日本综合一区二区|亚洲中文天堂综合|日韩欧美自拍一区|男女精品天堂一区|欧美自拍第6页亚洲成人精品一区|亚洲黄色天堂一区二区成人|超碰91偷拍第一页|日韩av夜夜嗨中文字幕|久久蜜综合视频官网|精美人妻一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時(shí)間:8:30-17:00
你可能遇到了下面的問題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案
技術(shù)分析:SecureRandom漏洞詳解(CVE-2013-7372)

0×00 漏洞概述

創(chuàng)新互聯(lián)建站從2013年創(chuàng)立,是專業(yè)互聯(lián)網(wǎng)技術(shù)服務(wù)公司,擁有項(xiàng)目成都網(wǎng)站建設(shè)、成都網(wǎng)站制作網(wǎng)站策劃,項(xiàng)目實(shí)施與項(xiàng)目整合能力。我們以讓每一個(gè)夢(mèng)想脫穎而出為使命,1280元亳州做網(wǎng)站,已為上家服務(wù),為亳州各地企業(yè)和個(gè)人服務(wù),聯(lián)系電話:13518219792

Android 4.4之前版本的Java加密架構(gòu)(JCA)中使用的Apache Harmony 6.0M3及其之前版本的SecureRandom實(shí)現(xiàn)存在安全漏洞,具體位于classlib/modules/security/src/main/java/common/org/apache/harmony/security/provider/crypto/SHA1PRNG_SecureRandomImpl.java文件的engineNextBytes函數(shù)里。當(dāng)用戶沒有提供用于產(chǎn)生隨機(jī)數(shù)的種子時(shí),程序不能正確調(diào)整偏移量,導(dǎo)致偽隨機(jī)數(shù)生成器(PRNG)生成隨機(jī)序列的過程可被預(yù)測(cè)。漏洞文件參見文后鏈接1。

0×01 漏洞影響

2013年8月份的比特幣應(yīng)用被攻擊也與這個(gè)漏洞相關(guān)。比特幣應(yīng)用里使用了ECDSA算法,這個(gè)算法需要一個(gè)隨機(jī)數(shù)來生成簽名,然而生成隨機(jī)數(shù)的算法存在本文提到的安全漏洞。同時(shí)這個(gè)ECDSA算法本身也有漏洞,在這個(gè)事件之前索尼的PlayStation 3 master key事件也是利用的這個(gè)算法漏洞。

本文主要介紹SecureRandom漏洞,關(guān)于ECDSA算法漏洞讀者可以自行閱讀下面的資料:

ECDSA算法的細(xì)節(jié):

http://en.wikipedia.org/wiki/Elliptic_Curve_Digital_Signature_Algorithm#Security

防范措施:

http://tools.ietf.org/html/rfc6979

Google group上關(guān)于PlayStation 3 master key事件如何利用ECDSA算法漏洞獲取私鑰的討論:

https://groups.google.com/forum/?fromgroups=#!topic/sci.crypt/3isJl28Slrw

0×02 SecureRandom技術(shù)實(shí)現(xiàn)

在java里,隨機(jī)數(shù)是通過一個(gè)初始化種子來生成的。兩個(gè)PRNG實(shí)例,如果使用相同的種子來初始化,就會(huì)得到相同的隨機(jī)序列。Java Cryptography Architecture里提供了幾個(gè)加密強(qiáng)度更大的PRNGs,這些PRNGs都是通過SecureRandom接口實(shí)現(xiàn)的。

java.security.SecureRandom這個(gè)類本身并沒有實(shí)現(xiàn)偽隨機(jī)數(shù)生成器,而是使用了其他類里的實(shí)現(xiàn)。因此SecureRandom生成的隨機(jī)數(shù)的隨機(jī)性、安全性和性能取決于算法和熵源的選擇。

控制SecureRandom API的配置文件位于$JAVA_HOME/jre/lib/security/java.security。比如我們可以配置該文件里的securerandom.source屬性來指定SecureRandom中使用的seed的來源。比如使用設(shè)備相關(guān)的源,可以這樣設(shè)置:

securerandom.source=file:/dev/urandom

securerandom.source=file:/dev/random

關(guān)于SecureRandom具體技術(shù)細(xì)節(jié),可參看文后參考鏈接2。

現(xiàn)在重點(diǎn)看下SecureRandomSpi抽象類,文件見鏈接3。該抽象類為SecureRandom類定義了功能接口,里面有三個(gè)抽象方法engineSetSeed,engineGenerateSeed,and engineNextBytes。如果Service Provider希望實(shí)現(xiàn)加密強(qiáng)度較高的偽隨機(jī)數(shù)生成器,就必須實(shí)現(xiàn)這三個(gè)方法。

然而Apache Harmony 6.0M3及其之前版本的SecureRandom實(shí)現(xiàn)中engineNextBytes函數(shù)存在安全漏洞。

0×03 Apache Harmony’s SecureRandom實(shí)現(xiàn)

Apache Harmony 是2005年以Apache License發(fā)布的一個(gè)開源的java核心庫。雖然2011年以后已宣布停產(chǎn),但是這個(gè)項(xiàng)目作為Google Android platform的一部分繼續(xù)被開發(fā)維護(hù)。

Apache Harmony's SecureRandom實(shí)現(xiàn)算法如下:

Android里的PRNG使用SHA-1哈希算法、由操作系統(tǒng)提供的設(shè)備相關(guān)的種子來產(chǎn)生偽隨機(jī)序列。隨機(jī)數(shù)是通過三部分(即seed+counter+ padding)反復(fù)哈希求和計(jì)算產(chǎn)生的。算法如下圖

其中計(jì)數(shù)器counter從0開始,算法每運(yùn)行一次自增一。counter和padding部分都可以稱為buffer。Padding遵守SHA-1的填充格式:最后的8 byte存放要hash的值的長度len,剩下的部分由一個(gè)1,后面跟0的格式進(jìn)行填充。最后返回Hash后的結(jié)果,也就是生成的偽隨機(jī)序列。

0×04 Apache Harmony’s SecureRandom漏洞細(xì)節(jié)

當(dāng)使用無參構(gòu)造函數(shù)創(chuàng)建一個(gè)SecureRandom實(shí)例,并且在隨后也不使用setSeed()進(jìn)行初始化時(shí),插入一個(gè)起始值后,代碼不能正確的調(diào)整偏移量(byte offset,這個(gè)offset是指向state buffer的指針)。這導(dǎo)致本該附加在種子后面的計(jì)數(shù)器(8 byte)和padding(起始4 byte)覆蓋了種子的起始12 byte。熵的剩下8 byte(20 byte的種子中未被覆蓋部分),使得PRNG加密應(yīng)用無效。

在信息論中,熵被用來衡量一個(gè)隨機(jī)變量出現(xiàn)的期望值。熵值越低越容易被預(yù)測(cè)。熵值可以用比特來表示。關(guān)于熵的知識(shí)請(qǐng)參考:http://zh.wikipedia.org/wiki/熵_(信息論)

下面這張圖可以形象的表述這個(gè)過程:

0×05 漏洞修復(fù)

Google已經(jīng)發(fā)布了patch??聪翫iff文件:

https://android.googlesource.com/platform/libcore/+/ab6d7714b47c04cc4bd812b32e6a6370181a06e4%5E%21/#F0

修復(fù)前:

修復(fù)后:

發(fā)現(xiàn)fix文件里在調(diào)用完updateSeed函數(shù)更新之后,重新讀了下seed 的last word。

對(duì)于普通開發(fā)者來講,可以使用下面鏈接中的方式進(jìn)行修復(fù)。

http://android-developers.blogspot.com.au/2013/08/some-securerandom-thoughts.html

0×06 參考鏈接

(1)https://android.googlesource.com/platform/libcore/+/kitkat-release/luni/src/main/java/org/apache/harmony/security/provider/crypto/SHA1PRNG_SecureRandomImpl.java

(2)http://resources.infosecinstitute.com/random-number-generation-java/

(3)http://developer.android.com/reference/java/security/SecureRandomSpi.html

(4)http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-7372

(5)http://android-developers.blogspot.com.au/2013/08/some-securerandom-thoughts.html


網(wǎng)站名稱:技術(shù)分析:SecureRandom漏洞詳解(CVE-2013-7372)
本文地址:http://www.dlmjj.cn/article/cohdegc.html