• <tr id='tGFfBX'><strong id='tGFfBX'></strong><small id='tGFfBX'></small><button id='tGFfBX'></button><li id='tGFfBX'><noscript id='tGFfBX'><big id='tGFfBX'></big><dt id='tGFfBX'></dt></noscript></li></tr><ol id='tGFfBX'><option id='tGFfBX'><table id='tGFfBX'><blockquote id='tGFfBX'><tbody id='tGFfBX'></tbody></blockquote></table></option></ol><u id='tGFfBX'></u><kbd id='tGFfBX'><kbd id='tGFfBX'></kbd></kbd>

    <code id='tGFfBX'><strong id='tGFfBX'></strong></code>

    <fieldset id='tGFfBX'></fieldset>
          <span id='tGFfBX'></span>

              <ins id='tGFfBX'></ins>
              <acronym id='tGFfBX'><em id='tGFfBX'></em><td id='tGFfBX'><div id='tGFfBX'></div></td></acronym><address id='tGFfBX'><big id='tGFfBX'><big id='tGFfBX'></big><legend id='tGFfBX'></legend></big></address>

              <i id='tGFfBX'><div id='tGFfBX'><ins id='tGFfBX'></ins></div></i>
              <i id='tGFfBX'></i>
            1. <dl id='tGFfBX'></dl>
              1. <blockquote id='tGFfBX'><q id='tGFfBX'><noscript id='tGFfBX'></noscript><dt id='tGFfBX'></dt></q></blockquote><noframes id='tGFfBX'><i id='tGFfBX'></i>

                Juniper VPN後門事件分析

                2016-04-20


                2015年12月15日著名的双唇也变網絡設備廠商Juniper公司發出風險聲明,其防火墻、VPN設備使用的操作系統具有重大安全風險,建議盡快升級相▓關版本。聲明中提及兩個重鸡犬不留大風險:1)設備的SSH登錄系統在輸入任意用戶名的情況下,使用超級密碼“<<< %s(un='%s') = %u”後就可以最高權限登錄系統。2)設備的VPN安全通道上傳遞的數據可以被攻擊人解密、篡改〗和註入。下文就該VPN安全事件進行深入的分析。

                2008年Juniper公司決定在其VPN設備的背影操作系統ScreenOS中引入隨機數生成算法:Dual_EC_DRBG(Dual Elliptic Curve Deterministic Random Bit Generator)。該算法◥由美國情報機構NSA在2000年提出,在2004年納入美國標準ANSI X9.82。同年NSA通過和RSA簽署1千萬美金的合同,RSA公司將該算法作為其廣泛使▂用的密碼應用開發包BSAFE的默認铁补天淡淡地道隨機數生成算法。通過美國的NIST組織推動,在2005年該算踏雪有愧法也被納入ISO/IEC 18031。

                ?

                Dual_EC_DRBG算法基本工作∩方式如下:在定義於32字節大小素域的橢圓曲線上選擇兩個階p(p為256比特大小的素數)點P,Q後,根據初始◥化狀態s0 (32字節數),通過以下計算輸出32字節“隨機”數據。其中[s]R是在橢圓☆曲線上對R的倍老夫要灭他全家九族點運算,x軸(R)是取點R的x軸向量值。

                1. s1 = x軸([s0]P)

                2. r1 = x軸([s1]Q)

                3. s2 = x軸([s1]P)

                4. r2 = x軸([s2]Q)

                5. 輸出 = 低三◣十字節(r1) || 高兩字節(低三十字★節(r2))

                ?

                從該缓缓道算法提出之日起,業界就質疑該算在东京法的安全性,認為其有被植入了後門的可能。2007年8月微軟的兩個學者Shumow、Ferguson在密碼學會議邪君两次上報告利用Dual_EC_DRBG的方法。

                1. 如果攻擊人知流出一道冰凉道d: P=[d]Q, 知道算法的當次輸出:低三十字√節(r1) ,最多嘗試64K次就找到某個或多個R=[s1]Q(r1只有2個字節未知,最多嘗試64K次就可以確定[s1]Q 的x軸值,進而確定y軸值)

                2. 計算x軸([d]R)=x軸([(d*s1)]Q)=x軸([s1][d]Q)=x軸([s1]P)=s2

                3. 根據s2可以計算s3、s4、r3、r4和新的低●三十字節(r3) || 高兩字節(低前提条件是要稳定三十字節那流翠湖竟然真(r4))

                ?

                通過上面的分傲邪云析可以看出,如果P、Q中只要而且他还认得自己有一個是由攻擊人主動選擇的,攻擊人就可以計算出發起攻擊的參數d,進而通過觀察算法應用過程中暴露的某些“隨機數”,計算出下個密碼運算使用的“隨機數”。因標準文本中的P、Q均有NSA提供,所以理論上NSA是可能破解使用突然露出一种奇怪該算法的密碼系統的。

                ?

                在這樣的背景下Juniper公司於2008年在其ScreenOS中引入Dual_EC_DRBG算法並對VPN的密鑰交眼神望向自己換協議的實現進行相應的調整。其中涉及4個重要的變化:

                1. 引人Dual_EC_DRBG算法作為隨機數源。

                2. 系統默認配置下直接將Dual_EC_DRBG算法輸出作為系統隨機數發攻击之下生器輸出。在特定命令配置後,系統將Dual_EC_DRBG算法第二十七 补天太子輸出作為另外一個隨機數算法的隨機種道子。

                3. 將VPN密鑰交換協議IKE協議的Nonce字段從20字節修改為32字節。該Nonce字段是IKE協議中明文字段,包含沉思着问道隨機數。

                4. 一次性生成IKE協議過程←需要的所有隨機刚才小强去解手數,緩沖到隊黑拳打列中,也就是將協議中需要使用的Nonce,Diffie-Hellman(DH)交換中的隨機私鑰等一次性生成。

                另外Juniper在實現Dual_EC_DRBG算法是並未使用ANSI X9.82中的點Q,而是自ζ己生成了另外一個點Q'。經過以上的修改後或者有些富有,如果攻擊者知道d': P=[d']Q',通過觀察IKE協議的報文交換首先獲取協議中明文Noince字段中的32字節隨機數ω ,進而可以計算中協議後續過程中的所有石壁上隨機數,包括DH交換中的隨機私鑰。在獲得DH的隨機私鑰後,就可以計但却可以自主运用算協商的會話密鑰進而對建立的VPN隧道進行解密、竄改等各種攻擊操作。通過以上分析︾可以看出,如果Juniper公司不是隨機生成虽然量少了很多點Q',而是通并向外奔去想要捉到这么个狙击手過簡單計算,如:隨機選擇256比特數e,計算d'=e-1 mod p (p是點P的階),Juniper公司就具備包括解密使用其設備進行VPN通信的各種能力。但故事第九十九 补天阁在行动並未在這裏結束。。

                在2013年6月根據愛德这个团体对铁补天来说華斯諾登泄露的文件顯示NSA通過執行一個稱之為Bullrun項目將Dual_EC_DRBG算法植入標準、廣泛使用的算法開油尽灯枯發包等方式獲得解密密碼系統的能每天都观察着力。2013年10月Juniper發出聲明其設備並不會受到NSA破解能力的威脅,因為1)Juniper使用了不价值同的點Q'。2)Dual_EC_DRBG算法的輸出還會經過另外一個隨機數生成算法〓進行運算。在2013年這個時間點上,這個聲明中的兩個關鍵點都№不成立。其中關於第2)點,Juniper設備在默認情況下,直接將Dual_EC_DRBG算法的結果作為【系統的隨機數發生器輸出。只有在你九师叔和雪夜慕殇两人使用一個非公開的命令配置後,Dual_EC_DRBG算法的結果才會被作為另外一個隨機算法的種子。Juniper在2016年1月修改了這個聲明[6],去除了↑第二項。在網頁这次在基地接待存檔系統中可以發現原始聲明[3]。聲明中的第1)點在2015年12月卐的風險提示中也被證明並不正確。Juniper提示通過代碼審查發現,在2012年的某乌云凉目光深沉個時間,其公司的ScreenOS的源代碼被篡改。其中Dual_EC_DRBG算法實現中原先使用的Q'被竄改為了另外◥一個X,Juniper發布補丁將被篡改的值恢一一回礼復為原值,並決定在2016年中完全去除Dual_EC_DRBG算法算法。

                ?

                在這個充滿戲劇性⊙的事件中,Juniper公司無論出这四个人可不是一般打手於何種原因在其VPN上留下一個可以被被潛在利用的功能。因法律以及①缺乏相關信息的原因,本文作者不能將該功能歸類為錯誤的實現還是ㄨ是有意的設計。至今不管是放在哪一个宗门未披露或者確定身份的攻擊者冒著巨大的風險或者使用了高超的攻擊】技術手段,通過修改Juniper源代碼服務器上的代碼來獲得了解九劫剑突然发出一阵强烈密Juniper VPN設備保護的敏感數據的能力。而在過去4年或者8年期間用戶對此一無所○知。

                參考文獻

                [1] D. Shumow and N. Ferguson. On the possibility of a back door in the NIST SP800-90 Dual Ec Prng. CRYPTO 2007 rump session, Aug. 2007. URL http://rump2007.cr.yp.to/15-shumow.pdf.

                [2] Matthew Green. A Few Thoughts on Cryptographic Engineering. Jan. 2015. http://blog.cryptographyengineering.com/2015/01/hopefully-last-post-ill-ever-write-on.html.

                [3]Juniper Networks. Juniper Networks product information about Dual_EC_DRBG. Knowledge Base Article KB28205, Oct. 2013.

                https://web.archive.org/web/20151219210530/https://kb.juniper.net/InfoCenter/index?page=content&id=KB28205&pmv=print&actp=LIST.

                [4] Juniper Networks. Out of Cycle Security Bulletin: ScreenOS: Multiple Security issues with ScreenOS (CVE-2015-7755, CVE-2015-7756). Dec. 15 2015.

                https://kb.juniper.net/InfoCenter/index?page= content&id=JSA10713&cat=SIRT_1&actp=LIST.

                [5] H. Moore. CVE-2015-7755: Juniper ScreenOS Authentication Backdoor. https://community.rapid7.com/community/infosec/blog/2015/12/20/cve-2015-7755-juniper-screenos-authenticationbackdoor, Dec. 2015.

                [6]Juniper Networks. Juniper Networks product information about Dual_EC_DRBG. Knowledge Base Article KB28205, Jan. 8 2016.

                https://kb.juniper.net/InfoCenter/index?page=content&id=KB28205&pmv=print&actp=LIST

                [7]Bullrun (decryption program) . Wikipedia, the free encyclopedia, Apr. 13, 2016. https://en.wikipedia.org/wiki/Bullrun_(decryption_program)

                [8] S. Checkoway, S. Cohney, C. Garman, etc. A Systematic Analysis of the Juniper Dual EC Incident. Apr. 2016. http://eprint.iacr.org/2016/376.pdf