire travailler énormément le dispositif en lui envoyant le plus de paquet à déchiffrer que le permet le débit du moyen de communication utilisé. Cela peut amener le dispositif a être surchargé.
159 \subsection{À la place d'utiliser un
\emph{IV
} aléatoire, le mode
\emph{CBC
} implémente une approche basée sur un
\emph{nonce
}. Que peut-on dire de sa sécurité ?
}
164 \subsection{Remarques concernant la sécurité de notre protocole
}
166 A priori nous n'avons pas choisi la stratégie la plus recommandée en terme de sécurité. Comme nous le verrons par la suite, ce protocole est vulnérable à une attaque de type
\emph{padding-oracle
}.
169 %%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%
170 \section{Utilisation du serveur comme d'un oracle de déchiffrement
}
172 \subsection{Historique de l'attaque par oracle à l'aide du remplissage
}
174 L'attaque original a été publié en
2002 par
\emph{Serge Vaudenay
}. En
2010, cette attaque a été mise en pratique contre plusieurs frameworks web tel que
\emph{JavaServer Faces
},
\emph{Ruby on Rails
} et
\emph{ASP.NET
}. En
2012, il a été montré qu'elle est efficace contre certain appareils hardware.
176 Il existe une nouvelle variante, publiée en
2013, nommée
\emph{the Lucky Thirteen attack
}, permettant d'attaquer des implémentations ayant été corrigées. En février
2013, les personnes en charge des implémentations de
\emph{TLS
} travaillaient à la réalisation d'un correctif à cette attaque.
178 L'attaque la plus récente utilisant un
\emph{padding-oracle
} est
\emph{POODLE
} \footnote{\url{http://en.wikipedia.org/wiki/POODLE
}} qui a été dévoilée en septembre
2014.
180 Cette section est largement inspirée de l'article de
\emph{Wikipedia
} sur la
\emph{padding-oracle attack
} \cite{wiki-padding-oracle-attack
}.
182 \subsection{Explication de l'attaque pour notre cas
}
184 Le but est de faire décoder par un oracle tout ou une partie d'un message chiffré intercepté. Le décryptage se fait par bloc de
16 octets et nécessite le bloc chiffré le précédant ou l'
\emph{IV
} dans le cas du premier bloc. Pour notre test nous partons du principe que l'attaquant a intercepté un paquet chiffré, qu'il en a compris la structure et qu'il a deviné que l'
\emph{IV
} correspondait au
\emph{timestamp
}.
186 Nous utilisons une attaque basé sur l'information renvoyé par l'oracle concernant la présence d'un bourrage valide. D'après le protocole un
\emph{MAC
} est calculé à partir des données non-bourrées puis le bourrage est ajouté pour obtenir une taille multiple de
16 et finalement les données et le bourrage sont chiffrés. Lors du traitement par l'oracle, les données sont d'abord déchiffrées puis le bourrage est contrôlé, s'il n'est pas valide un paquet d'erreur et renvoyé au client (
\emph{CryptError
}). Si le bourrage est correct alors celui ci est retiré et les données restantes sont authentifiée à l'aide de la
\emph{MAC
}, si l'authentification échoue alors un paquet d'erreur et renvoyé au client (
\emph{AuthError
}).
188 La valeur des octets du bourrage correspond à sa taille, par exemple un bourrage de longueur trois est représenté par
\emph{[0x03,
0x03,
0x03]}. Si les données avant bourrage sont déjà multiple de
16 alors un bourrage de longueur
16 est ajouté de sorte qu'un bourrage soit toujours présent.
192 \includegraphics[scale=
0.6]{diagramme_AES-CBC.eps
}
193 \caption{\label{diagramme_AES-CBC
} \textit{Décryptage par un oracle, AES-CBC.
}}
198 La figure
\ref{diagramme_AES-CBC
} illustre la structure de l'attaque.
\emph{IV
} et
\emph{D
} n'ont pas d'importance dans notre cas.
\emph{X
} est le bloc à décrypter,
\emph{X'
} est le bloc à décrypter après avoir été décodé par
\emph{AES
} mais avant d'avoir été
\flqq xoré
\frqq par
\emph{F
}.
\emph{F
} correspond à un bloc qui sera forgé par nos soins durant le décryptage de
\emph{X
}. De plus
\emph{C
}, qui n'est pas illustré sur le schéma, correspond au bloc précédent
\emph{X
} ou à l'
\emph{IV
} si
\emph{X
} est le premier bloc et
\emph{R
} correspond au message décrypté.
200 dans un premier temps nous allons chercher le premier octet $b$ de $F$ noté $F_
{1}$ en itérant celui ci de
0 à
255. Pour chaque itération un paquet de commande est envoyé à l'oracle comprenant en guise de données chiffrée $F + X$, le paquet d'erreur renvoyé va nous indiquer si le bourrage est correct (
\emph{AuthError
}) ou s'il ne l'est pas (
\emph{CryptError
}). Pour le premier octet nous allons chercher le bourrage
\emph{[0x01]}, pour le deuxième le bourrage
\emph{[0x02,
0x02]} et ainsi de suite jusqu'à l'octet
16.
202 Dès qu'un paquet d'erreur
\emph{AuthError
} est reçu alors nous pouvons calculer $X'_
{1} = F_
{1} \oplus b$ puis le premier octet de notre message décrypté $R_
{1} = X'_
{1} \oplus C_
{1}$. Avant de passer à l'octet suivant $b' = b +
1$ il faut s'assurer que les $b$ premiers octets de
\emph{E
} vaudront bien $b'$ lors du décryptage par l'oracle, pour ce faire on met à jour
\emph{F
} comme ceci : $
\forall i
\in [1,
\ldots, b
], F_
{i
} = b'
\oplus X_
{i
}$.
204 Une subtilité existe pour la recherche du premier octet, il est possible que le paquet d'erreur
\emph{AuthError
} correspond, avec une faible probabilité, à un autre bourrage que
\emph{[0x01]}. Pour prévenir ce cas il faut, pour ce premier octet, envoyer un paquet de commande pour toutes les valeurs de $F_
{1}$ et compter le nombre de paquet d'erreur
\emph{AuthError
} reçu. Si ce nombre est égal à
1 alors on peut passer à $b'$, sinon il faut recommencer en modifiant $F_
{2} = (F_
{2} +
1) mod
256$.
206 Le code correspondant à cette attaque peut être exécuté par la commande suivante :
209 $> cargo run --release -- oracle-weak
213 \subsection{Calcul de la complexité moyenne de l'attaque en terme de nombre de requête effectué auprès de l'oracle
}
215 Sans prendre en compte la particularité du premier octet illustré à la section précédente, la complexité moyenne pour le décryptage d'un bloc de
16 octets est de $
16 *
256 /
2 =
2048$ requêtes.
217 Dans l'exemple présenté dans le code, le nombre de requête est de
2099. La durée d'exécution est de ~
180 ms, cette relative longue durée est certainement dû à un overhead engendré par les couches réseau
\emph{TCP/IP
}.
220 %%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%
221 \section{Correction du protocole
}
223 \subsection{Description
}
225 Le correctif proposé consiste à authentifier également le bourrage et non-plus que les données. Cela a pour conséquence de vérifier en premier l'authenticité du contenu avant de procéder à la validité du padding. Les deux messages d'erreur,
\emph{CryptError
} et
\emph{AuthError
}, font toujours partis du protocole.
227 Le code correspondant à ce correctif peut être exécuté par la commande suivante :
230 $> cargo run --release -- oracle-fixed
234 %%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%
244 \bibliographystyle{plain
}