Du hasard et de ses conséquences

Par Sid, lundi 19 mai 2008 à 12:48 :: (In)Sécurité :: lu 4417 fois :: #275 :: rss :: atom
Read it in english with Google

Dés

etour rapide sur cette histoire d'OpenSSL sous Debian. Et sur les conséquences pratiques de cette histoire surtout. Parce que s'escrimer en commentaires pour savoir à qui revient la faute et comment on a pu en arriver là, se dire que ça ne serait pas arrivé sous Gentoo, qu'il vaut mieux rester sous OpenBSD, que si tu compilais à la main, tu ne serais pas dans la merde, et toutes les joyeusetés dans le genre, à part empiler les conneries et faire sourire le trolleur, ça ne fait pas réellement avancer la situation dans la pratique.

Donc, comme on a pu le voir précédemment, grâce aux excellents commentaires de jmdesp et Philippe Teuwen et d'autres billets sur la toile, le problème réside dans une fonction servant à ajouter de l'aléa au pool d'entropie d'OpenSSL. Ce qui se traduit en pratique par le fait que l'entropie du générateur aléatoire d'OpenSSL se résume à un PID du fait du patch malheureux, lequel peut prendre 32768 valeurs. Grosso modo. Du coup, il devient extrêmement prédictible, et avec lui tout ce qui l'utilise.

Et maintenant, quelles sont les conséquences de tout ça dans la vraie vie ?

La conséquence la plus évidente, celle qui est mentionnée partout, est la faiblesse des clés générées sur la période de vulnérabilité. On pense tout de suite aux clés RSA et DSA qu'il faudra renouveler au plus vite. Mais ce que pas mal de gens oublient, c'est que dans le cas de DSA, ça va un tout petit peu plus loin que les clés générées sous Debian pendant ces deux dernière années. En fait, cela s'applique à toutes les clés DSA qui ont été utilisées sur une machine Debian pendant la période de vulnérabilité, lesquelles doivent être changées, et ce quelle que soit leur date de génération et quelle que soit leur origine.

Pourquoi ? Parce que si vous prenez les équations de signature DSA, vous noterez qu'elles font intervenir un nombre k aléatoire qui est utilisé dans le calcul du deuxième composant s de la signature. Or, si k est prédictible, alors la signature pourra être utilisée par un attaquant pour remonter à votre clé privée, notée x. Et paf. Donc si vous avez utilisé des clés DSA sur un système Debian ces deux dernières année, vous devez les changer. Point.

Que pourrait-il se passer sinon ? Pleins de choses en fait. Dans la pratique, tout bi-clé dont la partie publique est publiée doit être considéré comme perdu. C'est le cas de tous les serveurs SSH et de tout service SSL^[1] Pour eux, le risque est la possibilité pour un attaquant de faire du Man in the Middle sur les clients. Le MiM, c'est un peu oldschool, mais bon, ça marche. Dans des environnements comme des hotspots Wi-Fi, ça risquerait d'être la fête. Si le service n'est accessible qu'à des clés ou certificats spécifiques, l'attaquant pourra essayer de brute forcer ces clés client, en partant des paquets qui traînent sur le net. surveillez donc vos logs... Si on vise un client particulier, le mieux sera d'avoir accès à sa clé publique. Si vous avez laissé vos clés publiques un peu partout, paf. Genre si quelqu'un récupère un des fichiers authorized_keys que vous avez peuplé partout où vous avez un compte... Ou si vous vous authentifiez à un serveur sur lequel un MiM est en cours...

Ah oui, et puis ce n'est parce que vous n'êtes pas sous Debian que vous n'êtes pas touché. On ne cessera pas de le répéter, mais le problème est dans les clés, plus dans OpenSSL^[2] ! Et des clés, ça se ballade. Partout. Par exemple, si un de vos utilisateurs s'authentifie sur le SSH de votre box OpenBSD avec sa clé publique générée sous Debian, vous êtes vulnérable. Si vos services sont sous Gentoo, mais que votre PKI tourne sous Debian, vous êtes vulnérable aussi. Etc. Et si vous ne faites pas confiance, il vous suffira d'essayer pour vous en rendre compte. Sur tous les serveurs SSH ou SSL vulnérables que vous allez trouver, une grosse majorité sera certes sous Debian, mais la population de machines tournant sous d'autres distros, voire même d'autres systèmes d'exploitation est loin d'être négligeable. J'ai même trouvé des Windows...

Pour donner un peu de corps à tout ceci, parlons attaque pratique, dans un cas concret. BenjO, sur le blog Plokaned, nous parle des difficultés de renouveler les certificats dans environnement Wi-Fi 802.1x. Ça a l'air bien chiant hein ? Ça l'est, je vous le confirme. Mais vous devez le faire. Et vite. Pourquoi ? C'est ce que je me propose de vous expliquer rapidement. Executive summary : tout simplement parce que la sécurité d'un accès 802.1x repose sur votre capacité à garantir l'authentification mutuelle. Et qu'avec des clés faibles, ça tombe à l'eau.

Commençons par le cas simple d'une authentification 802.1x en PEAP. Le RADIUS présente son certificat, donc sa clé publique. À partir de là, et si le bi-clé a été générée par une Debian pendant la période qui va bien, un attaquant pourra récupérer la clé privée associée. Il se retrouvera donc en position de détourner toutes les authentifications qui vont suivre en se faisant passer pour le serveur RADIUS légitime, et in fine réaliser un MiM. Pour PEAP, ça veut dire voir le contenu du tunnel TLS, donc l'authentification client. Dans la plupart des cas, ce sera un challenge MS-CHAPv2 qu'il pourra brute-forcer, de préférence équipé de ses rainbow tables favorites. Avec un peu de chance, il tombera sur de l'EAP-GTC en deuxième phase, et les éléments d'authentification seront alors directement récupérés et utilisables dans le cadre d'un MiM.

Maintenant, s'il est face à de l'EAP-TLS, l'attaquant mettra en place son MiM comme précédemment pour récupérer le certificat du client, et donc sa clé publique. Dans la mesure où tout ce beau monde a de fortes chances de sortir de la même PKI, le bi-clé associé sera très probablement faible. Rebelotte. Il récupère la clé privée de l'utilisateur. Et paf.

On pourra aussi penser au système S/MIME qui s'appuie sur des certificats également. Là, on parle principalement d'authentification de l'expéditeur et de confidentialité des échanges. L'attaquant n'a plus qu'à consulter l'annuaire pour récupérer les clés publiques de quelques personnes soigneusement choisies. À partir de là, comme précédemment, il récupère la clé privée associée et peut d'une part fabriquer des signatures au nom de n'importe laquelle de ses victimes et d'autre part déchiffrer les messages qui leur sont destinés. Bref, à la clé, si je puis m'exprimer ainsi, c'est usurpation d'identité et perte de confidentialité à gogo. Super...

Enfin, le problème n'est pas limité aux clés, mais à tout ce qui demande de l'aléa à OpenSSL. Truc à la mode par exemple : un gestionnaire de mots de passe. Comme pwsafe par exemple, dont la couche crypto repose sur... OpenSSL bien sûr. Maintenant, qu'est-ce que ça veut dire pour son package Debian ? Une (bonne) idée ? Non ? Allez, je vous aide :

~$ pwsafe --add
[...]
username: test
password [return for random]: 
Generate random password? [y] 
Use z#r6_3u=0rBQ_=6vy-689u=s/XuO3y^SkHBG

Vous voyez mieux maintenant ? Ben oui. Tous les mots de passe générés par pwsafe durant ces deux années de vulnérabilité sont très probablement prédictibles...

Bref, les implications de cette faille sont énormes, et clairement pas limitées aux seules clés générées sous Debian. Vraiment. Nous l'avons vu avec les clés DSA ou encore avec applications comme pwsafe. Tout ce qui utilise le générateur d'aléa d'OpenSSL est touché. Et mettre à jour ses packages n'est malheureusement qu'une infime partie de la solution, même pas la partie émergée de l'iceberg..

Good luck, Jim.

Notes

[1] Avec des clés générées par OpenSSL évidemment.

[2] Puisque le package est corrigé...

Note : 5.0/5 pour 7 votes

Trackbacks

1. Le vendredi 23 mai 2008 à 12:35, de Da gadgeto-libro-geeko-Ulysso weblog, Na!

Bréves #4

Une petite collection de liens intéressants (ou pas)...

2. Le samedi 24 mai 2008 à 14:34, de Bulletin d'actualité du CERTA

Bulletin d'actualité 2008-21

Le CERTA détaillait dans le bulletin d'actualité de la semaine dernière CERTA-2008-ACT-020 qu'un problème d'aléa faible avait été mis en évidence dans les versions Debian d'OpenSSL et OpenSSH. Il existe désormais sur l'Internet des bases...

3. Le samedi 12 juillet 2008 à 10:43, de Quoi de 9 ?

Deux failles valent mieux qu'une

À moins de ne pas lire de news sur Internet, ne pas regarder la TV et ne pas écouter la radio, vous n'avez pas pu passer à côté de la faille du bug de conception de DNS mise au yeux de tous en début de semaine...

4. Le jeudi 11 septembre 2008 à 15:21, de newsoft's fun blog

On a frôlé le Big One(tm)

... la question est: "lequel ?" :) Je ne parle donc pas de la mise en service du LHC, mais bien de la cryptographie dans les versions françaises de Windows, qui par une sorte d'exception culturelle, a toujours été beaucoup plus faible...

Pour faire un trackback sur ce billet (URL valide pendant 5 minutes) : http://sid.rstack.org/blog/tb.php?id=275&chk=k6wtlr

Commentaires

1. Le lundi 19 mai 2008 à 14:26, par Kirikou

Moi je veux vivre à la campagne avec des poules...et un accès ssh pour leur donner à manger. :-)
Merci bcp pour toutes ces explications, effectivement, je voyais bien le gros nuage qui se profilait à l'horizon concernant le renouvellement de toutes les clés utilisant ce generateur faible, mais j'avais pas imaginé que c'était plutot une très grosse tempete....avec une grosse salade composée de Wifi, Radius, gestionnaire de mot de passe....et bien entendu toutes les applis que tout un chacun a programmé; utilisant la couche openssl; dans son coin pour épater la copine ou parce qu'il en avait reellement le besoin (moi c'était le premier cas ;-) ).

Bref, c'est la mémé, la mémérde. :-)

2. Le lundi 19 mai 2008 à 15:32, par jme

Ce n'est pas une tempête, c'est tout simplement la catastrophe de l'année. Combien de société ne pourront pas ou ne voudront pas absorber le coût — potentiellement énorme (pensez à une société avec des token genre votre banque) — de correction de l'ensemble des systèmes de la chaîne de sécurité impactée par cette vulnérabilité ?

Combien d'administrateurs ne seront même pas au courant et croirons être protégés car leur distribution est à jour ?

Combien sont des serveurs dont nous dépendons ?

Et pour les fans de complots : des personnes ou organisations avaient-elles détecté cette vulnérabilité entre 2006 et la semaine dernière ?

Réponse de Sid

Et j'ai oublié de mentionner S/MIME, évidemment. Avec des joyeusetés comme la perte de confidentialité et l'usurpation d'identité à la clé. Si je puis m'exprimer ainsi... Je me demande aussi s'il n'y aurait pas quelques produits de gestion de droits documentaires basés sur OpenSSL...

3. Le lundi 19 mai 2008 à 16:43, par S.

Ce qui est marrant dans toute cette histoire, c'est le nombre de tentatives de connexions SSH qui augmentent sur les serveurs....

Voir surtout si on a un serveur qui fake sa signature , un essai sur 2 serveurs fait ce WE montre que justemment des gens quand meme tres "script kiddies"..... Les serveurs en questions :

- Un apache affichant ubuntu toussa (freebsd en dessous) sur une dédibox - des SMTP qui affichent une banière Debian/GNU qq chose aussi :)

Tres tres drole

4. Le lundi 19 mai 2008 à 17:03, par jme

@S. Effectivement. Personnellement j'apprécie fail2ban qui, même il n'est absolument pas la panacée, reste relativement sympathique et permet de dégrossir le rang des attaquants.

5. Le lundi 19 mai 2008 à 17:39, par Kirkou

Dans tous les cas, la polémique est surement loin d'etre finie..et je suis sur que beaucoup y feront très certainement allusion pour déclencher qques fous rires dans un certain amphi du campus de Beaulieu à Rennes dans quelques jours...mais je ne citerai personne ;-)

6. Le lundi 19 mai 2008 à 18:56, par Yom

Tout ça ne nous dit (toujours) pas ce qu'il faut penser de la sécurité des certificats délivrés par la DGI ces dernières années dans le cadre de la télé-déclaration...

"faire sourire le trolleur" : Pour ça, il y a aussi l'underground, heureusement.

Réponse de Sid

Il "suffit" de les tester avec les outils fournis. Non ?

7. Le lundi 19 mai 2008 à 19:31, par newsoft

De manière générale, la signature numérique ayant valeur légale en France, je me demande si le législateur avait prévu ce cas ... et si oui, comment ?

8. Le lundi 19 mai 2008 à 19:54, par Alex

Ouiap les ramifications sont considérables.

TOR est aussi vulnérabe

Birgre bigre !

Réponse de Sid

Pour TOR, voir les liens suivants :

http://archives.seul.org/or/announce/May-2008/msg00000.html ;

https://blog.torproject.org/blog/debian-openssl-flaw%3A-what....

9. Le mardi 20 mai 2008 à 12:24, par Kevin

Et il est de plus obligatoire de vérifier ses clés, même si nous ne sommes pas sous Debian. Sans tester, personne ne peut savoir si nos clés ne font pas partie de ces clés faibles. Et un script kiddie arrosant large essayera obligatoirement ces clés là, donc il faut obligatoirement vérifier toutes les clés, qu'elles soient sous linux, freeBSD, ou même windows. Et à chaque génération de clés, vérifier si elles ne font pas partie de cet espace de clés faibles. Et ça, ça va vite devenir pesant.

A côté de ce problème, je ne parle même pas des personnes ayant montées une PKI à l'aide de l'openSSL debian, car tout casser pour en reconstruire à côté, c'est difficile. Les PKI, c'est bien, c'est mathématiquement solide, seul le cas de renouvellement de CA est vraiment ardu. Et là, on tombe dedans.

Par contre, je lis des messages surprenants qui disent que toute la crypto est cassée. Exemple, j'ai une PKI non openSSL debian, j'ai correspondu avec une personne ayant une PKI openssl debian, et ils concluent que mes clés sont connues. Cela m'étonne, mes clés privées ne sont jamais sorties de chez moi. Le problème consiste dans le fait que j'ai chiffré des mails à l'aide d'une clé publique dont la clé privée associée est désormais facilement intuitable. Mais ma clé perso reste Ok.

Réponse de Sid

Sur ton cas particulier des communications que tu as eues avec un destinataire dont le bi-clé est faible. Cela ne remet évidemment pas en cause ton bi-clé. Par contre, dans la mesure où le sien est faible, cela va impacter la confidentialité de tous les mails que tu as pu lui envoyer par le passé.

C'est une bonne catastrophe, mais pas l'apocalypse non plus...

10. Le mardi 20 mai 2008 à 14:45, par Yann

Après plus de 3 semaines à voyager dans les provinces non-industrialisées de Chine, le retour est d'autant plus difficile (il l'est déjà assez sans ce genre d'histoire).

Merci beaucoup pour ton excellent résumé de la situation, et les multiples conséquences en découlant !

J'aurais une petite question pour les cryptofiles : tu parles plusieurs fois des conséquences sur les clés DSA, mais pas des clés RSA. Et j'ai souvent entendu qu'il était recommandé d'utiliser des clés RSA. Est-ce vrai ? Je suis, de toute façon, en train de régénérer l'ensemble de mes clés, mais j'aurais aimé en connaître un peu plus.

Et comme tu le dis si bien, c'est pas l'apocalypse....surtout qu'on a vécu de près le récent tremblement de terre, où l'on ne compte plus les dizaines de milliers de mort....après ca, on voit les choses différemment.

Réponse de Sid

Les clés RSA générées via OpenSSL pendant la période de vulnérabilité doivent être renouvelées. C'est tout.
Pour la comparaison RSA vs. DSA, je ne suis pas assez calé pour te répondre. Ce que je sais, c'est que pas mal de gens préfèrent effectivement RSA à DSA. Bon. Soit.

Bah c'est clair que voyager dans certaines contrées, en particulier quand il se passe des choses comme ce tremblement de terre en Chine ou les inondations en Birmanie, ça fait vachement relativiser...

11. Le mercredi 21 mai 2008 à 23:12, par Jipe

Roo, si on peut même plus troller avec Gentoo :-)

12. Le mardi 3 juin 2008 à 23:21, par TLG

En ce qui concerne les performances, DSA est plus rapide pour générer les clés (facteur de 60 vs RSA à la louche) et pour signer (facteur 2 à 4 vs RSA à la louche) alors que RSA est plus rapide pour vérifier (facteur 8 à 15 vs DSA avec la même louche).