@ensis
2017-02-22T14:57:38.000000Z
字数 2489
阅读 2198
基金
整理
Atmel芯片族SecureMemory、CryptoMemory和CryptoRF都是用私有流密码算法来提供CIA,经文章[0]作者分析发现, SecureMemory和CryptoMemory算法中间值与输出的密钥流强相关,对于SecureMemory,在获取到中间状态后使用中间相遇攻击即可恢复出共享密钥,攻击时间复杂度是2^39,在2GHz的笔记本上10分钟可完成攻击,对于CryptoMemory则要复杂一些,在50台2 GHz四核机器上需要2天时间才能完成攻击。
在SP2012的一篇文章[1]中,作者对卫星电话广泛采用的GMR-1和GMR-2标准中的密码系统进行了安全分析。GMR-1和GMR-2标准中使用的均是非公开流密码算法,经过分析发现,GMR-1中的流密码可看作GSM A5/2算法的变种,而GMR-2是不与任何已知流密码算法相似的全新的设计。作者后续对这两种非标准流密码算法进行了安全分析,结果表明GMR-1可被之前提出的对A5/2算法有效的唯密文攻击(根本问题:4 LFSRs are used, but the clocking is only controlled by a single register R4,不是很懂)在2^32的复杂度( average case complexity of 2^32 steps.)下攻击成功,这在一台标准PC上只要不到30分钟的时间。GMR-2也可以通过作者提出的已知明文攻击,在利用50-65字节的明文和中等计算复杂度的条件下,将一次会话的加密密钥恢复出来。
Megamos Crypto应答器广泛用于奥迪,菲亚特,本田,大众
和沃尔沃汽车中,文章[2]作者逆向了其中的密码算法和认证协议,并实现了3种实际的攻击可以恢复应答器96比特长的Secret Key,其中第一种攻击利用加密算法设计和认证协议的弱点(没有随机数生成器,认证协议受重放攻击影响;加密算法的内部状态只有56bit,远小于96bit的安全性,密码算法状态函数可逆,认证协议的最后一步会暴露15比特的明文),能以2^49次加密的复杂度恢复secret key。
Mifare Classic是市场上最广泛使用的非接触式智能卡,15年前,对于Mifare Classic的Card-only攻击都要依赖密码学无关的实现缺陷的存在,而在文章[3]中,作者利用Mifare Classic中流密码算法CRYPTO1的设计缺陷,提出了一个新的2^30计算复杂度的Card-only唯密文攻击,在单核笔记本上5分钟即可恢复secret key,这个攻击也会影响到如SmartMX和mifare
Plus等加固过的Mifare Classic卡片。
安全界顶级学术会议Usenix Security2016中的文章[4]通过分析并利用遥控车门开关系统中密码系统的安全问题,借助一个40美元的无线电设备拦截获取目标车钥匙的解锁信号,并经过代价较低复杂度的计算后,成功获取并克隆了目标车钥匙的全部信息,进而可以任意加解锁目标车辆,全球将近一亿辆的汽车受此问题的影响。
具体来说,遥控车门开关系统中密码系统的安全性有以下两个问题:
第一个问题在于,通过逆向车上的组件程序可以得知,密码系统中的主密钥主要是由两个秘密信息计算出来的,其中一个可以在逆向程序时获取到,另外一个与设备高度相关,且会出现在车钥匙在与车通信时的流量里,因此主密钥可以被恢复。
第二个问题出现在一个叫做Hitag2的用于防重放的rolling code方案中,通过作者提出的一种新的攻击方法,可以在已经获取到8个rolling code的情况下,在一分钟内破解Hitag2。
[0] Garcia, Flavio D., Peter van Rossum, Roel Verdult, and Ronny Wichers Schreur. "Dismantling SecureMemory, CryptoMemory and CryptoRF." In Proceedings of the 17th ACM conference on Computer and communications security, pp. 250-259. ACM, 2010.
[1] Driessen, Benedikt, Ralf Hund, Carsten Willems, Christof Paar, and Thorsten Holz. "Don't trust satellite phones: A security analysis of two satphone standards." In Security and Privacy (SP), 2012 IEEE Symposium on, pp. 128-142. IEEE, 2012.
[2] Verdult, Roel, Flavio D. Garcia, and Baris Ege. "Dismantling Megamos Crypto: Wirelessly Lockpicking a Vehicle Immobilizer." USENIX Security. 2013.
[3] Meijer, Carlo, and Roel Verdult. "Ciphertext-only cryptanalysis on hardened Mifare Classic cards." Proceedings of the 22nd ACM SIGSAC Conference on Computer and Communications Security. ACM, 2015.
[4] Garcia, Flavio D., et al. "Lock It and Still Lose It–On the (In) Security of Automotive Remote Keyless Entry Systems." 25th USENIX Security Symposium (USENIX Security 16). 2016.