Читаем Журнал "Компьютерра" №714 полностью

Как уже сообщалось в "КТ" #712, Бенни Пинкас, Цви Гуттерман и Лео Доррендорф (Benny Pinkas, Zvi Gutterman, Leo Dorrendorf), криптографы из университетов Хайфы и Иерусалима, вскрыли схему работы генератора псевдослучайных чисел, используемого Microsoft во всех криптоприложениях Windows 2000. Исследователи проанализировали стойкость подсистемы защиты и выявили в ней серьезнейшую уязвимость. В частности, они обнаружили, что из-за слабой схемы генератора злоумышленники могут всего лишь по одному внутреннему состоянию алгоритма предсказывать большое количество криптоключей, вырабатываемых в ОС. Причем не только ключей для будущих потребностей, но и уже сгенерированных.

Что такое "уязвимость"

Windows 2000 по сию пору используется многими компаниями и организациями, оставаясь, согласно общим оценкам, второй по популярности операционной системой Microsoft после XP. Но когда разнеслась весть о слабостях в PRNG (pseudo-random number generator), встал вопрос об уязвимости крипто в более новых системах, XP и Vista, - можно ли и их атаковать аналогичным образом?

Поначалу реакция Microsoft была довольно уклончивой и сводилась к заверениям, что последние версии Windows "содержат разнообразные изменения и доработки в схеме генератора случайных чисел", но затем Редмонд все же признал, что Windows XP тоже уязвима для атаки, описанной в работе Пинкаса, Гуттермана и Доррендорфа. Что же касается систем Windows Vista, Windows Server 2003 SP2 и планируемой к выпуску Windows Server 2008, то там, по словам Microsoft, схема генерации псевдослучайных чисел работает иначе и обладает иммунитетом к подобному методу взлома.

Попутно была сделана попытка интерпретировать работу израильтян не как выявление серьезной и реальной угрозы для безопасности XP (не говоря уж о Win2000), а как сугубо "теоретическую атаку". Ибо, по официальному мнению Microsoft, выявленный баг не отвечает определению "уязвимость", поскольку для эксплуатации слабостей в PRNG злоумышленник должен обладать правами администратора. Или, дословно, "поскольку администраторы по определению имеют доступ ко всем файлам и ресурсам системы, это [восстановление внутреннего состояния PRNG и вычисление ключей] не является недопустимым раскрытием информации". То, что множество известных червей и троянцев умеет повышать свои привилегии до уровня администратора, Microsoft, очевидно, сочла не относящимся к делу, но дабы публика не слишком волновалась, пообещала залатать-таки дыру в PRNG - где-нибудь в первой половине следующего года, вместе с выходом третьего сервис-пака, Windows XP SP3.

Иначе говоря, слабость, обнаруженную израильтянами в генераторе случайных чисел Windows, Microsoft хочет представить как нечто мелкое, не заслуживающее внимания. Что ж, желание понятное. Да вот беда, базовые принципы, на основе которых должен работать криптографически качественный PRNG, прекрасно известны, так что разработчику проще выбрать известный хороший криптоалгоритм, нежели разрабатывать собственный плохой. Тем не менее в программных продуктах Microsoft криптография всегда оказывается существенно слабее, чем могла бы быть. Понять, почему это так, нетрудно, если обратиться к истории вопроса.

WEP, или Слабый эквивалент приватности

Стандарт криптозащиты WEP для беспроводных сетей WiFi порой неверно расшифровывают как Wireless Encryption Protocol, или протокол беспроводного шифрования. На самом деле аббревиатура означает Wired Equivalent Privacy (приватность, эквивалентная проводным сетям). Уже само имя дает основание предполагать, что защита, обеспечиваемая таким шифрованием, вряд ли обладает высокой стойкостью к атакам.

На первый взгляд, впрочем, все выглядело весьма пристойно. Хорошо исследованный и вполне качественный шифр RC4, своевременно увеличенная с 64 до 128 бит длина ключа - все эти базовые характеристики позволяли сделать достаточно надежную схему защиты. Однако в конкретной реализации RC4 для WEP, особенно в алгоритме разворачивания ключа, аналитики вскоре нашли серьезные слабости, ощутимо понижающие стойкость системы.