Устройство и криптоанализ UUID-генератора в ОС Windows

Рис.2 Отсутствие синхронизации в теле rc4_safe_select приводит к непредсказуемому результату.

Последствия очевидны:

• Оба потока будут работать с одним и тем же экземпляром RC4. Причём поток, достигший rc4_safe последним, будет ожидать «фаворита гонки» на критической секции.
• Использование экземпляров становится непоследовательным. На это в частности указывает разница в значениях аккумуляторов, достигающая порой 10% (при последовательном циклическом обращении к экземплярам а-ля «round-robin» такого наблюдаться попросту не может).
• Если величина аккумулятора (Accumulator) превысит 500 000, соответствующий экземпляр RC4 будет инициализирован дважды — сначала первым потоком, а затем вторым, — что, несомненно, окажет влияние на производительность.

Описанная ошибка не настолько критична, чтобы удобрять лысину пеплом или  окапываться в ближайшей пещере в ожидании апокалипсиса. Однако избавиться от неё вовсе не будет лишним, тем более что это можно сделать лёгким росчерком пера:

или то же самое, но для ценителей искусства:

Подробнее с функциями взаимоблокировки вы можете ознакомиться в MSDN[9].

С шашкой наголо

Детерминизм, присущий программной (а в некоторых случаях и аппаратной) реализации любого алгоритма, является настоящей ахиллесовой пятой криптографических систем. И как не прискорбно, именно ошибки реализации дискредитируют защищённую среду куда чаще, нежели уязвимости, обнаруженные в математических моделях. Дело осложняется ещё и тем, что разработчики порой сознательно отказываются использовать стойкие механизмы защиты, объясняя это, например, невозможностью обеспечить максимальное быстродействие в сочетании с приемлемым уровнем безопасности. Причём пунктом об ущемлённой производительности «договор с совестью», как правило, не ограничивается. С не меньшим успехом в ход идут и другие, мешающие танцору, «весомые аргументы». Вспомним хотя бы нашу с Яном Либерманом удалённую атаку на MS SQL Server [10], провести которую нам бы не удалось, не будь безопасность в протоколе TDS принесена в жертву «фиче» обратной совместимости с менее защищенными клиентами. Так что следы компромиссов можно обнаружить практически в любом прикладном решении и результаты исследования UuidCreate лишний раз это подтверждают.

Надёжный в криптографическом смысле генератор псевдослучайных чисел не только должен выдавать последовательность, на первый взгляд кажущуюся случайной, но и обладать двумя важными свойствами — Backward и Forward Security.

Backward security — не позволяет злоумышленнику по текущему состоянию генератора предсказывать состояния, в которых тот будет находиться в будущем. Чтобы уменьшить пагубное влияние детерминизма и хоть как-то выдержать это требование, в алгоритме обычно предусматривают регулярное обновление состояния (rekey) истинно случайной последовательностью бит. И чем чаще оно выполняется, тем более стойким оказывается генератор. Источниками энтропии могут служить показания счётчиков производительности, измерения тепловых датчиков, значения регистров процессора в определённый момент времени и другие величины, остающиеся для злоумышленника тайной за семью печатями (любознательных отсылаю к книге Майкла Ховарда и Дэвида Лебланка «Защищённый код» [11], где авторы, не пожалев бумаги, через запятую перечислили более сотни источников для CryptGenRandom).

Сейчас мы уже знаем, из какого теста сделан Uuid-генератор и с уверенностью можем сказать — испытания на backward security он не выдерживает. Полное обновление состояния у него возникает спустя 4·10⁶ байт выхода (8 экземпляров RC4 * 500 000 байт), поэтому злоумышленник, сумевший заполучить «слепок» всех регистров и S-блоков UuidCreate в определённый момент времени, способен предугадать до 250 000 будущих Uuid-значений. Более того, источником энтропии генератора выступает ГПСЧ Windows в лице SystemFunction036, что, с учётом предсказуемости последнего [8], увеличивает длину скомпрометированного потока данных до запредельных 256·10⁶ байт!

Действительно, CryptGenRandom, как и UuidCreate, состоит из 8 экземпляров RC4. Каждый из них проходит процедуру повторной инициализации, когда счётчик байт выхода начинает превышать 16 Кб. Это почти в 30 раз меньше, чем у Uuid-генератора, но недостаточно, чтобы считать его надёжным. Экземпляры RC4 в CryptGenRandom используются равномерно, следовательно, полное обновление состояния ГПСЧ выполняется только после 128 Кб выхода (8 экземпляров RC4 * 16 Kб).

На одну повторную инициализацию экземпляра в Uuid-генераторе функция rc4_safe_key потребляет 256 байт выхода ГПСЧ Windows, тогда как на полное обновление затрачивается 2 Кб (8 экземпляров * 256 байт ключа). Путём нехитрых арифметических операций легко подсчитать, сколько Uuid-значений сможет предсказать злоумышленник, если ему удастся заполучить текущее состояние  CryptGenRandom:

4·10⁶  * (128 Кб / 2 Кб)  = 256·10⁶ байт;

256·10⁶ байт / 16 байт в одном Uuid-значении = 16·10⁶ Uuid-значений

Рис.3 Иерархия источников энтропии

Вы спросите, зачем потребовалось вместо источников энтропии ОС использовать суррогат, получаемый из ГПСЧ Windows? Начну издалека. Во-первых, никто в здравом уме на стойкость UuidCreate больших надежд не возлагал (а те, кто возлагал, просто обязаны дочитать эту статью до конца). Сами демиурги вполне внятно обозначили свою позицию в RFC4122[1]: «Do not assume that UUIDs are hard to guess; they should not be used as security capabilities (identifiers whose mere possession grants access), for example. A predictable random number source will exacerbate the situation». Так что перед разработчиками никогда не стояло цели создать безопасный Uuid-генератор. К сожалению, планету Земля все ещё топчут гоблины (не только топчут, но и карты экспресс-оплаты штампуют!), которые к подобным предостережениям относятся без должного трепета.

Во-вторых, за лишнее обращение к ключу системного реестра, где хранится 80-байтовый Seed, или вызов функции драйвера KSecDD придётся расплачиваться дорогостоящими тактами процессорного времени (.NET-чикам не понять ;). Это особенно будет заметно в последнем случае, поскольку требует переключения в режим ядра (вот вам и компромисс между производительностью и безопасностью). В-третьих, создать псевдослучайный ключ для RC4 с помощью SystemFunction036 гораздо проще, нежели усложнять себе жизнь чересчур запутанной конструкцией генератора.

Перейдём теперь ко второму свойству надёжных ГПСЧ — Forward Security. Смысл его в том, что злоумышленник, владеющий текущим состоянием генератора, не должен извлечь из него никакой информации о предшествующем выходе. Другими словами, ГПСЧ нужно проектировать как однонаправленную функцию, пользуясь для этих целей алгоритмами хеширования.

Но и здесь у UuidCreate незачет. Единственные преобразования, которые мы видим в коде, ограничиваются перестановками внутри S-блоков. Злоумышленник без труда может выполнить эти операции в обратном порядке и получить предшествующую гамму генератора:

Итак, предположим, злоумышленник снял «слепок» памяти со структуры g_rc4SafeCtx и запомнил счётчик обращений g_rc4TotalRequests в момент времени t такой, что T₁ ≤ t ≤ T₂, где T₁ — время последнего полного обновления генератора, а T₂ — время предстоящего обновления. Тогда он может воспроизвести выход генератора в интервале [T₁; t) и предугадывать значения, возвращаемые функцией UuidCreate, вплоть до наступления T₂.

Существует, правда, один нюанс, который обязательно следует учитывать. Значение буфера I_i, передаваемого в UuidCreate при i-м вызове, не всегда известно злоумышленнику. А согласно схеме, изображённой на рис.1, между этим значением и гаммой RC4 выполняется операция XOR. Поэтому, на первый взгляд, кажется, что злоумышленник, не знающий I_i, вряд ли сумеет воспользоваться предложенной моделью атаки. Однако на практике переменную Uuid либо инициализируют нулями, либо она содержит «мусор», находящийся в стеке к моменту выделения памяти. В последнем случае вероятность возникновения корреляций между различными значениями I_i в интервале от T₁ до T₂ остаётся довольно высокой, чем не преминет воспользоваться атакующий (я продемонстрирую это чуть ниже на примере MS SQL Server).

Теперь, когда вы познакомились с анатомией UuidCreate и освоили теоретическую часть статьи, мне бы хотелось сказать несколько слов о консольной утилите Uuid Big Brother, которую я написал, чтобы автоматизировать процедуру атаки. Утилита умеет снимать дамп состояния Uuid-генератора в любом из процессов ОС и угадывать как предыдущие, так и последующие Uuid-значения (подробное описание параметров UBB см. в Приложении Б).

Атака с известным I_i

В качестве разминки предлагаю отточить наше мастерство оракула на простом приложении guidgen.exe, с незапамятных времён входящее в поставку Visual Studio [12]. Эта утилита примечательна тем, что перед вызовом UuidCreate буфер под Uuid-значение инициализируется нулями (то есть I_i == NULL). Вы сами можете в этом убедиться, поскольку исходный код guidgen доступен для скачивания всем желающим [13]:

Определённо это шанс поупражняться в прозорливости.

1. Запустите guidgen.exe и отыщите его в Диспетчере задач (Task Manager). Запомните идентификатор процесса (допустим, PID = 3912).
2. Снимите с помощью Uuid Big Brother дамп состояния генератора и сохраните его в файл guidgen.dmp:

Результат выполнения команды будет примерно следующим:

UBB намекает нам, что процесс не успел инициализировать один или несколько экземпляров RC4, поэтому часть предсказанных Uuid-значений окажутся не соответствующими действительности.

1. Нажмите 7 раз кнопку New Guid в окне GuidGen (это заставит приложение полностью инициализировать генератор), после чего повторно снимите дамп. Предупреждение должно исчезнуть:

1. Теперь запустите ubb с параметром –g (ничто не мешает проделать это на другой машине, предварительно скопировав туда файл дампа). Параметр –g заставляет утилиту предсказывать все последующие Uuid-значения.

1. Снова нажмите кнопку New Guid в окне GuidGen. В секции Result отобразится Uuid-значение (на скриншоте {1F00F7F3-8F0F-4473-80F2-D3B175CC93DB}), которое вы сумели угадать ещё до того, как его сгенерировало само приложение (на 4-ом шаге выделено жирным шрифтом).

Нажатие любой клавиши в UBB приводит к появлению новых значений. По умолчанию утилита выдаёт их порциями по 8 элементов, но вы можете изменить это число, воспользовавшись ключом –o (подробнее см. в Приложении Б).

Атака с неизвестным I_i

Пришло время вспомнить о Василии Мудилове и разобраться, каким образом ему удалось обвести ребят из отдела «Белые воротнички» вокруг пальца. Но сначала убедимся, что T-SQL-функция NEWID() действительно использует UUID-генератор Windows, и что описанная здесь техника атаки применима к сценариям с картами экспресс-оплаты. На листинге показан восстановленный код для MS SQL Server 2008 CTP5 (build 1075):

Следующим шагом необходимо выяснить, чем инициализируется буфер I_i до выполнения UuidCreate.  Для этого нам потребуется SQL Internals Profiler — инструмент, разработанный Яном Либерманом и незаменимый в тех случаях, когда нужно собрать статистику по вызовам внутренних функций MS SQL Server. Сейчас, в частности, нас будут интересовать значения, передаваемые по указателю pguid в CoCreateGuid.

В переводе с либерманского, фраза 'hpg1;-' звучит примерно так: «Первый параметр (1) функции является ссылкой (p) на архиважное значение длиной 16 байт (h), которое нужно перехватить ещё до вызова CoCreateGuid (;-). Сгруппировать результаты по уникальным значениям (g)». Желающим освоить этот язык могу порекомендовать отличный русско-либерманский разговорник [14,15].

Посмотрим, как ведёт себя NEWID, если обращаться к ней периодически:

У меня получилась следующая картина (SQL Server 2008 CTP5):

Мы видим, что I_i (поле binary_grpup_id) изменялось каждый раз, когда вызывалась функция NEWID, хотя разница в значениях и не столь велика — всего лишь 25% (4 байта из 16, выделены жирным). Сервер не утруждает себя инициализацией *pguid, поэтому в CoCreateGuid постоянно передаётся «мусор». Так, например, двойное слово 0xF9E30A01 представляет собой адрес возврата из CreateExecValSeg:

010AE3F4  call        CEsCompValSeg::CreateExecValSeg

010AE3F9  pop         edi

… 

Или вот ещё забавная арифметика (вычитаем второе двойное слово из четвёртого):

0x04AE61C0 – 0x04AE6130 = 0x90

0x04AE63C8 – 0x04AE6338 = 0x90

0x04AE65D0 – 0x04AE6540 = 0x90

…

Обнаруженная корреляция снижает уровень энтропии I_i вдвое (с 2³² до 2¹⁶), поскольку число независимых неизвестных сократилось. Не стоит сбрасывать со счетов и закономерность «по вертикали» (вычитаем второе двойное слово на i+1-итерации из него же на i-итерации):

0x04AE6338 - 0x04AE6130 = 0x208

0x04AE6540 - 0x04AE6338 = 0x208

0x04AE6748 - 0x04AE6540 = 0x208

…

Значит, если мы узнаем I_i, то легко сможем вычислить I_i+1. Причём у любого I_i непредсказуемыми остаются всего 2 байта.

Перезапустим MS SQL Server и повторим эксперимент:

Новые результаты свидетельствуют о том, что неизменными остаются 8 байт, а корреляции сохраняются и после перезапуска.

Разумеется, всецело полагаться на эти наблюдения было бы чересчур опрометчиво. Давайте попытаемся смоделировать ситуацию, когда Uuid-идентифиакторы не только создаются, но и вставляются в поле таблицы:

Оказывается, любое использование NEWID в циклических операциях (не обязательно при вставке в таблицу) демонстрирует завидное постоянство значений I_i. За 10 000 итераций оно изменилось лишь единожды!

Очень маловероятно, что PIN-коды к картам экспресс-оплаты генерировались «поштучно», как в первом эксперименте. Поэтому асоциальный элемент Мудилов по достоинству оценит этот подарок судьбы. Впрочем, совокупная энтропия множества {I₁, I₂, … I_n} в обоих случаях будет одинаковой — 2³². Можно было бы упомянуть и о других способах вызова NEWID, но практически все они (есть исключения, врать не стану) сводятся либо к статистике, собранной в эксперименте с wait for, либо к результатам упражнения с циклом. Аналогичные тесты для MS SQL Server 2000/2005 обнаруживают примерно те же корреляции.

При одиночных обращениях к NEWID мы наблюдаем «вертикальную» закономерность, позволяющую нам по I_i рассчитать {I_i+1, I_i+2, … I_i+n}. А если функция использовалась в цикле, то I_i = I_i+1 = I_i+1 = … = I_i+n. Следовательно, чтобы восстановить всю последовательность, злоумышленнику необходимо вычислить хотя бы одно значение I_i. И здесь ему на помощь приходит свойство обратимости операции XOR. В алгоритме генератора присутствует этап, где между гаммой RC4 O_i и значением I_i выполняется исключающее ИЛИ: 

C_i = O_i XOR I_i => I_i = O_i XOR C_i   

U_i[1..6] = C_i[1..6]

U_i[7] = (C_i [7] & 0x0F) | 0x40

U_i[8] = C_i[8]

U_i[9] = (C_i [9] & 0x3F) | 0x80

U_i[10..16] = C_i[10..16]

Введём I’_i = O_i XOR U_i, где I’_i отличается от I_i несколькими битами в 7 и 9 байтах.

Покажем, что замена I_i на I’_i в прямых вычислениях даёт то же самое значение U_i:

C’_i = O_i XOR I’_i  

C’_i[1..6] = C_i[1..6] = U_i[1..6]; C’_i[8] = C_i[8] = U_i[8]; C’_i[10..16] = C_i[10..16] = U_i[10..16];

C’_i[7] ≠ C_i[7]; C’_i[9] ≠ C_i[9], но

U’_i[7] = (C’_i[7] &  0x0F) | 0x40 = (C_i[7] &  0x0F) | 0x40 = U_i[7]

U’_i[9] = (C’_i[9] & 0x3F) | 0x80 = (C_i[9] & 0x3F) | 0x80 = U_i[9]    

Значит U’_i = U_i  и замена I’_i на I_i является правомочной.

Предположим, Мудилов купил в ближайшем ларьке одну карту оплаты и под защитным слоем нашёл PIN-код U_k. Наши выкладки помогут ему рассчитать I_k, только если он знает, на какой итерации Uuid-генератора был получен данный PIN-код. Другими словами, Мудилов  должен знать k. Эту проблему можно решить, прибегнув к перебору значений O_i, выдаваемых генератором в интервале между двумя полными обновлениями состояния [T₁;T₂]. И теперь уже Василию придётся раскошелиться не на одну, а на целых три карты оплаты (PIN-коды P_x, P_y и P_z).

Метод основывается на допущении, что с каждым последующим вызовом UuidCreate значение I_i не изменяется. Однако эту же идею легко адаптировать на случай, когда у I_i остаются постоянными всего несколько байт. Например, для одиночных обращений к NEWID достаточно трактовать знак '=' как равенство 8 любых байт значения из 16. Ограничившись лишь частью I_i, мы по большому счёту ничем не рискуем, поскольку вероятность существования O_i и O_j таких, что (O_i XOR P_x)=^[8](O_j XOR P_x) при i ≠ j ничтожно мала. 

Величины, удовлетворяющие условию (O_i XOR P_x) = (O_j XOR P_y), будут также удовлетворять (O_i XOR P_y) = (O_j XOR P_x), причём (O_i XOR P_x) ≠ (O_i XOR P_y). Чтобы определить, какой из двух вариантов является верным, необходимо совершить ещё одну утреннюю пробежку по множеству {O_i}:

• Если (O_i XOR P_x) = (O_k XOR P_z), тогда правильным ответом будет I_i = (O_i XOR P_x)
• Если не нашлось ни одного O_k, где бы это соотношение выполнялось, значит I_i = (O_i XOR P_y).

Поставим следственный эксперимент, где выступим в роли Васи Мудилова.

1. На машине с работающим экземпляром MS SQL Server 2000/2005/2008 найдите в Диспетчере задач (Task Manager) процесс sqlservr.exe и запомните его идентификатор (пусть это будет PID = 1508).
2. Снимите с помощью Uuid Big Brother дамп состояния генератора и сохраните в файл sqlservr.dmp:

Эти два шага Мудилов должен был проделать 14 апреля, накануне процедуры генерации PIN-кодов.

1. Спустя какое-то время смоделируйте создание «случайных» PIN-кодов к картам оплаты (по сценарию заполнение таблицы Uuid-идентификаторами проводят «Белые воротнички», а Василий в этот момент находится на корпоративной вечеринке):

1. Возьмите три любых значения таблицы #pin_codes и сохраните в файл known_uuid.txt. Не переживайте за Мудилова. 16 апреля он купил три карточки  новой серии и занёс в known_uuid.txt обнаруженные под защитным слоем PIN-коды.

    Каждое значения должно располагаться на новой строке.

1. Запустите на другом компьютере утилиту UBB, предварительно скопировав туда sqlservr.dmp и known_uuid.txt.

Назначение параметров

-g: рассчитать последующий выход генератора относительно состояния, сохранённого в файле  sqlservr.dmp.

-of"pins.txt": предсказанные Uuid-идентификаторы вывести в pins.txt.

-ik"known_uuid.txt": I_i необходимо вычислить по трём известным Uuid-значениям, которые содержатся в файле known_uuid.txt.

-ab8: если любые 8 байт I_x совпадают с любыми 8 байтами I_y, значит I_x = I_y. Чем больше величина параметра, тем дольше выполняется поиск I_i. Но я не рекомендую указывать менее 8.

Интерпретация результата

Known UUID #n: строка n в файле known_uuid.txt.

Known UUID #n index: порядковый номер i вызова UuidCreate с того момента, как был снят «слепок» состояния генератора.

Gen output #n: O_i, соответствующее данному P_i.

Initial val #n: I_i, соответствующее данному P_i.

1. Проверьте, насколько точны предсказания. Выберите из таблицы первое понравившееся значение и поищите его в файле pins.txt.

Приложение А. Поставь тачку на закачку

Утилита Uuid Big Brother, версия 1.0.0, ©Nikolay Denishchenko

Консольная утилита Uuid Big Brother должна использоваться исключительно в учебно-познавательных и лечебно-оздоровительных целях. Автор не несёт никакой ответственности за возможный вред, прямо или косвенно причинённый с её помощью.

Скачать утилиту вместе с инсталлятором

Скачать утилиту без инсталлятора (консоль + VC runtime-библиотека)

Описание параметров и советы по применению вы можете найти в Приложении Б.

SQL Internals Profiler, версия 1.0.3, ©Yan Liberman

Cкачать инсталлятор

Руководство и описание

Примеры использования

Приложение Б. Параметры утилиты Uuid Big Brother

Чтобы утилита смогла получить беспрепятственный доступ к памяти внешнего процесса её необходимо запускать от имени учётной записи, обладающей полномочиями Debug Programs (например, от имени локального системного администратора).

Общий синтаксис

ubb [<switches>…] <dump_file>

Вывод справочной информации

Комбинирование информационных ключей с остальными параметрами не допускается.

Дамп состояния генератора

Если не все экземпляры RC4 инициализированы процессом (было произведено менее 8 обращений к UuidCreate за время его работы), вы получите сообщение:

Warning: not all of the RC4 instances were initialized. Please, initiate 8 UUIDs generation.

Это предупреждение означает, что в файл дампа сохранено состояние только тех экземпляров, которые к моменту записи уже инициализированы и, следовательно, их выход является предопределённым. Последовательность UUID-значений, предсказанных утилитой на основании неполного дамп-файла, будет содержать «пропуски». Зачастую, такая ситуация возникает в самом начале работы целевого процесса или в ситуациях, когда процесс очень редко вызывает UuidCreate.

В случае успешного выполнения операции выводится сообщение:

State was successfully dumped to file <dump_file>.

Анализ состояния генератора и предсказание значений

Приложение В. Исследованные версии библиотеки rpcrt4.dll

Ссылки и список литературы

1. RFC4122
2. UUID (Wikipedia)
3. GUID (Wikipedia)
4. UUID Structure (MSDN)
5. UuidCreate Function (MSDN)
6. RC4 (Wikipedia)
7. RtlGenRandom (MSDN)
8. «Cryptanalysis of the Random Number Generator of the Windows Operating System», Leo Dorrendorf, Zvi Gutterman, Benny Pinkas
9. Interlocked Variable Access (MSDN)
10. Материалы к докладу «Анализ возможности удалённой атаки на MS SQL Server 2000-2008», Николай Денищенко, Ян Либерман
11. «Защищённый код», Майкл Ховард, Дэвид Лебланк
12. Visual Studio guidgen.exe (MSDN)
13. GUIDGEN Sample: Generates Globally Unique Identifiers (MSDN)
14. SQL Internals Profiler, Ян Либерман
15. SQL Internals Profiler (примеры использования), Ян Либерман