7-ZIP od 13 lat używa przestarzałej metody szyfrowania

4 lutego, 2019

Jeśli ktoś niepowołany uzyska dostęp do zaszyfrowanych archiwów, prawdopodobnie będzie mógł dowiedzieć się, co znajduje się w środku. Nie jest to aż tak poważna podatność, która umożliwiałaby odszyfrowanie archiwum albo odzyskanie hasła bądź klucza, ale w pewnych okolicznościach atakujący będzie mógł podejrzeć tekst znajdujący się w archiwum w postaci niezaszyfrowanej i to bez względu na długość czy też entropię użytego hasła — w pewnych okolicznościach 7-ZIP stosuje konfigurację szyfru, która może ułatwić odzyskanie pierwszych 16 bajtów danych zaszyfrowanego archiwum.

Teoretycznie im dłuższe i trudniejsze hasło zawierające znaki z tablicy ASCII i znaki specjalne, tym trudnej je złamać metodą słownikową. Oczywiście może się zdarzyć i tak, że hasła w ogóle nie da się zcrackować. W programie 7-ZIP w pewnych okolicznościach wcale nie trzeba uciekać się do metody siłowej, która może być nieskuteczna przy wysokiej entropii hasła, aby dowiedzieć się, co znajduje się w zaszyfrowanym archiwum. Michał Stanek udowodnił to, analizując szyfrowanie programu 7-ZIP, a także jego odpowiednika niewymagającego instalacji (portable) oraz wersji p7zip dla Linux/Unix, który jest forkiem 7-Zip. Istnieją również inne forki i zdaniem Michała — wszystkie cierpią na ten sam problem. Znaleziona przez eksperta podatność ma około 13 lat.

Tak komentuje Michał Stanek, developer kernela FreeBSD:

Jest to podatność w generatorze liczb losowych użytym w 7-Zip, a dokładniej w tworzeniu seeda do RNG (generatora liczb losowych, dod. red). Wynik RNG jest używany przy „generacji IV” (wektora inicjalizacyjnego, dod. red) do AES-CBC. Wektor inicjalizacyjny (IV) powinien być kryptograficznie losowy żeby gwarantował bezpieczeństwo AES-CBC. Dokładniej chodzi o to, że jeśli IV zostanie użyty dwa razy z tym samym kluczem i tym samym tekstem czystym to wynik szyfrowania będzie identyczny, czyli efekt będzie taki, jakby dla pierwszego bloku używać trybu AES-ECB, który jest niebezpieczny — na podstawie obserwacji tekstu zaszyfrowanego można dowiedzieć się czegoś (czasem dużo) o tekście niezaszyfrowanym.

Ta podatność nie pozwoli na odszyfrowanie archiwum albo odzyskanie hasła/klucza, ale w przypadku zduplikowania się seeda (co jest bardziej prawdopodobne niż sądził autor [7-ZIPa, dod. redakcja], z racji użycia wartości o niskiej entropii do jego stworzenia) spowoduje zduplikowanie IV, co z kolei będzie miało wpływ na to, że dwa teksty zaszyfrowane będą miały ten sam pierwszy blok. A więc będzie można potencjalnie wywnioskować jaki jest tekst czysty w pierwszych 16 bajtach zaszyfrowanego archiwum. Bez względu na użyte hasło.

O wadach ECB więcej tutaj:

W jakich okolicznościach możliwe jest sprawdzenie pierwszych 16 bajtów w bloku danych?

Autor wspomina, że sprawdzał wyłącznie archiwum z rozszerzeniem .7z. Nie są zatem znane podatności na pozostałe formaty obsługiwane przez program, w tym popularne rozszerzenie .ZIP. Najbardziej podatne są systemy inne niż Windows, na których tworzenie seeda (ziarno, początkowa wartość inicjowana przez generator liczb pseudolosowych) jest o rzędy wielkości słabsze. Również starsze systemy Windows są mniej użyteczne przy tworzeniu zaszyfrowanego archiwum, ponieważ mogą mieć mniej dokładny zegar czasu rzeczywistego użyty do tworzenia seeda. Powtórzenie seeda jest mało prawdopodobne, ale ekspert wskazuje na pewną sytuację: np. przy równoległej operacji kompresji/szyfrowania 7-ZIPem kilku archiwów. Z tym że nawet przy powtórzeniu seeda, informacje, które może pozyskać atakujący, nie są wielkie, więc nie ma możliwości odszyfrowania całego archiwum.

W innych wariantach użycia AES-CBC losowość IV jest jeszcze bardziej istotna, ponieważ przewidywalność IV może oznaczać podatność na ataki typu BEAST — jeśli atakujący ma możliwość podrzucać ofierze czysty tekst do zaszyfrowania i obserwować powstały tekst zaszyfrowany. Wtedy można odszyfrować wszystko. Natomiast w przypadku 7-ZIP ciężko sobie wyobrazić taki wariant (encryption oracle).

— dodaje ekspert, Michał Stanek.

Czy 7-ZIP jest bezpieczny?

Michał Stanek wyjaśnił, że użyty RNG jest rażącą niedbałością autorów 7-ZIP i pochodzi z archaicznego kodu, przez co nie zmienił się przez kilkanaście lat. Jakość tego kryptograficznego kodu pozostawia wiele do życzenia, sugerując na obecność wielu innych podatności w programie 7-ZIP:

Inny użytkownik Twitter po moim poście zanalizował funkcję tworzenia klucza z hasła i okazało się, że użyta jest przestarzała funkcja z bardzo archaicznymi ustawieniami. To oznacza, że odporność 7-ZIPa na ataki jest niska w przypadku słabych haseł. Dzisiaj do 'key derivation’ powinno się używać algorytmów bcrypt/scrypt/Argon, które znacznie spowalniają i utrudniają ataki brute-force + rainbow tables.

— komentuje Michał Stanek.

Program 7-ZIP ma publicznie otwarty kod. Zwolennicy open-source mogliby powiedzieć, że skoro kod jest dostępny, to każdy może go przeanalizować i poinformować społeczność o lukach. Co Michał Stanek sądzi o open-source?

Zajmuję się otwartym kodem na co dzień. Jestem developerem kernela FreeBSD i jestem jego zwolennikiem. Natomiast jak widać w powyższym przypadku, a także ostatnich bugów typu Heartbleed, sama otwartość kodu nie gwarantuje bezpieczeństwa w żadnym stopniu. Czasem może być wręcz odwrotnie. Zamknięty kod może być dużo lepiej zabezpieczony, jeśli duża korporacja zapłaciła dziesiątki-setki-miliony dolarów by zatrudnić zespół wykwalifikowanych specjalistów do jego stworzenia.

Oprogramowanie 7-Zip już wcześniej miało kiepską renomę w kwestii bezpieczeństwa. Badacz powiedział nam, że „autor 7-ZIPa wydaje się oporny i na początku nie akceptował argumentów odnośnie do słabości RNG”. Okazuje się, że p7zip, który jest portem 7-Zipa na wspomniane systemy, został porzucony przez opiekuna kodu kilka lat temu, więc nie jest aktualizowany. W związku z tym może zawierać luki pozwalające na zdalne wykonanie kodu.

Badania przeprowadzone przez eksperta z Polski nie wskazują jednoznacznie, aby zaprzestać używania 7-ZIP. Analiza sugeruje, że w pewnych okolicznościach zespół profesjonalistów może sprawdzić, co znajduje się w zaszyfrowanym archiwum. Nie jest wykluczone, że 7-ZIP posiada więcej nieudokumentowanych podatności i to znacznie poważniejszych odkrycie Michała.

Problem z szyfrowaniem w 7-ZIP został zgłoszony na forum społeczności. Dyskusje na Sourceforge oraz na Twitterze toczą się dalej. Nie wiadomo czy i kiedy (i czy poprawnie) błąd w oprogramowaniu zostanie naprawiony.

Czy ten artykuł był pomocny?

Oceniono: 2 razy

Picture of Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.
Picture of Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.

PODZIEL SIĘ:

guest
4 komentarzy
najstarszy
najnowszy oceniany
Inline Feedbacks
View all comments

Zapisz się na newsletter

Informacje o cyberbezpieczeństwie prosto na skrzynkę pocztową!

Dodatkowo otrzymasz poradnik „Jak bezpiecznie funkcjonować w cyfrowym świecie”

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]