ChaCha20-Poly1305 — это шифр AEAD, и для каждой операции шифрования требуется уникальный входной параметр nonce. RFC 7539 указывает, что зн…
ChaCha20-Poly1305 — это шифр AEAD, и для каждой операции шифрования требуется уникальный входной параметр nonce. RFC 7539 указывает, что значение nonce (IV) должно составлять 96 бит (12 байт). OpenSSL допускает переменную длину nonce и заполняет nonce спереди 0 байтами, если его длина меньше 12 байт. Однако он также некорректно разрешает установку nonce длиной до 16 байт. В этом случае значимыми являются только последние 12 байт, а все дополнительные начальные байты игнорируются. Требуется, чтобы значения nonce были уникальными при использовании этого шифра. Сообщения, зашифрованные с использованием повторно использованного значения nonce, подвержены серьезным атакам, нарушающим конфиденциальность и целостность. Если приложение изменяет длину nonce по умолчанию, чтобы она была больше 12 байт, а затем вносит изменение в начальные байты nonce, ожидая, что новое значение будет новым уникальным nonce, то такое приложение может непреднамеренно зашифровать сообщения с повторно использованным nonce. Кроме того, игнорируемые байты в длинном nonce не покрываются гарантией целостности этого шифра. Любое приложение, которое полагается на целостность этих игнорируемых начальных байтов длинного nonce, может быть дополнительно затронуто. Любое внутреннее использование этого шифра в OpenSSL, в том числе в SSL/TLS, безопасно, поскольку ни одно такое использование не устанавливает такое длинное значение nonce. Однако пользовательские приложения, которые используют этот шифр напрямую и устанавливают длину nonce, отличную от длины по умолчанию, больше 12 байт, могут быть уязвимы. Эта проблема затрагивает OpenSSL версий 1.1.1 и 1.1.0. Из-за ограниченной области затронутых развертываний это было оценено как низкая серьезность, и поэтому мы не создаем новые выпуски в настоящее время. Исправлено в OpenSSL 1.1.1c (затронуты версии 1.1.1-1.1.1b). Исправлено в OpenSSL 1.1.0k (затронуты версии 1.1.0-1.1.0j).
Одноразовые значения (nonce) должны применяться однократно и только для текущего случая.
https://cwe.mitre.org/data/definitions/323.html →Открыть в коллекции CWE →Продукт использует ненадёжный или опасный криптографический алгоритм либо протокол.
https://cwe.mitre.org/data/definitions/327.html →Открыть в коллекции CWE →Злоумышленник, располагая шифртекстом и используемым алгоритмом шифрования, выполняет исчерпывающий (методом грубой силы) поиск по пространству ключей для определения ключа, дешифрующего шифртекст в открытый текст.
https://capec.mitre.org/data/definitions/20.html →Открыть в коллекции CAPEC →Криптоанализ — это процесс выявления слабостей в криптографических алгоритмах и использования этих слабостей для расшифровки зашифрованного текста без знания секретного ключа (индуктивный вывод). Иногда слабость заключается не в самом криптографическом алгоритме, а в способе его применения, что и делает криптоанализ успешным. Злоумышленник может преследовать и иные цели: полное вскрытие (нахождение секретного ключа), глобальный вывод (нахождение функционально эквивалентного алгоритма шифрования и дешифрования, не требующего знания секретного ключа), информационный вывод (получение определённых сведений об открытых или зашифрованных текстах, которые ранее были неизвестны) и различение алгоритма (злоумышленник способен отличить результат шифрования (зашифрованный текст) от случайной перестановки битов).
https://capec.mitre.org/data/definitions/97.html →Открыть в коллекции CAPEC →Злоумышленник эксплуатирует слабость, возникающую вследствие применения хеш-алгоритма с низкой устойчивостью к коллизиям, для генерации запросов на подпись сертификата (CSR), содержащих блоки коллизий в разделах «подписываемых данных». Злоумышленник отправляет один CSR на подписание доверенному удостоверяющему центру, а затем использует подписанный блок для того, чтобы второй сертификат выглядел подписанным тем же удостоверяющим центром. Вследствие хеш-коллизии оба сертификата, будучи различными, дают одно и то же хеш-значение, и подписанный блок одинаково работает с обоими сертификатами. В итоге второй сертификат X.509 злоумышленника, который удостоверяющий центр никогда не видел, оказывается подписанным и верифицированным этим удостоверяющим центром.
https://capec.mitre.org/data/definitions/459.html →Открыть в коллекции CAPEC →Злоумышленник генерирует сообщение или блок данных, заставляющий получателя считать, что сообщение или блок данных были сформированы и криптографически подписаны авторитетным или надёжным источником, вводя тем самым жертву или операционную систему в заблуждение и побуждая к выполнению вредоносных действий.
https://capec.mitre.org/data/definitions/473.html →Открыть в коллекции CAPEC →Злоумышленник эксплуатирует криптографическую слабость в реализации алгоритма проверки подписи для генерации действительной подписи без знания ключа.
https://capec.mitre.org/data/definitions/475.html →Открыть в коллекции CAPEC →Применение криптоаналитических методов для получения криптографических ключей или иного эффективного взлома шифрования сотовой связи с целью раскрытия содержимого трафика. Некоторые алгоритмы шифрования сотовой связи, такие как A5/1 и A5/2 (предусмотренные для использования в GSM), известны своей уязвимостью к подобным атакам; для их выполнения и расшифровки телефонных переговоров в режиме реального времени доступны коммерческие инструменты. Более новые алгоритмы шифрования, применяемые в UMTS и LTE, являются более стойкими и на данный момент считаются менее уязвимыми к подобным атакам. Следует, однако, учитывать, что злоумышленник, контролирующий поддельную базовую станцию сотовой связи, может принудительно использовать слабое шифрование даже на новых мобильных устройствах.
https://capec.mitre.org/data/definitions/608.html →Открыть в коллекции CAPEC →SIM-карты являются фактически основой доверия для мобильных устройств во всём мире. Они защищают мобильную идентификацию абонентов, связывают устройства с номерами телефонов и всё чаще хранят платёжные реквизиты, например в NFC-телефонах с функцией мобильных кошельков. Данная атака использует обновления по эфиру (OTA), распространяемые через криптографически защищённые SMS-сообщения, для доставки исполняемого кода на SIM-карту. Взломав ключ DES, злоумышленник может отправлять на устройство корректно подписанные двоичные SMS-сообщения, которые воспринимаются как Java-апплеты и выполняются на SIM-карте. Эти апплеты могут отправлять SMS, изменять номера голосовой почты и запрашивать местоположение телефона, а также выполнять множество других предопределённых функций. Этих возможностей вполне достаточно для широкого злоупотребления.
https://capec.mitre.org/data/definitions/614.html →Открыть в коллекции CAPEC →| Продукт | Вендор | Статус |
|---|---|---|
| libcrypto1.1 | Отслеживается | |
| libssl-devel | Отслеживается | |
| libssl-devel-static | Отслеживается | |
| libssl1.1 | Отслеживается | |
| nodejs | Отслеживается | |
| nodejs | Отслеживается | |
| nodejs | Отслеживается | |
| nodejs | Отслеживается | |
| nodejs | Отслеживается | |
| nodejs | Отслеживается | |
| openssl | Отслеживается | |
| openssl | Отслеживается | |
| openssl | Отслеживается | |
| openssl | Отслеживается | |
| openssl | Отслеживается | |
| openssl | Отслеживается | |
| openssl | Отслеживается | |
| openssl | Отслеживается | |
| openssl | Отслеживается | |
| openssl | Отслеживается |