Sophos의 수석 연구원인 Paul Ducklin은 삼성 코더가 "심각한 암호학적 죄"를 범했다고 비난했습니다. 그는 목요일 Threatpost에 이메일을 통해 "적절한 암호화 알고리즘(이 경우 AES-GCM)을 부적절하게 사용했다"고 설명했습니다.

“간단히 말해서, AES-GCM은 모든 새로운 암호화 작업에 대해 안전하게 선택된 무작위 데이터의 새로운 버스트를 필요로 합니다. 이는 '있으면 좋은' 기능일 뿐만 아니라 알고리즘 요구 사항입니다. 인터넷 표준 언어에서는 SHOULD가 아니라 MUST입니다”라고 Ducklin은 강조했습니다. “항상 새로운 무작위성(최소한 AES-GCM 암호 모드의 경우 12바이트)은 'nonce'로 알려져 있으며, Number Used Once의 줄임말입니다. 이 용어는 암호화 프로그래머가 *명령*으로 취급해야 하는 전문 용어입니다. , 단순히 명사로서가 아닙니다.”

불행히도 삼성의 보안 암호화 코드는 이러한 요구 사항을 적용하지 않았다고 Ducklin은 설명했습니다. "사실, 보안 암호화 하드웨어 구성 요소 외부에서 실행되는 앱이 내부에서 사용되는 nonce에 영향을 미칠 뿐만 아니라 해당 nonce를 정확하고 고의적으로 악의적으로 선택하여 앱 작성자가 원하는 만큼 자주 반복할 수 있습니다."

이 허점을 이용함으로써 연구원들은 "불가능하거나 가능한 한 불가능에 가까운" 위업을 해낼 수 있었다고 그는 말했습니다. 즉, 팀은 "보안 하드웨어 *내부*에서 암호화 비밀을 추출"할 수 있었습니다.

Ducklin은 연구원들의 다중 개념 증명 보안 우회 공격에서 알 수 있듯이 특수 하드웨어가 시행해야 하는 모든 암호화 보안이 매우 중요하다고 생각했습니다.

Ducklin의 훈계: "간단히 말해서, 적절한 암호화를 올바르게 사용하려면 전체 설명서를 읽으십시오!"

보안 표준 우회를 가능하게 하는 결함

보안 결함으로 인해 사이버 범죄자는 장치에 저장된 암호화 키를 훔칠 수 있을 뿐만 아니라 공격자가 FIDO2와 같은 보안 표준을 우회할 수 있습니다.

레지스터 에 따르면 2021년 5월 연구원들이 삼성에 결함을 공개했을 때 거의 1억 대의 삼성 갤럭시 폰이 위험에 처했습니다. Threatpost는 해당 추정치를 확인하기 위해 Samsung에 연락했습니다.

삼성은 CVE-2021-25444 : TrustZone에서 실행되는 Keymaster Trusted Application(TA)의 IV 재사용 취약점 을 해결하는 영향을 받는 장치에 대한 패치를 발행하여 학계의 공개에 대응했습니다 . Keymaster TA는 암호화 엔진을 포함한 하드웨어를 통해 보안 세계에서 암호화 작업을 수행합니다. Keymaster TA는 AES-GCM을 통해 "래핑된"(암호화된) 키인 Blob을 사용합니다. 사용자 지정 키 Blob의 암호 해독을 허용하는 취약점입니다.

그런 다음 2021년 7월에 연구원들은 다운그레이드 공격을 공개했습니다. 이 공격은 공격자가 권한 있는 프로세스를 사용하여 IV 재사용 취약성을 트리거할 수 있습니다. Samsung은 CVE-2021-25490 을 해결하기 위해 Samsung의 Galaxy S10, S20 및 S21 전화를 포함한 장치에서 레거시 blob 구현을 제거하는 또 다른 패치를 발표했습니다 .

어둠 속에서 디자인할 때의 문제

연구원들은 삼성이 암호화를 구현한 방법에만 문제가 있는 것은 아니라고 말했습니다. Tel Aviv U. 팀은 이러한 문제가 공급업체(삼성 및 Qualcomm)에서 암호화 설계를 조끼에 가깝게 유지하는 데서 발생한다고 주장했습니다.

"삼성 및 퀄컴을 포함한 공급업체는 TZOS 및 TA의 구현 및 설계와 관련하여 비밀을 유지합니다."라고 그들은 논문의 결론에서 썼습니다.

“앞서 살펴본 바와 같이 암호화 시스템을 다룰 때 위험한 함정이 있습니다. 설계 및 구현 세부 사항은 독립적인 연구원에 의해 잘 감사되고 검토되어야 하며 리버스 엔지니어링 독점 시스템의 어려움에 의존해서는 안 됩니다.”

'무명 속에 보안이 없다'

엔터프라이즈 사이버 위험 해결 SaaS 제공업체인 Vulcan Cyber의 수석 기술 엔지니어인 Mike Parkin은 수요일 Threatpost에 올바른 암호화를 얻는 것이 어린아이의 장난이 아니라고 말했습니다. 그는 이메일을 통해 "사소하지 않은 도전"이라고 말했습니다. “본질적으로 복잡하고 적절한 분석을 할 수 있는 사람, 즉 해당 분야의 진정한 전문가는 제한적입니다.

Parkin은 암호학자들이 알고리즘 설계 및 구현 방식에 대한 공개 표준과 투명성을 요구하는 이유를 이해하고 있습니다. 열쇠가 없는 한."

그는 연구원들이 삼성의 구현을 리버스 엔지니어링하고 결함을 식별할 수 있었다는 점에 주목하면서 "숨은 곳에 보안이 없다"는 격언이 여기에 적용된다고 말했습니다. Parkin은 "대학 연구원이 이를 수행할 수 있다면 자금이 넉넉한 주정부, 국가 후원 및 대규모 범죄 조직도 이를 수행할 수 있을 것"이라고 말했습니다.

디지털 IT 및 보안 운영 회사인 Netenrich의 주요 위협 헌터인 John Bambinek은 Parkin과 함께 "개방" 측면에서 합류했습니다. 그는 수요일 이메일을 통해 "독점적이고 폐쇄적인 암호화 설계는 항상 실패 사례 연구였습니다."라고 악명 높은 Pegasus 스파이웨어 와 같은 "휴대폰 침해로 인한 광범위한 인권 침해"를 언급했습니다 .

Bambinek은 "제조업체는 보다 투명하고 독립적인 검토를 허용해야 합니다."라고 말했습니다.

대부분의 사용자는 이러한 (패치 이후) 결함에 대해 걱정할 것이 거의 없지만 "국가 수준의 박해를 받는 개인에 대해 무기화될 수 있으며 아마도 스토커웨어에 의해 이용될 수 있습니다"라고 그는 덧붙였습니다.

엔드포인트-투-클라우드 보안 회사인 Lookout의 보안 인텔리전스 엔지니어인 Eugene Kolodenker는 "시스템의 설계 및 구현이 리버스 엔지니어링된다는 가정 하에" 보안 시스템을 설계하는 것이 모범 사례라는 데 동의했습니다.

공개되거나 심지어 누출될 위험도 마찬가지라고 그는 Threatpost에 이메일을 통해 언급했습니다.

그는 예를 들었습니다. 미국 암호화 표준이며 일급 기밀 정보로 인정되는 AES는 공개 사양입니다. Kolodenker는 "이는 구현이 비밀로 유지되지 않는다는 것을 의미하며 이를 통해 지난 20년 동안 엄격한 연구, 검증 및 검증이 가능했습니다."라고 말했습니다.

그러나 AES에는 많은 어려움이 따르며 "잘못 수행되는 경우가 많다"고 그는 인정했습니다.

AES를 사용하기로 한 삼성의 선택은 좋은 결정이었다고 그는 생각한다. 불행히도 회사는 "올바른 방법을 완전히 이해하지 못했습니다."

Kolodenker는 전체 시스템에 대한 감사가 "이 문제를 방지할 수 있었을 것"이라고 가정했습니다.