Опубликован (https://bits-please.blogspot.ru/2016/06/extracting-qualcomms... метод извлечения ключей устройства на смартфонах с чипами Qualcomm, позволяющий свести операцию взлома механизма шифрования разделов (Full Disk Encryption) в Android к выполнению операции перебора пользовательского пароля на внешней системе.Для защищённой обработки ключей шифрования в процессорах Qualcomm применяется технология TrustZone (https://en.wikipedia.org/wiki/ARM_architecture#TrustZone) с аппаратно изолированным окружением QSEE (Qualcomm Secure Execution Environment), в котором на отдельном процессоре могут выполняться специальные защищённые обработчики (Trustlets), включая обработчик ключей шифрования - KeyMaster. Несколько месяцев назад в реализации TrustZone было найдено несколько уязвимостей (http://bits-please.blogspot.co.il/2016/05/qsee-privilege-esc... позволяющих выполнить свой код в окружении TrustZone.
Дальнейшее изучение работы TrustZone показало, что работа с ключами организована небезопасно и вместо полной аппаратной изоляции доступа к ключам, обработчик KeyMaster извлекает ключи из SHK и использует их внутри TrustZone. Воспользовавшись ранее выявленными уязвимостями (CVE-2015-6639, CVE-2016-2431) исследователю удалось извлечь (https://github.com/laginimaineb/ExtractKeyMaster) ключи устройства, находящиеся в окружении TrustZone, что существенно упростило проведение атаки по раскрытию информации в зашифрованных разделах.
Ключ устройства используется для привязки операций шифрования к конкретному устройству, не давая организовать расшифровку скопированного раздела на внешних системах и принуждая к использованию собственных обработчиков, применяюзщих ограничения на обработку пароля пользователя (число попыток, задержки между попытками). Неизвестным компонентом остаётся пароль, заданный пользователем для доступа к шифрованному разделу. При наличии ключей устройства для расшифровки становится применим (https://github.com/laginimaineb/android_fde_bruteforce) автоматизированный метод подбора пароля пользователя, выполняемый вне смартфона. От атаки может защитить использование надёжного пароля, но на смартфонах применение таких паролей затруднительно, так как мало кто решается вводить длинный и состоящий из разных типов символов пароль при каждой разблокировке экрана.Интересно, что простое устранение уязвимости не решает проблемы, так как атакующий может скопировать образ зашифрованных данных с со flash-накопителя, после чего установить на смартфон старую уязвимую версию прошивки и извлечь из TrustZone ключ устройства. После этого атакующий может на внешней системе провести ничем не ограниченную brute-force атаку по подбору пароля. Ключ устройства остаётся неизменен, хранится в закрытом от изменений SHK и не зависит от смены прошивки. Подобный метод также может быть применим спецслужбами, которые могут потребовать у Qualcomm сформировать подписанный код для TrustZone, копирующий ключ на внешний носитель.
URL: https://bits-please.blogspot.ru/2016/06/extracting-qualcomms...
Новость: http://www.opennet.me/opennews/art.shtml?num=44718
Соль из Crypto Footer вытрясите, и всё
Кто сказал iOS?
Их ломают не менее успешно.
Пруфы?
Последняя шумная история с айфоном террориста, где долго просили Апл дать возможность расшифровать данные. После чего деньги были заплачены одной полухакерской конторе которая успешно предоставила все зашифрованные данные
тут два момента, во-первых нет доказательств того что устройство было взломано на самом деле, во-вторых tpm-модуль начали ставить с iphone 5s, в сабжевом устройстве его еще не было.
параноикам не нужны доказательства!
> параноикам не нужны доказательства!Параноики по определению не верят мутной проприетарной дряни навроде проприетарной прошивки модуля TPM.
И, конечно же, мы поверим на честное слово какому-то мутному проприетарному TPM модулю. И тому что в него не вставили бэкдор, ой, простите, инженерный логин, это сейчас так называется.
man bruteforce. для пароля из четырёх цифр тривиальная задача.
Март этого года:- Яббл отказался предоставить ФБР инструменты для взлома прошивки.
- ФРБ помыкалось пару месяцев, после чего послало Яббл наxeр, заявив что справились сами.
Дак это брачные игры и пиар для общественности. Или кто-то сомневается?
> ФРБ помыкалось пару месяцев, после чего послало Яббл наxeр, заявив что справились сами.а интересно, вот если бы Apple бы согласилась бы помоч ФБР...
...то после этого они ведь наверное так и заявили бы -- "мы помогли ФБР и наши отношения теперь как ни когда крепкие!" ... да?
и ведь не стала бы Apple+ФБР придумывать какую-то там левую фирму.. да?
Блажен кто верует! :(
5 лет назад, когда производитель Blackberry имел 70*10^9 наличкой в банке, их прогнула вонючая Индия - как миленькие ключи отдали.
А тут ФБР ... просто вам скормили пьесу пиф-паф, яббло мол хорошее, продолжайте покупать :)
> Яббл отказался предоставить ФБРНе может организация или физлицо "отказать" силовой структуре страны.
Может и делает. И физлицо (что существенно труднее), и частная корпорация (что существенно проще). Вопрос только в том есть ли у тебя смелость идти до конца и деньги на адвокатов. Из громких — Lavabit и, ныне покойный, Аарон, например. Трусы, конечно, сливаются по первому свистку хозяина и потом долго еще виляют хвостом, как бы чего не вышло.
У бизнесмена в таком случае - оку***ый выбор!
Либо "идти до конца" и остаться ни с чем (где там твоя лава и аарон?)
Либо произнести сакральное "nothing personal - just a business" и торговать потрохами.На моей личной планете Земля, первый вариант я никогда не видел. Напомню - мы о коммерсах.
Не коммерческий TrueCrypt предпочёл сдохнуть, но остаться целкой.
Коммерсу если заплатят - значит по любви. Жёстко - но правда.
> ... и, ныне покойный, Аарон, ...Это победа? 8-(
> Может и делает. И физлицо (что существенно труднее), и частная корпорация ...
> Трусы, конечно, сливаются по первому свистку ...Содействуя преступнику, ты становишься соучастником.
А с Вашим подходом - тюрьмы полны победителей
у тебя лишнее слово "не"
Ты
Столлман пророк всего этого. Представьте, что доступно спецслужбам, какие бэкдоры: прямо в железе.
С каждым годом всё меньше и меньше над Столлманом смеются.
те кто смеялся, так и смеются. им скрывать "нечего". обычно это либо тролли, либо простые идиоты
Если хочешь защиты своих данных помини длинный пароль... А привязка к железу, скорее очередной фэйл при проектировании, а не уязвимость.
> Если хочешь защиты своих данных помини длинный пароль... А привязка к железу,
> скорее очередной фэйл при проектировании, а не уязвимость.к железу привязывается лишь KDF-функция.
то есть функция которая превращает "простую человеческую парольную фразу" в пригодный к применению (сложный, длинный) бинарный ключ.
KDF-функция, которая НЕ присязана к железу, например PBKDF2 -- это конечно хорошо. но такая функция сразу же УЖЕ (без всякого взлома) не защищает от брутфорса.
привязка KDF-функции к железу, даже при условии что это железо есть маленький (но есть) шанс взломать, всё равно даёт более высокий уровень безопасности, чем когда этой привязки *сразу* нет
> привязка KDF-функции к железу, даже при условии что это железо есть маленький
> (но есть) шанс взломать, всё равно даёт более высокий уровень безопасности,
> чем когда этой привязки *сразу* нет"Предустановленный в железе и как следует к нему привареный наш супер мастер-ключ даёт вам гораздо более высокий уровень безопасности. Мы гарантируем."
? :-)
> PBKDF2 -- это конечно хорошо. но такая функция сразу же УЖЕ (без всякого взлома) не защищает от брутфорса.Ага. PBKDF2. Не защищает от брутфорса. Закроем глаза на то, что брутфорс -- штука вообще говоря почти бесполезная в случае любого нетривиального пароля. Но PBKDF2 как раз и разрабатывался для того, чтобы максимально замедлить скорость перебора.
Вот прикиньте: 26 букв латинского алфавита, с заглавным - уже 52, 10 цифр, 28 спецсимволов... Итого 90 букв в алфавите пароля.
Пароль из всего восьми символов даёт вам 10^15 вариантов. Даже если вы построили кластер, который перебирает до миллиона таких паролей в секунду, у вас уйдёт более тридцати лет, чтобы перебрать их все. Такое тяжело сделать для PBKDF2, самые лучшие железки специально для этого спроектированные, могут перебирать до тысячи в секунду.
И это только для случая, когда вам известно, что длина пароля строго 8 символов. Если там 7 или 9 - смело прибавляйте ещё и брутфорс этих вариантов.
Про привязку KDF-функции к железу спорить не стану. Это штука по-моему в принципе бесполезная. В принципе, если она идёт по умолчанию, то ей можно воспользоваться, но только *в дополнение* к нормальным методам защиты.Иными словами: если хотите, можете аппаратно зашифровать винчестер, но LUKS всё равно ставить надо.
У кого вы видели на телефоне пароли с полностью задействованным алфавитом ? Его приходится весьма часто вводить, причем с наэкранной клавиатуры, что само по себе уже неудобно. В 99.9% случаев это простенький цифровой пароль из 4-5 символов.
> Пароль из всего восьми символов даёт вам 10^15 вариантов.Это в теории. А на практике - не так уж много людей использует пароли вида 3Jk0aSVb, потому что их не очень просто запомнить. И прогон по вордлисту, датам рождения и прочих именах собак снимает половину паролей. А если знать что там именно 8 букв, вариантов еще убавляется. Не надо пробовать слова из 9 букв. И из 7 тоже. И слов на 8 букв не так уж много.
> Вот прикиньте: 26 букв латинского алфавита, с заглавным - уже 52, 10
> цифр, 28 спецсимволов... Итого 90 букв в алфавите пароля.
> Пароль из всего восьми символов даёт вам 10^15 вариантов. Даже если вы
> построили кластер, который перебирает до миллиона таких паролей в секунду, у
> вас уйдёт более тридцати лет, чтобы перебрать их все.Только вы не поняли. Эти "безопасники" специально заботливо заготовили всё так, чтобы иметь дело с простым "входным паролем". Коротким и легко запоминающимся человеком. Зачем там и заготовлена вся эта муть со сложными мастер-ключами...
Только в итоге шило таки как-то вылазит - вся сложность взлома сводится к взлому этого самого "простого пароля" (со всей дурью мощи имеющихся у кого-то средств). А может и к нему даже не сводится, а проще...
> В 99.9% случаев это простенький цифровой пароль из 4-5 символов.
> не так уж много людей использует пароли вида 3Jk0aSVb, потому что их не очень просто запомнить.
> Эти "безопасники" специально заботливо заготовили всё так, чтобы иметь дело с простым "входным паролем".Отвечу всем троим разом.
Всех взламывать брутфорсом - это идея, конечно, любопытная, но едва ли осуществимая, и уж точно вряд ли нужная. 99.9% людей спецслужбам не нужны и не поднадобятся почти наверняка. А нужны им как раз те 0.1% народа, которые что-то замысляют, и которые, не будь дураки, ставят себе хорошие длинные пароли.
>
> и не поднадобятся почти наверняка. А нужны им как раз те
> 0.1% народа, которые что-то замысляют, и которые, не будь дураки, ставят
> себе хорошие длинные пароли.Те, кто понимают что к чему, гоняют с Nokia 3310. А то и вообще без телефона.
Постом выше, вы развели пространные размышления о бесполезности брута. Теперь, когда выясняется, что это срабатывает в 99.9% случаев, вы делаете лицо кирпичем. Если вы думаете, что наркодиллеры и террористы все сплошь криптопанки, то, уверяю вас, это не так. Люди беспечны, знали бы вы на какой мякине прокалываются даже бывалые преступники.
> Постом выше, вы развели пространные размышления о бесполезности брута. Теперь, когда выясняется, что это срабатывает в 99.9% случаев, вы делаете лицо кирпичем.Фигасе "выясняется". Брутфорс и перебор по словарю, о котором граждане выше размышляли, доказывая свою позицию - несколько разные вещи.
> Если вы думаете, что наркодиллеры и террористы все сплошь криптопанки, то, уверяю
> вас, это не так.Не надо быть криптопанком, чтобы сообразить, что длинный пароль из случайных символов обезопасит вас сильнее, чем дата рождения или любимый цвет.
> Люди беспечны, знали бы вы на какой мякине прокалываются даже бывалые преступники.
Это не означает, что для поимки преступников необходимо жертвовать возможностью пользователей сохранить свою приватность, если они того захотят.
> вместо полной аппаратной изоляции доступа к ключам, обработчик KeyMaster извлекает ключи из SHK и использует их внутри TrustZoneнет ни какой разницы -- "полностью аппаратно" или же "алгоритм работает внутри TrustZone".
TrustZone критикуется потому что там нашлись дыры.
но ведь и "полностью аппаратно" тоже может иметь дыры, не говоря уже о том что размыта граница того что такое на сегодняшний день может называться "аппаратно".
Полностью аппаратно обычно подразумевает лишь то что работу сделает какая-то еще более глубоко зарытая еще более проприетарная прошивка, и не более того.
>в котором на отдельном процессореНеверно. TrustZone не подразумевает отдельный процессор.
> Неверно. TrustZone не подразумевает отдельный процессор.Квалком однако ж сплошной зонд. Где отдельный процессор сотового модема заодно модет и загрузить проц с гуем на линуксе. Если захочет. О том что этот отдельный процессор с огромной проприетарной прошивкой имеет доступ ко всему - понятно и ежу.
>> Неверно. TrustZone не подразумевает отдельный процессор.
> Квалком однако ж сплошной зонд. Где отдельный процессор сотового модема заодно модет
> и загрузить проц с гуем на линуксе. Если захочет. О том
> что этот отдельный процессор с огромной проприетарной прошивкой имеет доступ ко
> всему - понятно и ежу.ага, у них прямо в чипе - линух свой микроядерный елозит ) так что с бэдорами - проблем нету у АНБ ни к сотовым сетям(не только к абоненских устрйоств чипам), ни к роутерам, ни к бытовухе прочей )
Через специально подготовленный DRM медиафайл, как всегда.100% DRM блоатвера — на сегодня суперуспешно взломано.
В основном, до рута.
Да чёрт с ним, с этими зашифрованными селфиками губищщ и задниц! ПОЛЬЗУ какую-то можно из этого извлечь? Например, дешифровать раздел, вырезать с него дрова и запилить собственную прошивку?
> Подобный метод также может быть применим спецслужбами, которые могут потребовать у
> Qualcomm сформировать подписанный код для TrustZone, копирующий ключ на внешний носитель.А Qualcomm откажется предоставить код. Ага. И всё это будет расписано и распиарено по телевизорам. Прямо будут герои по защите приватности от ФБР. Apple и Qualcomm :-)
Между тем как. Фактически всё что они делают - это попросту суют свой мастер-ключ в устройства. Ещё раз: специально суют известный им мастер-ключ на котором вся (якобы) "приватность" фактически и держится. И всячески с пеной у рта и совмстно с ФБР рекламируют якобы защищённость этих своих заведомо прошитых известными им ключами так сказать устройств.
Собственно злоумышленники отнюдь не будут даже требовать подписанные для TrustZone приложения. Они сразу берут мастер-ключ. Заботливо вшитый лоху во всученное ему поделие... Для "безопасности". (С Траст Зонами и прочим, к чему лох, которому поделие всучивается, не должен иметь доступа...)