你所知道的PHP中的公鑰加密是錯誤的
概述
去年,我們的安全團隊確認了 CVE-2015-7503漏洞,又名ZF2015-10,這是一個在使用RSA過程中,出現的功能上的漏洞,存在于Zend框架的密碼庫中。
這個實際漏洞(采用PKCS1v1.5 填充方法的RSA密碼“填充預言”漏洞)最初是由Daniel Bleichenbacher在1998年發布出來的。“填充預言”漏洞允許攻擊者用一個加密的消息,并多次發送修改過的密文到服務器(每一次得到一個填充錯誤的標識),根據返回的錯誤標識,有可能恢復出原始信息。
人們可能希望,任何允許攻擊者還原出原始信息的漏洞(“填充預言”已經被發現了超過十六年),開發者都應該有所了解,并減小漏洞利用的可能性。
很遺憾,當我們審察PHP軟件時(包括開源的和專用的),我們發現,即使在2016年編寫的應用層加密協議中,仍然存在這種漏洞,可以通過這種方法去攻擊。
我們相信造成這種結果的因素主要有兩個方面:
1.大多數開發人員對如何在所有語言中安全的實現公鑰加密了解不夠。
2.PHP的OpenSSL 擴展在默認配置下是不安全的,但是在實際操作中,沒有人會去修改默認配置。
快速解決方案:使用安全的PHP公鑰加密庫
如果你對這么多的“為什么不安全”不感興趣,你可以直接看這個:“為你的PHP項目選擇一個正確的加密庫”。
RSA是如何變壞的
當涉及到應用層加密,使用RSA簡直是一個錯誤。這并不意味著你的應該程序是完全失敗的。無論如何,你必須避免很多RSA的實施缺陷(有些是明示的,有些不明顯)。讓我們看一看一些PHP開發人員可能會遇到的情況。
1.默認安全配置會讓每個人都上當
在PHP中,大多數的RSA在實施過程中都會用到下面的兩個函數:
來看一個這兩個函數的原型,有一個默認配置:
OPENSSL_PKCS1_PADDING 常量告訴OpenSSL 擴展:”我們想用PKCS1填充方法“。但是我們之前已經說過了,采用PKCS1v1.5 填充方法的RSA密碼,存在填充預言的弱點,這一點從1998年就已經被公開了。由于攻擊者為了恢復明文,可能需要一百萬個消息的攻擊成本,因此這種攻擊更多的被普遍稱為 "百萬消息攻擊"。
解決方案是無論你什么時候使用這兩個函數,都需要使用OPENSSL_PKCS1_OAEP_PADDING常量。這個常量會強制用OAEP填充方法代替不安全的PKCS1 V1.5填充方法。
在我們的體會中,實際上沒有人這么做(除非在我們團隊中有某個人幫它指了出來):
Sikker (PHP security library) didn't
Pikirasa (PHP cryptography library) didn't
Minds (social network allegedly backed by "Anonymous") didn't
甚至是有經驗加密開發人員,在使用RSA加密時,常常都會忘記使用OAEP。
因此,如果你需要強制使用公鑰算法(不論作為一個開發者,還是一個滲透測試者),并且當你們提到RSA算法,還談論著”2048bit密鑰夠不夠?或者需不需要用4096bit?“時,請先檢查你使用的填充方法吧。你很有可能只需要幾千條信息就能恢復出明文,從而完全將應用程序的安全性作廢。
2.直接使用RSA加密的危險性
如果你已經閱讀了前面的內容,并且已經思考過,”那好,如果我僅僅記著使用OAEP,我就可以不受阻礙,直接使用RSA加密任何信息嗎?”,沒有這么快,你最好不要用RSA加密長信息。
當面對加密長信息時,大多數開發者很聰明:他們會將信息分割成214-byte的信息塊(對于2048bit的密鑰),并且對每塊分別進行加密,可以簡單的將RSA的這種模式稱為ECB模式。
如果你這樣做,攻擊者可能不會去恢復出你的明文,但是正如之前所說過的,RSA很慢,罪犯可能會充分利用這個特點,去發動DDOS攻擊,從而很容易的擴大DDOS的影響,并且對RSA發動DDOS攻擊,不需要用明顯的攻擊方法,你可能只需要用復制、重新排序或刪除214字節塊的方法,而不是創建一個解密錯誤。
使用混合密碼體制
最好的實現公鑰密碼的方法是建立一個混合的加密體制。結合對稱密碼和非對稱密碼。這樣做有如下幾個好處:
效率高:對稱密碼加密速度比非對稱密碼快很多
適用性:對信息長度沒有實際限制
安全性:請看來面
1.混合RSA+AES
結合RSA和AES通常很有必要:
(1)用對稱密鑰,使用對稱密碼加密消息。
(2)使用公鑰密碼加密(1)中的對稱密鑰,從而讓只有私鑰的一方才可以解密出對稱密鑰,并使用它。
Zend\Crypt在3.1.0版本以后,就已經支付混合RSA-AES的加密體制了,并采用了EasyRSA庫。在Zend框架說明文檔中,對它采用的混合加密方案的工作原理理解的很好。
由于現有的AES密鑰大小一定,你需要加密的數據只有16、24、或者32byte,這遠小于2048bit RSA最大允許的214bytes。實際的數據加密采用的是CBC模式的AES,或者是CTR模式的AES。對于大多數應用程序,這種加密對消息長度沒有實踐的上限。
2.混合ECDH+Xsalsa20-Poly1305
Libsodium 加密庫使用基于橢圓曲線的DH密鑰交換算法,代替RSA,用于協商共享密鑰,該共享密鑰被xsalsa20-poly1305用于消息加密和密文鑒定中。
相關功能為crypto_box()。
當你想用接收者的公鑰加密數據時(即發送者無法解密),Libsodium 的另一功能是對于每條消息,產生一個隨機的公私密鑰對,并將公鑰附在密文后面,名為 crypto_box_seal()。
針對RSA的模數攻擊是一個長期的威脅
RSA的安全性基于大數分解的困難性,然而,在不久的將來,這一安全保證會面對兩個主要威脅:
1.改進的攻擊算法有可能比“通用數域篩法”更快的從公鑰中恢復出私鑰。對橢圓曲線密碼體制沒有效果。
2.量子計算機,這貨太強大,連橢圓曲線密碼體制都能破。
目前認為,一個老練的攻擊者,有可能在短短幾個月的時間里破解出1024位RSA,但是2048bit RSA仍然是安全的,然而,如果有一種方法能突破2048位RSA,那么這種方法對4096位RSA可能也有效。
如果你打算在2016年將加密技術應用到一個新的應用程序中,有可能突破RSA的那些迫在眉睫眉睫的威脅(真正的問題是,這種突破方法對ECDH或ECDSA是不是適用)絕對應該被考慮。實際上,在未來,你最好考慮不要用RSA、DSA、或者傳統的Diffie-Hellman算法。
總結
如果你需要在你的PHP應用中添加公鑰加密算法:
1.不要用RSA。我們甚至沒有講到數字簽名,它同樣也面臨著很多尚未解決的復雜問題(細微的偽造攻擊,假冒安全證明等等)。
2.你果你必須用RSA,不要直接用RSA。最好使用混合的加密體制,結合RSA和下面的一個:
AES-256-GCM
AES-256-CTR + HMAC-SHA256 (in an Encrypt then MAC construction)
3.確保你用了OAEP,而不是PKCS1 V1.5填充。否則,這肯定是一個漏洞。
