Una recente ricerca ha rivelato un metodo passivo che permette agli attaccanti di ottenere le chiavi private RSA da server SSH vulnerabili, osservando le connessioni durante la loro fase di stabilimento. Questa scoperta mette in luce potenziali rischi per la sicurezza delle comunicazioni su reti non protette.
Il protocollo Secure Shell (SSH) è ampiamente utilizzato per trasmettere comandi e accedere in modo sicuro a computer su reti non protette. Basato su un’architettura client-server, SSH impiega la crittografia per autenticare e cifrare le connessioni tra dispositivi. Una componente cruciale di questo protocollo è la “chiave host”, una chiave crittografica usata per l’autenticazione dei computer nel protocollo SSH. Queste chiavi sono generalmente generate utilizzando sistemi crittografici a chiave pubblica, come RSA.
Un gruppo di accademici dell’Università della California, San Diego e del Massachusetts Institute of Technology ha scoperto che, se durante la computazione della firma si verifica un errore in un’implementazione di CRT-RSA, un attaccante che osserva questa firma potrebbe essere in grado di calcolare la chiave privata del firmatario. In altre parole, un avversario passivo può monitorare silenziosamente le connessioni legittime come quelle dei Server SSH senza rischiare di essere rilevato, fino a quando non osserva una firma difettosa che espone le chiavi RSA private. L’attore malintenzionato può quindi impersonare l’host compromesso per intercettare dati sensibili e organizzare attacchi di tipo “adversary-in-the-middle” (AitM).
Implicazioni per la Sicurezza
I ricercatori hanno descritto il metodo come un attacco a griglia basato su chiave di recupero per errori, che ha permesso loro di recuperare le chiavi private corrispondenti a 189 chiavi pubbliche RSA uniche, successivamente ricondotte a dispositivi di quattro produttori: Cisco, Hillstone Networks, Mocana e Zyxel.
È importante notare che il rilascio della versione 1.3 di TLS nel 2018 agisce come contromisura, criptando la stretta di mano che stabilisce la connessione e impedendo così agli ascoltatori passivi di accedere alle firme. “Questi attacchi forniscono una concreta illustrazione del valore di diversi principi di progettazione nella crittografia: criptare le strette di mano del protocollo non appena viene negoziata una chiave di sessione per proteggere i metadati, legare l’autenticazione a una sessione e separare le chiavi di autenticazione da quelle di cifratura”, hanno affermato i ricercatori.
