Ciência e Tecnologia

Como os oráculos criptográficos são vulneráveis ​​a ataques de preenchimento de oráculos?

Foto de Strong Strongoutubro 6, 2023
0 4 minutos de leitura

.

É possível que um invasor descriptografe e criptografe dados em seu aplicativo sem conhecer as chaves de descriptografia? A resposta é sim, e está dentro de uma falha criptográfica chamada oráculo de criptografia.


Artigos relacionados

Os oráculos de criptografia servem como uma porta de entrada potencial para os invasores coletarem informações sobre dados criptografados, tudo sem acesso direto à chave de criptografia. Então, como os invasores podem explorar oráculos criptográficos por meio de técnicas como ataques de preenchimento de oráculos? Como você pode evitar que tais vulnerabilidades o afetem?


O que é um oráculo criptográfico?

A criptografia é um protocolo de segurança no qual texto ou dados simples são convertidos em um formato codificado ilegível, também conhecido como texto cifrado, para proteger sua confidencialidade e garantir que só possam ser acessados ​​por pessoas autorizadas com a chave de descriptografia. Existem dois tipos de criptografia: assimétrica e simétrica.

A criptografia assimétrica usa um par de chaves distintas (pública e privada) para criptografia e descriptografia, enquanto a criptografia simétrica usa uma única chave compartilhada para criptografia e descriptografia. Você pode criptografar quase tudo, mensagens de texto, e-mails, arquivos, tráfego da web, etc.

Por outro lado, um oráculo é um meio através do qual uma pessoa geralmente obtém informações que normalmente não estariam disponíveis para meros homens. Pense em um oráculo como uma caixa especial quando você passa algo e ele lhe dá um resultado. Você não conhece o conteúdo da caixa, mas sabe que funciona.

Um oráculo criptográfico, também conhecido como oráculo de preenchimento, é um conceito em criptografia que se refere a um sistema ou entidade que pode fornecer informações sobre dados criptografados sem revelar a chave de criptografia. Essencialmente, é uma forma de interagir com um sistema de criptografia para obter conhecimento sobre os dados criptografados sem ter acesso direto à chave de criptografia.

Um oráculo criptográfico é composto de duas partes: a consulta e a resposta. A consulta refere-se à ação de fornecer ao oráculo texto cifrado (dados criptografados), e a resposta é o feedback ou informação fornecida pelo oráculo com base em sua análise do texto cifrado. Isto pode incluir a verificação da sua validade ou a revelação de detalhes sobre o texto simples correspondente, potencialmente ajudando um invasor a decifrar os dados criptografados e vice-versa.

Como funcionam os ataques de preenchimento ao Oracle?

pessoa encapuzada olhando para o código verde na tela do computador

Uma das principais maneiras pelas quais os invasores exploram oráculos criptográficos é por meio de um ataque de oráculo de preenchimento. Um ataque oracle de preenchimento é um ataque criptográfico que explora o comportamento de um sistema ou serviço de criptografia quando revela informações sobre a correção do preenchimento no texto cifrado.

Para que isso aconteça, o invasor precisa descobrir uma falha que revele um oráculo criptográfico, depois enviar-lhe texto cifrado modificado e observar as respostas do oráculo. Ao analisar essas respostas, o invasor pode deduzir informações sobre o texto simples, como seu conteúdo ou comprimento, mesmo sem ter acesso à chave de criptografia. O invasor adivinhará e modificará repetidamente partes do texto cifrado até recuperar todo o texto simples.

Em um cenário real, um invasor pode suspeitar que um aplicativo de banco on-line, que criptografa os dados do usuário, pode ter uma vulnerabilidade de padding oracle. O invasor intercepta a solicitação de transação criptografada de um usuário legítimo, modifica-a e envia-a ao servidor do aplicativo. Se o servidor responder de maneira diferente – por meio de erros ou do tempo que leva para processar a solicitação – ao texto cifrado modificado, isso pode indicar uma vulnerabilidade.

O invasor então explora-o com consultas cuidadosamente elaboradas, eventualmente descriptografando os detalhes da transação do usuário e potencialmente obtendo acesso não autorizado à sua conta.

Um invasor tentando obter acesso a um sistema de computador

Outro exemplo é usar o oráculo de criptografia para ignorar a autenticação. Se um invasor descobrir um oráculo de criptografia nas solicitações de um aplicativo da web que criptografa e descriptografa dados, o invasor poderá usá-lo para obter acesso à conta de um usuário válido. Ele poderia descriptografar o token de sessão da conta, através do oráculo, modificar o texto simples usando o mesmo oráculo e substituir o token de sessão por um token criptografado criado que lhe dará acesso à conta de outro usuário.

Como evitar ataques criptográficos ao Oracle

Os ataques criptográficos de oráculo são resultado de vulnerabilidades no projeto ou implementação de sistemas criptográficos. É importante garantir que você implemente esses sistemas criptográficos de forma segura para evitar ataques. Outras medidas para evitar oráculos de criptografia incluem:

  1. Modos de criptografia autenticados: O uso de protocolos de criptografia autenticados como AES-GCM (Galois/Counter Mode) ou AES-CCM (Counter with CBC-MAC) não apenas fornece confidencialidade, mas também proteção de integridade, tornando difícil para os invasores adulterar ou descriptografar o texto cifrado.
  2. Tratamento de erros consistente: Certifique-se de que o processo de criptografia ou descriptografia sempre retorne a mesma resposta de erro, independentemente de o preenchimento ser válido ou não. Isso elimina diferenças de comportamento que os invasores poderiam explorar.
  3. Teste de segurança: Conduza regularmente avaliações de segurança, incluindo testes de penetração e revisões de código, para identificar e mitigar vulnerabilidades potenciais, incluindo problemas de criptografia oracle.
  4. Limitação de taxa: Implemente limitação de taxa para solicitações de criptografia e descriptografia para detectar e prevenir ataques de força bruta.
  5. Validação de entrada: Valide e higienize completamente as entradas do usuário antes de criptografar ou descriptografar. Certifique-se de que as entradas sigam o formato e comprimento esperados para evitar ataques oracle de preenchimento por meio de entradas manipuladas.
  6. Educação e conscientização sobre segurança: treine desenvolvedores, administradores e usuários sobre práticas recomendadas de criptografia e segurança para promover uma cultura consciente da segurança.
  7. Atualizações regulares: Mantenha todos os componentes de software, incluindo bibliotecas e sistemas criptográficos, atualizados com os patches e atualizações de segurança mais recentes.

Melhore sua postura de segurança

Compreender e proteger contra ataques como oráculos de criptografia é fundamental. Ao implementar práticas seguras, organizações e indivíduos podem reforçar as suas defesas contra estas ameaças insidiosas.

A educação e a consciencialização também desempenham um papel fundamental na promoção de uma cultura de segurança que se estende desde os programadores e administradores até aos utilizadores finais. Nesta batalha contínua para proteger dados confidenciais, permanecer vigilante, informado e um passo à frente de possíveis invasores é a chave para preservar a integridade de seus ativos digitais e dos dados que você considera importantes.

.

Etiquetas
Foto de Strong Strongoutubro 6, 2023
0 4 minutos de leitura
Mostrar mais
Foto de Strong

Strong

Artigos relacionados

Por que as pessoas são o elo mais fraco na cadeia de segurança cibernética

março 2, 2023

Coloquei o Google Gemini no meu iPhone. Eis por que eu nunca vou voltar para Siri

março 4, 2025

Novas dicas de vazamento no Xiaomi Mix Flip em desenvolvimento com Snapdragon 8 Gen 3

junho 12, 2024

Vivendo com o Galaxy Z Fold 6: como é?

agosto 1, 2024

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Botão Voltar ao topo