主页 / 安全论文每日读 / A Systematic Analysis of the Juniper Dual EC Incident
  • 作者
    GoSSIP @ LoCCS.Shanghai Jiao Tong University
  • 简介

    A Systematic Analysis of the Juniper Dual EC Incident。作者分析了Juniper公司的VPN路由器系统ScreenOS,研究了其随机数生成和IKE协议中的问题及带来的危害,可无须任何流量直接解密一次IKE握手和VPN流量。

    2015年12月Juniper公司表示自己的VPN路由器系统ScreenOS被植入未经授权的代码,作者分析了该系统的随机数生成和IKE协议中的问题和带来的危害,可无须任何流量直接解密一次IKE握手和VPN流量

    Background

    Juniper使用的随机数生成器是Dual EC PRNG。Dual EC使用椭圆曲线上的两个点P、Q来生成随机数,在2007 Crypto,Shumow 和Ferguson指出 得到 logPQ = e 可以恢复出生成器的内部状态,从而预测之后的输出。因此2013年NIST不建议使用Dual EC,Juniper表示Dual EC仍在使用,但是Q点与NIST标准不同,是由Juniper选择的点,而且Dual EC的结果不直接输出,再经过X9.31 PRNG后输出。

    • CVE-2015-77554 (“Administrative Access”):ssh 后门密码 <<< %s(un=‘%s’) = %u
    • CVE-2015-77565 (“VPN Decryption”):There is no way to detect that this vulnerability was exploited.

    对vulnerable和patch后的binary比较分析,发现攻击者修改了原始版本中的Q,patch 把Q改回原始的值。但是根据Juniper之前的申明,即使可以修改Q也无法解密,输出还要经过X9.31 PRNG。这就产生了对Juniper之前声明的准确性的疑问:

    • 为什么Q点的改变会导致VPN被解密的漏洞?
    • 为什么X9.31没能保护Q点被改变带来的问题?
    • ScreenOS中PRNG代码的历史是什么?
    • Juniper的Q点是如何产生的?
    • Juniper产生的Q点能否被攻击?
  • 援引
    http://www.securitygossip.com/blog/2016/04/26/2016-04-26/
  • 提示
    本站仅做资料的整理和索引,转载引用请注明出处
附件下载
  • A.Systematic.Analysis.of.the.Juniper.Dual.EC.Incident.阅读笔记.pdf
    时间: 大小: 0.36 M 下载: 35
  • A.Systematic.Analysis.of.the.Juniper.Dual.EC.Incident.pdf
    时间: 大小: 0.35 M 下载: 13