Padding oracle atağı

Kriptolojide padding oracle atağı kriptografik bir mesaja padding(doldurma) denilen yöntemin uygulanması sonucunda ortaya çıkmaktadır. Padding (cryptography) kriptografide özellikle blok şifrelemelerde değişken uzunluktaki mesajların uzatılarak aynı blok uzunluğuna gelmesi için doldurulmasını sağlamaktadır. Açık anahtarlamalı yapılarda da kullanılmaktadır. Oracle, kriptografide bir testin başarılı olup olmadığını gösteren mekanizmaya denir. Bu mekanizma genellikle karşımıza sunucu olarak çıkmaktadır. Padding oracle atağı da, mesaj bloklarının doldurulmasının doğru olup olmamasına cevap verilmesi özelliğine dayanmaktakdır. Bu atak genellikle blok şifrelemelerde kullanılan CBC (Cipher Block Chanining) moduyla ilişkilendirilir. Ayrıca asimetrik algoritmalarda (örneğin OAEP) padding oracle zafiyeti olabilir.^[1]

Simetrik kriptografide, padding oracle atağı (oracle attack) CBC mode da şifreleme işlemine uygulanabilir. Sunucunun blok doldurma işleminin doğru olup olmadığı bilgisini sızdırması sonucunda saldırgana şifreleme anahtarını bilmeden sunucunun anahtarını kullanarak, şifreyi çözmesine imkân tanımaktadır. CBC modunun şifre çözme mekanizması aşağıda gösterilmiştir.

Saldırganın elinde üç adet ${\displaystyle C_{1},C_{2},C_{3}}$ şifreli blok olduğunu ve ikinci bloğun (yani ${\displaystyle P_{2}}$) şifresini çözmek istediğini farzedelim. Saldırgan sadece ${\displaystyle C_{3}}$ son bloğun PKCS7 doldurma(padding) metodu ile doğru olarak doldurulduğunu (padded) biliyor. PKCS7'de doldurma işlemi, ${\displaystyle n}$ byte kadar eksik byte varsa oraya 0xn şeklindedir. Aşağıdaki resim doldurma işlemini özetlemektedir.

CBC şifre çözme işlemi yukarıdaki resimde de belirtildiği gibi şu şekilde çalışır ${\displaystyle P_{i}=D_{K}(C_{i})\oplus C_{i-1},C_{0}=IV.}$ Eğer saldırgan ${\displaystyle C_{1}}$ in son byte'ını değiştirip, ${\displaystyle (IV,C_{1},C_{2})}$'i sunucuya gönderirse, ${\displaystyle P_{1}}$'in tüm bloğu (avalanche effect) ve ${\displaystyle P_{2}}$'nin son byte'ı ( XORing operasyonundan dolayı) etkilenir.

Bundan sonra sunucu, en son şifresi çözülen blokun (yani ${\displaystyle P_{2}}$) doldurmasının(padding) doğru olup olmadığını döndürür (bu kontrol şifresiz mesaj işlenmeden önce gerçekleştirilir).

${\displaystyle b_{-1}}$, ${\displaystyle C_{1}}$'in son byte'ı olsun. Saldırgan ${\displaystyle b_{-1}}$'i şu şekilde değiştirsin ${\displaystyle b_{-1}=b_{-1}\oplus z_{-1}\oplus {\text{0x01}}}$ (${\displaystyle z_{-1}}$, ${\displaystyle P_{2}}$'in tahmin edilen son byte'ı olsun). Eğer ${\displaystyle z_{-1}}$ doğru bir tahmin ise (yani ${\displaystyle P_{2}}$'nin doğru son byte'ı ise), sunucu doldurma(padding) hatası vermeyecektir. Eğer sunucu doldurma (padding) hatası verirse, saldırgan ${\displaystyle z_{-1}}$'in hatalı olduğunu anlayacaktır. Bu sebepten saldırgan ${\displaystyle z_{-1}}$ için diğer değerleri deneyecektir. Bu şekilde 255 denemede ${\displaystyle z_{-1}}$'in değeri bulunmuş olacaktır. Sonuç olarak ${\displaystyle P_{2}}$'nin son byte'ı elde edilmiş olur.

Saldırgan ${\displaystyle P_{2}}$'nin son byte'ını elde ettikten sonra son byte'dan bir önceki byte'ı bulmaya çalışacaktır. Bunu da ${\displaystyle b_{-1}=b_{-1}\oplus z_{-1}\oplus {\text{0x02}}}$ ve ${\displaystyle b_{-2}=b_{-2}\oplus z_{-2}\oplus {\text{0x02}}}$ şeklinde yapacaktır.

Böylelikle saldırgan tüm bloğu elde edebilecektir.

Farz edelimki 128 bits AES kullanılarak şifrelenmiş bloklar var elimizde. Saldırgan ${\displaystyle P_{2}}$'yi 255⋅16 = 4080 denemede elde edebilecektir. Bu atak birkaç saniye içinde başarıyla gerçekleştirilebilir.

Orijinal padding oracle atağı 2002 yılında Serge Vaudenay^[2] tarafından yazılmıştır. 2010 yılında ise atak, JavaServer Faces, Ruby on Rails^[3] ve ASP.NET.^[4][5][6] gibi web çatılarına uygulanmıştır. 2012 de bazı güçlendirilmiş donanımlarada atak yapılabildiği gösterilmiştir^[7]

Birçok TLS geliştiricisi tarafından bu zafiyet giderilmiş olsa da zaman yan-kanal analizi kullanan Lucy Thirteen Attack olarak bilinen atak 2013 yılında yayınlandı. 2014 başlarında, gerçek hayatta bir tehdit olarak değerlendirilmese de teoride ( bkz: Signal-to-noise ratio) bazı sınıf cihazlarda hala uygulanabilir durumdadır. 2015'te, kriptografik protokollere yapılan ataklar indirgeme (downgrade attacks) atakları örneğin Logjam^[8] ve Export RSA/FREAK^[9] atakları gibi karşımıza çıkmaktadır. Bu atak destekleyen istemcilerin daha düşük seviyeli protokelleri kullandırılması prensibine dayanmaktadır. 2014 sonlarında ortaya çıkan PODDLE^[10] atağı ise hem indirgeme(SSLv3.0) hem de padding oracle atağını kullanarak güvensiz protokol kullanımını sağlayarak transfer edilen şifreli verinin ele geçirilmesini sağlamaktadır.