Challenging RSA cryptosystem implementations

Nemec, Matúš

CS SKLog in Log in (EduId)

Theses 7zeolx

Challenging RSA cryptosystem implementations – RNDr. Matúš Nemec

Zpět na vyhledávání

RNDr. Matúš Nemec

Doctoral thesis

Challenging RSA cryptosystem implementations

Abstract:

Cieľom nášho výskumu bolo študovať bezpečnost kryptosystému RSA nasadeného v reálnom svete. V práci najprv analyzujeme metódy generovania RSA kľúčov v kryptografických knižniciach. Konkrétne demonštrujeme praktické meranie popularity knižníc s využitím nerovnomerných distribúcií RSA kľúčov. Ďalej predstavujeme faktorizačnú metódu, ktorou sme prelomili proprietárny algoritmus generovania kľúčov. V poslednej časti práce študujeme publikované implementačné problémy protokolu TLS, ako napríklad útoky typu "padding oracle" na RSA, v širšom kontexte webového ekosystému. Hlavným záverom nášho predchádzajúceho výskumu v oblasti RSA kľúčov bolo, že v knižniciach cez verejné kľúče dochádza k úniku informácií o konkrétnych algoritmoch generovania kľúčov. Kľúče sú v rozličných knižniciach vygenerované s rôznou pravdepodobnosťou, čo postačuje na to, aby sme pravdepodobnostne určili pôvod kľúča. V tejto práci predstavujeme praktický spôsob merania zastúpenia kryptografických knižníc vo veľkých dátových sadách obsahujúcich milióny RSA kľúčov. Pre vytvorenie odhadu zastúpenia knižníc používame štatistickú inferenciu. Hľadáme podiel, v ktorom distribúcie kľúčov pre jednotlivé knižnice prispievajú ku celkovej distribúcii kľúčov, ktorú pozorujeme vo veľkej dátovej sade získanej z Internetu. Výsledky merania nám navyše umožňujú klasifikovať jednotlivé kľúče podľa pôvodu s vyššou presnosťou. V ďalšej časti práce predstavujeme spôsob faktorizácie kľúčov, ktorým sme prelomili algoritmus generovania RSA kľúčov použitý v proprietárnej kryptografickej knižnici. Táto knižnica bola nasadená v širokej škále produktov. V našom predchádzajúcom výskume sme poukázali na veľmi neobvyklú distribúciu kľúčov pochádzajúcich z tejto knižnice, čo naznačovalo potenciálny problém v implementácii. Algoritmus nebolo možné študovať priamo, pretože výrobca nezverejnil zdrojové kódy ani dokumentáciu. V tejto práci sa preto zemeriavame na štatistické a algebraické vlastnosti vygenerovaných kľúčov, čo nám umožní popísať použitý algoritmus. Ďalej predstavujeme praktický faktorizačný útok, ktorý dokáže vypočítať privátny kľúč zodpovedajúci zraniteľnému verejnému kľúču. Tieto kľúče sme našli v elektronických identifikačných dokumentoch, v TPM čipoch (Trusted Platform Module), v autentizačných tokenoch, a v ďalších doménach, ktoré používajú kryptografické čipy so zraniteľnou knižnicou. Naše zistenia sme zverejnili v koordinácii s výrobcom zasiahnutých zariadení s cieľom minimalizovať výsledné bezpečnostné hrozby. V poslednej časti práce sa zameriavame na problémy v implementáciách TLS protokolu. Jeho neoddeliteľnou súčasťou je napríklad algoritmus výmeny kľúčov prostredníctvom RSA šifrovania. Popisujeme existujúce praktické útoky, ktoré aj napriek použitiu moderných webových prehliadačov môžu ohroziť bezpečnosť internetovej komunikácie chránenej pomocou TLS protokolu. Podmienky na vykonanie útoku prezentujeme vo forme stromu. Koreňom stromu je konkrétna hrozba a v listoch sú jednotlivé testy, ktoré musíme vyhodnotiť pre každý skúmaný server. Naše merania potvrdili, že v prípade populárnych domén sú v súčastnosti najčastejšou hrozbou útoky typu "padding oracle" na RSA. V tejto časti práce ďalej ukazujeme, že z dôvodu vysokej prepojenosti webového ekosystému sa bezpečnostné problémy na jednotlivých serveroch znásobujú. V mnohých prípadoch zraniteľných webových stránok sú problémy spôsobené externými hostiteľmi alebo hostiteľmi príbuzných domén. Naša práca pomáha demonštrovať, ako RSA, zdanlivo jednoduchý a intuitívny kryptosystém, vyžaduje pre bezpečné nasadenie veľké množstvo znalostí. Na rozdiel od kryptosystému RSA …more

Abstract:

, kryptografia na báze eliptických kriviek (ECC) používa ako kľúče náhodné sekvencie a nevyžaduje padding. Používané ECC algoritmy sú odolnejšie voči chybným používateľským konfiguráciám a poskytujú množstvo ďalších výhod. Dospeli sme k záveru, že v praxi by sa mal nasledovať príklad najnovšej verzie protokolu TLS 1.3 a používanie kryptosystému RSA by sa malo nahradiť algoritmami na báze eliptických …more

Abstract:

The aim of our research was to study security properties of real-world deployments of the RSA cryptosystem. First we analyze RSA key generation methods in cryptographic libraries. We show a practical application of biases in RSA keys for measuring popularity of cryptographic libraries and we develop a factorization method that breaks a proprietary key generation algorithm. Later we examine published implementation issues in the TLS protocol, such as RSA padding oracles, in the wider context of the Web ecosystem. The main conclusion of our previous research on RSA keys was that libraries leak information about their key generation algorithms through the public keys. The bias in the key is often sufficient to identify a library that likely generated the key. In this thesis, we further demonstrate a practical method for measuring representation of cryptographic libraries in large datasets of RSA public keys. We use statistical inference to approximate a share of libraries matching an observed distribution of RSA keys in an inspected dataset. Such estimate also allows us to deploy an improved key classification method that uses prior probabilities of libraries to more accurately determine the source of a key. Next we adapt a key factorization attack to keys generated by a widely deployed proprietary cryptographic library. Our previous research hinted at issues in the algorithm by showing an unusual bias in the keys. We reveal the algorithm without the access to the source code by analyzing algebraic properties of the keys. We develop a practical factorization attack that can compute private keys corresponding to the public keys used in electronic identification documents, Trusted Platform Modules, authentication tokens, and other domains that use secure chips with this RSA key generation algorithm. Our findings were disclosed in coordination with the manufacturer of the devices to minimize the resulting security threats. Finally, we focus on implementation issues in the TLS protocol, of which RSA key exchange is an integral part. We survey existing practical attacks that affect current usage of TLS for securing the Web. We specify conditions for the attacks as attack trees. Using measurements on popular domains, we confirm that RSA padding oracles are currently the most common threat. We show how such security issues get amplified by the complexity of the Web ecosystem. In many cases of vulnerable websites, the issues are caused by external or related-domain hosts. Our work helps to demonstrate how RSA, a seemingly simple and intuitive cryptosystem, requires a lot of knowledge to be implemented correctly. Unlike RSA, elliptic curve cryptography (ECC) uses random sequences as keys and does not require padding. It is more resistant to bad user configurations and provides many other benefits. We conclude that practitioners should follow the example of TLS version 1.3 and stop using RSA in favor of ECC. …more

Keywords

Bleichenbacher's oracle Coppersmith's algorithm cryptographic library cryptographic protocol factorization key generation RSA TLS

Language used: English

Date on which the thesis was submitted / produced: 30. 9. 2019

Identifier: https://is.muni.cz/th/wp0p2/

Thesis defence

Date of defence: 12. 3. 2020
Supervisor: prof. RNDr. Václav Matyáš, M.Sc., Prof. Riccardo Focardi
Reader: Dr. Martin Albrecht, Prof. Bart Preneel

Citation record

Cite this text

ISO 690-compliant citation record:

NEMEC, Matúš. \textit{Challenging RSA cryptosystem implementations}. Online. Doctoral theses, Dissertations. Brno: Masaryk University, Faculty of Informatics. 2019. Available from: https://theses.cz/id/7zeolx/.

@PhdThesis{Nemec2019thesis,
AUTHOR = "Nemec, Matúš",
TITLE = "Challenging RSA cryptosystem implementations [online]",
YEAR = "2019 [cit. 2024-07-20]",
TYPE = "Doctoral theses, Dissertations",
SCHOOL = "Masaryk University, Faculty of InformaticsBrno",
NOTE = "SUPERVISOR: prof. RNDr. Václav Matyáš, M.Sc., Prof. Riccardo Focardi",
URL = "https://theses.cz/id/7zeolx/",
}

@PhdThesis{Nemec2019thesis,
AUTHOR = {Nemec, Matúš},
TITLE = {Challenging RSA cryptosystem implementations},
YEAR = {2019},
TYPE = {Doctoral theses, Dissertations},
INSTITUTION = {Masaryk University, Faculty of Informatics},
LOCATION = {Brno},
SUPERVISOR = {prof. RNDr. Václav Matyáš, M.Sc., Prof. Riccardo Focardi},
URL = {https://theses.cz/id/7zeolx/},
URL_DATE = {2024-07-20},
}

{{Citace kvalifikační práce
 | příjmení = Nemec
 | jméno = Matúš
 | instituce = Masaryk University, Faculty of Informatics
 | titul = Challenging RSA cryptosystem implementations
 | url = https://theses.cz/id/7zeolx/
 | typ práce = Doctoral theses, Dissertations
 | vedoucí = prof. RNDr. Václav Matyáš, M.Sc., Prof. Riccardo Focardi
 | rok = 2019
 | počet stran =
 | strany =
 | citace = 2024-07-20
 | poznámka =
 | jazyk = 
}}

Full text of thesis

Contents of on-line thesis archive

Published in Theses:

světu

Other ways of accessing the text

Institution archiving the thesis and making it accessible: Masarykova univerzita, Fakulta informatiky

Reference to the local database directory of the institution

Masaryk University

Faculty of Informatics

Doctoral programme / field:
Informatics (4-years) / Informatics

Theses on a related topic

The properties of RSA key generation process in software libraries
Matúš Nemec
Examining RSA keys in selected real-world systems
Matúš Nemec
The tool for origin library classification based on the biased bits of RSA keys
Peter Sekan
The properties of RSA key generation process in software libraries
Matúš Nemec
Continuous monitoring of cryptographic libraries using biased RSA keys
Peter Sekan
Collaborative RSA keypair generation and use
Lukáš Zaoral
The RSA key generation process via power analysis
David Komárek
Návrh implementace algoritmů RSA a HMAC pomocí whitebox kryptografie
Marián Čečunda

All theses