کلید ضعیف رمزنگاری گوگل چیست؟
برای اولین بار مسابقه امنیت سایبری در نمایشگاه رسانه های دیجیتال انقلاب اسلامی به صورت روزانه برگزار می شود.
کد خبر :
492818
كمیته اطلاع رسانی سومین نمایشگاه رسانه های دیجیتال انقلاب اسلامی: برای اولین بار مسابقه امنیت سایبری در نمایشگاه رسانه های دیجیتال انقلاب اسلامی به صورت روزانه برگزار می شود. برای اولین بار مسابقه امنیت سایبری در سومین نمایشگاه رسانه های دیجیتال انقلاب اسلامی به صورت روزانه برگزار می شود. اهداف مسابقه امنیت سایبری این مسابقه با هدف آشنایی مخاطبان با حوزه های امنیت سایبری و همچنین شناسایی استعدادهای جدید و به روز در این حوزه به صورت روزانه از جمعه 23 بهمن ماه لغایت 27 بهمن ماه همزمان با برگزاری نمایشگاه رسانه های دیجیتال انقلاب اسلامی برگزار می گردد. شركت كنندگان می توانند از ساعت 9 صبح 25 بهمن ماه به وب سایت ctf.seraj.ir مراجعه كرده و فایل چالش را دریافت كرده و بعد از بدست آوردن جواب سوالات، پاسخ خود را به آدرس ایمیل ctf@seraj.ir ارسال كنند. لازم به ذكر است كه شركت كنندگان به منظور اطلاع از چالش های روزانه و همچنین شرایط شركت در مسابقه به آدرس ctf.seraj.ir مراجعه كنند. همچنین به افرادی كه در مسابقه روزانه امنیت سایبری شركت كنند و جواب صحیح دهند به قید قرعه یك سكه تمام بهار آزادی اهداء خواهد شد. همچنین به
هر كدام از شركت كنندگانی كه حداقل به 3 سوال پاسخ صحیح دهند، یك آی پد نیز اهداء خواهد شد. چالش روز سوم: یك ماجرای واقعی اواخر سال ۲۰۱۲ میلادی، كه گوگل به عنوان یك شركت بسیار بزرگ و فنآورانه در جهان خوش درخشیده بود، اتفاقات عجیبی رقم خورد. یك رایانامهی عجیب؛ كه برای معرفی یك موقعیت شغلی مناسب در گوگل ارسال شده و از آقای Zachary Harris سوال پرسیده بود كه آیا علاقهمند به آن موقعیت شغلی است یا خیر. متن رایانامه به این صورت بود: «شما به وضوح علاقهی شدیدی به سامانه عامل لینوكس و برنامهنویسی دارید، من میخواهم بدانم آیا علاقهمند به بررسی موقعیتهای شغلی گوگل هستید؟» هریس كنجكاو شد، اما شك و تردید هم وجودش را فراگرفته بود. این رایانامه در ماه دسامبر به صورت كاملاً غیرمنتظره به دست وی رسیده بود و به عنوان یك ریاضیدان، او احتمالاً مناسب موقعیتهای شغلیِ گوگل نبود. به همین دلیل او شك كرد كه ممكن است این رایانامه جعلی بوده و تنها یك هرزنامه باشد كه ظاهراً از طرف گوگل ارسال شده است. اما با بررسی سرآیند این رایانامه، هریس متوجه شد كه هیچ اطلاعات اشتباهی در این سرآیند نیست و اطلاعات كاملاً معتبر است. سپس هریس
متوجه یك مشكل عجیب شد؛ گوگل در حال استفاده از یك كلید رمزنگاری بسیار ضعیف بود! او در صدد اثبات این حقیقت برآمد كه رایانامه واقعاً از طرف گوگل آمده ارسال شده یا نه. تقریباً هر كسی كه میتوانست این كلید را بشكند، در واقع میتوانست از آن برای ارسال رایانامههایی استفاده كند كه ظاهراً از طرف گوگل آمده است. حتی این رایانامه میتوانست از طرف مدیران اصلی گوگل سرجی بِرین و لاری پِیچ باشد! این مشكل مربوط به كلید DKIM است كه گوگل برای رایانامههای دامنهی google.com استفاده میكند. كلید DKIM یك كلید رمزنگاری مبتنی بر الگوریتم RSA است كه دامنهها از آن استفاده میكنند تا مشخص نمایند یك رایانامه واقعاً از دامنهی اصلی ارسال شده است یا خیر؛ به این ترتیب نشان میدهند كه اطلاعات سرآیند یك رایانامه كه آدرس یك دامنه را نشان میدهد صحیح میباشد؛ در واقع با این روش دامنهی فرستنده سرآیند رایانامه را با امضای دیجیتال خود ارسال میكند. وقتی رایانامه به مقصد میرسد، كارگزار دریافتكننده میتواند كلید عمومی فرستنده را از كارگزارهای DNS پیدا كرده و امضای فرستنده را بررسی نماید. به دلایل امنیتی، استانداردهای DKIM پیشنهاد میكند
كه از كلیدهایی با دستكم طول ۱۰۲۴ بیت استفاده شود. اما گوگل از یك كلید ۵۱۲ بیتی استفاده میكرده كه با كمك ابزارهای موجود و اندكی توانمندی محاسبه قابل شكستن بوده است. هریس پس از اینكه به مشكل پی برد، نتیجه گرفت كه گوگل تا این حد بیدقت نیست و شاید واقعاً این مسئله از طرف تیم استخدام طرح شده تا بررسی كنند كدام یك از متقاضیان كار به این آسیبپذیری پی میبرند. هریس به كار در گوگل علاقهمند نبود؛ اما تصمیم گرفت تا كلید را بشكند و یك رایانامه به مدیران گوگل یعنی برین و پیچ ارسال كند تا نشان دهد در بازی استخدامیِ آنها شریك است! در نهایت با ارسال یك رایانامه از طرف برین به لاری پیچ، او یك آدرس از وبگاه خودش را ارسال كرد و گفت كه تصور میكند صاحب این آدرس به اندازهی كافی برای كار در گوگل جالب به نظر میرسد و بهتر است وی را استخدام كنیم! هریس مطمئن بود كه اگر پاسخی ارسال شود، وی آن را دریافت میكند؛ اما پاسخی دریافت نشد! ۲ روز بعد متوجه شد كه كلید رمزنگاری گوگل تغییر كرده و ۲۰۴۸ بیتی شده است و البته وبگاه وی از طرف آدرسهای آیپی گوگل بازدیدهای بسیاری داشته است! خب روشن است؛ هریس یك آسیبپذیری واقعی پیدا
كرده بود و این یك بازی نبود! هریس با بررسی وبگاههای دیگر متوجه شد كه این مشكل در بسیاری از وبگاههای مشهور دیگر مانند یاهو، پیپال، آمازون، ایبِی، اپل، لینكداین، توییتر و … نیز وجود دارد. گرچه ساز و كار DKIM و نیز نرمافزار پیادهسازی متنباز آن یعنی OpenDKIM، برای آزمون درستی منبع فرستنده و گیرنده بهكار میروند و نمیتوانند تغییری در محتوای رایانامهها ایجاد كنند، با این وجود، كشف چنین نقص امنیتی آشكار موجب میشد تا از اعتبار گوگل در زمینهی حفظ امنیت محصولات خود بكاهد. چنین اخباری شاید هرگز به گوش كاربرانی كه تنها به در دسترس بودن خدمت مورد نیازشان میاندیشند، نرسد، ولی آنچه مهم است توجه و اهمیت لازم به میزان امنیت محصولاتی كه زندگی خود را به آنها گره زدهایم. این پیكار برای حل نیاز به آشنایی با مبانی رمزنگاری كلید عمومی داشته و برای كسانی كه با مفاهیم رمزنگاری بیگانهاند توصیه نمیشود. در این پیكار با استفاده از یك كلید ضعیف، كه ساختارها و پایههای اساسی مورد نیاز برای عرضه شدن به عنوان یك كلید امن را دارا نیست، جواب چالش یا همان متن پیام، رمزگذاری شده است. چگونگی ارسال پاسخ چالش در پاسخ به
این پیكار تمامی اطلاعات استخراج شده از طریق تحلیل دادههایی مكانی در اختیار را توضیح داده و در نوشتار مربوط به پاسخ بیاورید. پس از حل چالش و دستیابی به پاسخ، تمامی پروندهها را داخل پوشهای به نام ans_chall_2 قرار داده و پس از فشرده كردن آن با قالب زیپ به نشانی رایانامهی مسابقه، ctf@seraj.ir ارسال فرمایید. موضوع این رایانامه باید نام چالش باشد، در پایان نیز نام و شمارهی تماس خود را درج نمایید. زمان ارسال پاسخ مدت زمان ارسال پاسخ برای پیكار سوم، از ساعت ۹ صبح روز یكشنبه ۲۵ بهمنماه تا ۲۱ شب روز دوشنبه ۲۶ بهمنماه است، به پاسخهای ارسالی پس از بازهی بیان شده ترتیب اثر داده نخواهد شد. ممكن است مدت زمان مسابقه تمدید شود، از اینرو این صفحه را مجدد بازبینی نمایید.