هکرها می توانند کلیدهای Google Titan 2FA را با استفاده از یک کانال جانبی در تراشه های NXP کلون کنند


هکرها می توانند کلیدهای Google Titan 2FA را با استفاده از یک کانال جانبی در تراشه های NXP کلون کنند

گوگل

در مورد کارشناسان امنیتی یک توافق گسترده وجود دارد که کلیدهای احراز هویت دو عاملی موثرترین محافظت را در برابر کلاهبرداری در حساب دارند. تحقیقات منتشر شده امروز تغییری در آن ایجاد نمی کند ، اما نشان می دهد که چگونه مهاجمان مخربی با داشتن فیزیکی کلید Google Titan می توانند آن را شبیه سازی کنند.

چندین موانع شیب دار وجود دارد که باید برای موفقیت در حمله از بین بروند. هکر ابتدا باید رمز ورود به حساب هدف را بدزدد و همچنین به مدت 10 ساعت کلید فیزیکی مخفیانه را بدست آورد. همچنین شبیه سازی به تجهیزات با ارزش حداکثر 12000 دلار ، نرم افزار سفارشی و تجربه پیشرفته در مهندسی برق و رمزنگاری نیاز دارد. این بدان معناست که شبیه سازی کلید – اگر هرگز در طبیعت رخ داده باشد – احتمالاً فقط توسط یک کشور ملی انجام می شود که اهداف ارزشی خود را دنبال می کند.

“با این حال ، این کار نشان می دهد که کلید امنیتی Google Titan (یا سایر محصولات آسیب دیده) فرار نخواهد کرد [an] نقض امنیت توسط مهاجمانی که مایل به انجام تلاش های کافی برای انجام این کار هستند ، بدون توجه به آن مشاهده می شود. ” “کاربرانی که با چنین تهدیدی روبرو هستند ، احتمالاً باید به کلیدهای امنیتی سخت افزاری FIDO U2F که هنوز یک آسیب پذیری شناسایی نشده است ، روی بیاورند.”

استاندارد طلای 2FA

احراز هویت دو عاملی یا 2FA روشی است که انجام تسخیر حساب ها را بسیار دشوارتر می کند. به جای استفاده از فقط گذرواژه برای اثبات مجاز بودن دسترسی شخصی به حساب ، 2FA به فاکتور دوم مانند گذرواژه یکبار مصرف ، در اختیار داشتن شی فیزیکی ، اثر انگشت یا بیومتریک دیگر نیاز دارد.

کلیدهای فیزیکی از جمله این موارد هستند – اگر اینگونه نباشد بر—امن ترین فرم های 2FA ، زیرا آنها راز طولانی مدت را حفظ می کنند که باعث می شود داخلی کار کنند و فقط مقادیری را نمایش می دهند که امکان استفاده مجدد از آنها وجود ندارد. راز همچنین برای فیشینگ غیرممکن است. کلیدهای فیزیکی نیز راحت تر هستند زیرا روی همه سیستم عامل ها و سخت افزارهای اصلی کار می کنند.

آسیب پذیری Titan یکی از تنها آسیب پذیری های موجود در کلید اصلی 2FA است. هرچقدر که باورنکردنی است ، یک سو successful استفاده موفق در دنیای واقعی تضمین های امنیتی دستگاه های به اندازه انگشت شست را کاملاً تضعیف می کند. محققان NinjaLab سریعاً به این نکته اشاره کردند که علی رغم ضعف ، استفاده از کلید امنیتی Titan یا سایر دستگاه های تأیید اعتبار تحت تأثیر برای ورود به سیستم حساب ها نسبت به عدم استفاده از آن ایمن تر است.

حمله کلون ها

شبیه سازی با استفاده از اسلحه هوای گرم و چاقوی جراحی برای از بین بردن بدنه پلاستیکی کلید و برملا کردن تراشه NXP A700X انجام می شود که به عنوان یک ویژگی امنیتی عمل می کند و اسرار رمزنگاری را حفظ می کند. سپس مهاجم تراشه را به سخت افزار و نرم افزار متصل می کند ، که با ثبت نام برای کار با یک حساب جدید ، اندازه گیری می کند. پس از پایان اندازه گیری ، مهاجم تراشه را در یک محفظه جدید مهر و موم کرده و آن را به قربانی بازمی گرداند.

بازیابی و بعداً آب بندی تراشه حدوداً چهار ساعت طول می کشد. برای اندازه گیری هر حسابی که یک مهاجم می خواهد هک کند ، شش ساعت دیگر طول می کشد. به عبارت دیگر ، کلون سازی کلید برای یک حساب 10 ساعت ، کلون سازی کلید برای دو حساب 16 ساعت و برای سه حساب 22 ساعت طول خواهد کشید.

با نظارت بر تابش الکترومغناطیسی محلی در حالی که تراشه امضای دیجیتال تولید می کند ، محققان از یک آسیب پذیری در کانال جانبی تراشه NXP استفاده کردند. این سوit استفاده به مهاجم اجازه می دهد تا دراز مدت به دست آورد
الگوریتم منحنی بیضوی برای کلید خصوصی سیگنال دیجیتال که برای یک حساب مشخص تعریف شده است. با در دست داشتن کلید رمزنگاری ، مهاجم می تواند کلید اختصاصی خود را برای کار با هر حسابی که هدف قرار داده ایجاد کند.

پل کوچر ، یک متخصص مستقل رمزنگاری که در این مطالعه دخیل نبود ، گفت که اگرچه خطر واقعی حمله کم است ، اما باز کردن کانال های جانبی با توجه به طبقه مصرف کنندگان – مخالفان ، وکلا ، روزنامه نگاران و سایر اهداف مهم است. ارزش بالا – که به این اعتماد می کنند و توانایی حمله به مرور بهبود می یابد.

وی در ایمیلی نوشت: “این كار چشمگیر است زیرا یك حمله موفقیت آمیز به هدف تثبیت شده برای برنامه های با امنیت بالا است و به وضوح ویژگی های امنیتی محصول را نقض می كند.” “ممکن است دشمن واقعی بتواند حمله را اصلاح کند (به عنوان مثال ، زمان جمع آوری اطلاعات را کوتاه کرده و یا نیازی به باز کردن فیزیکی دستگاه ندارید). به عنوان مثال ، حمله را می توان به مدت یک ساعت به نشانه ای که در رختکن ورزش هتل باقی مانده است ، گسترش داد. “

انجام غیرممکن ها

در واقع ، Google Titan مانند سایر کلیدهای امنیتی که از استاندارد FIDO U2F استفاده می کنند ، انتقال کلیدهای رمزنگاری و امضاها از دستگاه را غیرممکن می کند ، همانطور که محققان NinjaLab اشاره کردند:

همانطور که دیدیم ، پروتکل FIDO U2F بسیار ساده است ، تنها راه تعامل با دستگاه U2F از طریق درخواست های ثبت نام یا احراز هویت است. مرحله ثبت نام یک جفت کلید ECDSA جدید ایجاد کرده و کلید عمومی را نمایش می دهد. احراز هویت عمدتا عملیات امضای ECDSA را انجام می دهد ، جایی که ما می توانیم پیام ورودی را انتخاب کرده و امضای خروجی را بدست آوریم.

بنابراین ، حتی برای یک کاربر قانونی ، راهی برای دانستن کلید مخفی ECDSA حساب کاربری وجود ندارد. به عنوان مثال ، این محدودیت پروتکل است که انجام می دهد [it] انتقال اعتبار کاربر از یک کلید امنیتی به کلید دیگر غیرممکن است. اگر کاربر بخواهد به یک کلید امنیتی سخت افزاری جدید تغییر کند ، برای هر حساب برنامه مرحله ثبت نام جدیدی باید ایجاد شود. با این کار جفت کلیدهای جدید ECDSA ایجاد می شود و جفت های اصلی را لغو می کنید.

این محدودیت در عملکرد یک نقطه قوت امنیتی است: ایجاد یک کلون با طراحی امکان پذیر نیست. همچنین مانعی در برابر مهندسی معکوس کانالهای جانبی است. بدون هیچ گونه کنترل بر روی کلید مخفی ، درک جزئیات یک اجرای بسیار ایمن (چه رسد به حمله) به سختی امکان پذیر است. ما باید یک راه حل برای بررسی امنیت اجرا در یک محیط راحت تر پیدا کنیم.

ارزیابی ریسک

اگرچه روشی را برای به خطر انداختن امنیت یک کلید که Google به فروش می رساند ، توصیف می کند ، اما این مطالعه تحت برنامه پاداش اشکال Google ، پاداش هایی را برای هکرهایی که آسیب پذیری های امنیتی محصولات یا خدمات Google را شناسایی کرده و به صورت خصوصی گزارش می کنند ، دریافت نمی کند. از شرکت. سخنگوی گوگل گفت حملاتی که به داشتن فیزیکی نیاز دارند از محدوده مدل اصلی تهدید امنیتی این شرکت خارج است. وی همچنین به سختی و هزینه انجام حمله اشاره کرد.

در حالی که محققان حمله خود را به Google Titan انجام می دهند ، آنها معتقدند که سخت افزارهای دیگری که از تراشه های A700X یا A700X استفاده می کنند نیز ممکن است آسیب پذیر باشند. اگر درست باشد ، این شامل YubiKey NEO Yubico و چند کلید 2FA ساخته شده توسط Feitian است.

اشتون میلر ، سخنگوی Yubico در یک ایمیل گفت که این شرکت با این مطالعه آشنا است و معتقد است که یافته های وی دقیق است. وی نوشت: “اگرچه محققان خاطرنشان می كنند كه این نوع حمله نیاز به دسترسی فیزیكی به دستگاهها ، تجهیزات گران قیمت ، نرم افزار شخصی و مهارتهای فنی دارد ، اما یوبیكو توصیه می كند برای كاهش خطر ، دسترسی YubiKey NEO از دست رفته ، به سرقت رفته یا از دست رفته را لغو كند.”

نمایندگان سازنده تراشه NXP و Feitian بلافاصله برای اظهار نظر در دسترس نبودند.

یک اقدام متقابل که می تواند حمله را تا حدی کاهش دهد این است که ارائه دهندگان خدماتی که مبتنی بر کلید 2FA هستند از ویژگی موجود در استاندارد U2F استفاده می کنند که تعداد تعاملات یک کلید با سرورهای ارائه دهنده را در نظر می گیرد. اگر کلید عددی را گزارش کند که با آنچه در سرور ذخیره شده مطابقت ندارد ، ارائه دهنده دلیل خوبی خواهد داشت که معتقد است کلید یک کلون است. سخنگوی گوگل گفت این شرکت این ویژگی را دارد.

مطالعه – توسط بنیانگذاران Ninjalab ویکتور لومن و توماس روشه در مون پلیه ، فرانسه – چشمگیر است و احتمالاً آسیب پذیری کانالهای جانبی را با گذشت زمان از بین می برد. در همین حال ، اکثر افرادی که از یک کلید آسیب دیده استفاده می کنند ، باید این کار را ادامه دهند یا حداکثر به یک کلید بدون آسیب پذیری شناخته شده روی بیاورند. بدترین نتیجه این مطالعه این است که افراد از استفاده از کلیدهای امنیتی فیزیکی کامل دست بردارند.


منبع: tarjome-news.ir

Leave a reply

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>