SlideShare a Scribd company logo

偶然にも500万個のSSH公開鍵を手に入れた俺たちは

Yoshio Hanawa, profile picture
Yoshio Hanawa

2015/1/24 江戸前セキュリティ勉強会のLT発表資料です

Software
1 of 21
Downloaded 130 times
1
2
3
4
5
6
7
8
9
10
Most read
11
12
13
14
15
16
17
18
19
20
21
Attacking against 5 million SSH public keys 偶然にも500万個の SSH公開鍵を 手に入れた俺たちは hnw 江戸前セキュリティ勉強会 (2015/1/24)発表資料
自己紹介 ❖ @hnw ❖ カレーとバグが大好物 ❖ PHPの方から来ました
アジェンダ ❖ SSH公開鍵の集め方 ❖ 弱い鍵を見つけた ❖ 公約数を探す
❖ SSH公開鍵の集め方 ❖ 弱い鍵を見つけた ❖ 公約数を探す
SSH公開鍵を集める ❖ github.comで集めました ❖ GitHub APIでユーザーIDが全件取れる ❖ https://github.com/[ユーザーID].keys ❖ 登録しているSSH公開鍵が誰でも取得できる ❖ obsoleteらしいが、長いこと使えている
SSH公開鍵を集める ❖ github.com全850万ユーザー(昨年10月当時) ❖ 鍵の取得だけで2日くらいかかった ❖ 約500万個のSSH公開鍵が手に入った
❖ SSH公開鍵の集め方 ❖ 弱い鍵を見つけた ❖ 公約数を探す
弱い鍵ペア ❖ 理屈上、公開鍵暗号では秘密鍵がバレなければ安全 ❖ 公開鍵が500万件もあるとヘマする人もいる ❖ 秘密鍵を特定できる公開鍵が実際に見つかった
鍵長が短すぎる鍵 ❖ 攻撃可能そうな鍵が35個みつかった ❖ 256bit DSA鍵 1個 ❖ 512bit DSA鍵 11個 ❖ 256bit RSA鍵 11個 ❖ 512bit RSA鍵 12個 ❖ 鍵長を明示的に指定して鍵ペア生成しているはず ❖ 公開鍵暗号についての理解が足りない?
鍵長が短すぎる鍵 ❖ 短いRSA鍵は素因数分解で破れる ❖ 256bit RSA鍵の場合 ❖ p,qともに128bit(10進39桁)の素数 ❖ n(=pq)だけをもとにnを素因数分解すればよい ❖ 素因数分解の実装はネット上に落ちている ❖ 256bit RSA鍵なら3秒で素因数分解できた
古いDebianで作られた脆弱な鍵 ❖ CVE-2008-0166 ❖ Debian系distroのOpenSSL実装にバグが混入した ❖ 作られるSSH鍵ペアが32767パターンになる ❖ 全パターンのSSHユーザー鍵を公開している人がいる ❖ 208件が一致した
❖ SSH公開鍵の集め方 ❖ 弱い鍵を見つけた ❖ 公約数を探す
RSAに対する既知の攻撃 ❖ 論文「Mining Your Ps and Qs: Detection of Widespread Weak Keys in Network Devices」 ❖ 乱数生成器の偏りを利用したRSAに対する攻撃 ❖ 多数の公開鍵から公約数を見つけるもの ❖ SSL証明書とSSHホスト鍵あわせて1100万個を調査 ❖ 約6万個の鍵を素因数分解できた
ここに公開鍵がたくさんあるじゃろ? ❖ 論文の筆者が作ったプログラムは公開されている ❖ fastgcd ❖ https://factorable.net/resources.html
SSHユーザー鍵でGCD計算 ❖ メモリとストレージが必要 ❖ いったん全部の積を求めるため ❖ 500万個のGCD計算がAWSなら100円 ❖ c3.4xlarge(メモリ30GB)で40分
SSHユーザー鍵でGCD計算 ❖ 期待通りに素因数分解できたものは無かった ❖ 乱数生成器の偏りは見つからなかった
SSHユーザー鍵でGCD計算 ❖ 155個について約数が見つかった ❖ 16進1桁から7桁の数で割り切れる ❖ 割ってもまだ合成数 ❖ コピペミスした公開鍵が登録されている?
コピペミスした鍵のリスク ❖ 正しい秘密鍵でもログインできない状態 ❖ nの素因数分解さえできれば秘密鍵は作れる ❖ nの素因数が偶然小さい素数ばかりだと危険 ❖ あまり指摘されていないリスクなのでは?
まとめ ❖ 多数のSSH公開鍵を調査した ❖ リスクのある鍵を使っているユーザーが実在する ❖ 攻撃者有利な時代だと再認識した ❖ 実装、データ、計算機いずれも簡単に手に入る
懇親会にも参加します ❖ アドバイス・雑談などお待ちしております
ご静聴 ありがとう ございました

More Related Content

PDF
GitHubにバグ報告して賞金$500を頂いた話
Yoshio Hanawa
 
PDF
OpenIDConnectを活用したgBizID(法人共通認証基盤)の現状と今後の展望 - OpenID Summit 2020
OpenID Foundation Japan
 
PDF
エンタープライズブロックチェーン構築の基礎
LFDT Tokyo Meetup
 
PDF
ウェーブレット木の世界
Preferred Networks
 
PPTX
zk-SNARKsの仕組みについて
Shouki Tsuda
 
PDF
katagaitai CTF勉強会 #5 Crypto
trmr
 
ODP
Format string Attack
icchy
 
PDF
初心者向けCTFのWeb分野の強化法
kazkiti
 
GitHubにバグ報告して賞金$500を頂いた話
Yoshio Hanawa
 
OpenIDConnectを活用したgBizID(法人共通認証基盤)の現状と今後の展望 - OpenID Summit 2020
OpenID Foundation Japan
 
エンタープライズブロックチェーン構築の基礎
LFDT Tokyo Meetup
 
ウェーブレット木の世界
Preferred Networks
 
zk-SNARKsの仕組みについて
Shouki Tsuda
 
katagaitai CTF勉強会 #5 Crypto
trmr
 
Format string Attack
icchy
 
初心者向けCTFのWeb分野の強化法
kazkiti
 

What's hot (20)

PDF
猫にはわかる暗号技術 1
Yu Ogawa
 
PPTX
paizaのオンラインジャッジを支えるDockerとその周辺
paiza
 
PPTX
SPAセキュリティ入門~PHP Conference Japan 2021
Hiroshi Tokumaru
 
PDF
CTF超入門 (for 第12回セキュリティさくら)
kikuchan98
 
PDF
RSA暗号運用でやってはいけない n のこと #ssmjp
sonickun
 
PDF
MCC CTF講習会 pwn編
hama7230
 
PDF
暗号文のままで計算しよう - 準同型暗号入門 -
MITSUNARI Shigeo
 
PDF
Master Canary Forging: 新しいスタックカナリア回避手法の提案 by 小池 悠生 - CODE BLUE 2015
CODE BLUE
 
PDF
暗号技術の実装と数学
MITSUNARI Shigeo
 
PDF
楕円曲線入門 トーラスと楕円曲線のつながり
MITSUNARI Shigeo
 
PDF
ゼロから作るKubernetesによるJupyter as a Service ー Kubernetes Meetup Tokyo #43
Preferred Networks
 
PDF
【暗号通貨輪読会#14】confidential transaction
shigeyuki azuchi
 
PDF
LINE Login総復習
Naohiro Fujie
 
PDF
Post-quantum zk-SNARKs on Hyperledger Fabric​
LFDT Tokyo Meetup
 
PDF
Flutter移行の苦労と、乗り越えた先に得られたもの
Recruit Lifestyle Co., Ltd.
 
PDF
Pythonの処理系はどのように実装され,どのように動いているのか? 我々はその実態を調査すべくアマゾンへと飛んだ.
kiki utagawa
 
PDF
外部キー制約に伴うロックの小話
ichirin2501
 
PDF
Neural networks for Graph Data NeurIPS2018読み会@PFN
emakryo
 
PDF
ブロックチェーン系プロジェクトで着目される暗号技術
MITSUNARI Shigeo
 
PDF
ブロックチェーンを用いた自己主権型デジタルID管理
LFDT Tokyo Meetup
 
猫にはわかる暗号技術 1
Yu Ogawa
 
paizaのオンラインジャッジを支えるDockerとその周辺
paiza
 
SPAセキュリティ入門~PHP Conference Japan 2021
Hiroshi Tokumaru
 
CTF超入門 (for 第12回セキュリティさくら)
kikuchan98
 
RSA暗号運用でやってはいけない n のこと #ssmjp
sonickun
 
MCC CTF講習会 pwn編
hama7230
 
暗号文のままで計算しよう - 準同型暗号入門 -
MITSUNARI Shigeo
 
Master Canary Forging: 新しいスタックカナリア回避手法の提案 by 小池 悠生 - CODE BLUE 2015
CODE BLUE
 
暗号技術の実装と数学
MITSUNARI Shigeo
 
楕円曲線入門 トーラスと楕円曲線のつながり
MITSUNARI Shigeo
 
ゼロから作るKubernetesによるJupyter as a Service ー Kubernetes Meetup Tokyo #43
Preferred Networks
 
【暗号通貨輪読会#14】confidential transaction
shigeyuki azuchi
 
LINE Login総復習
Naohiro Fujie
 
Post-quantum zk-SNARKs on Hyperledger Fabric​
LFDT Tokyo Meetup
 
Flutter移行の苦労と、乗り越えた先に得られたもの
Recruit Lifestyle Co., Ltd.
 
Pythonの処理系はどのように実装され,どのように動いているのか? 我々はその実態を調査すべくアマゾンへと飛んだ.
kiki utagawa
 
外部キー制約に伴うロックの小話
ichirin2501
 
Neural networks for Graph Data NeurIPS2018読み会@PFN
emakryo
 
ブロックチェーン系プロジェクトで着目される暗号技術
MITSUNARI Shigeo
 
ブロックチェーンを用いた自己主権型デジタルID管理
LFDT Tokyo Meetup
 
Ad

Viewers also liked (20)

PPTX
技術選択とアーキテクトの役割
Toru Yamaguchi
 
PDF
プログラム組んだら負け!実はHTML/CSSだけでできること2015夏
Yusuke Hirao
 
PDF
運用に自動化を求めるのは間違っているだろうか
Masahito Zembutsu
 
PDF
「内積が見えると統計学も見える」第5回 プログラマのための数学勉強会 発表資料
Ken'ichi Matsui
 
PDF
MySQLテーブル設計入門
yoku0825
 
PDF
実践イカパケット解析
Yuki Mizuno
 
PDF
ウェブパフォーマンスの基礎とこれから
Hiroshi Kawada
 
PPTX
Webアプリケーション負荷試験実践入門
樽八 仲川
 
PDF
オンラインゲームの仕組みと工夫
Yuta Imai
 
PPTX
ちゃんとした C# プログラムを書けるようになる実践的な方法~ Visual Studio を使った 高品質・低コスト・保守性の高い開発
慎一 古賀
 
PDF
「スプラトゥーン」リアルタイム画像解析ツール 「IkaLog」の裏側
Takeshi HASEGAWA
 
PDF
SQLアンチパターン 幻の第26章「とりあえず削除フラグ」
Takuto Wada
 
PDF
中の下のエンジニアを脱出するための仕事術
Noriaki Kadota
 
PDF
SSL/TLSの基礎と最新動向
shigeki_ohtsu
 
PDF
MySQL 5.7の罠があなたを狙っている
yoku0825
 
PDF
フーリエ変換と画像圧縮の仕組み
yuichi takeda
 
PDF
エンジニアのための経営学
Michitaka Yumoto
 
PDF
インフラエンジニアがUnityをやるべきたった一つの理由
axsh co., LTD.
 
PDF
プログラムを高速化する話
京大 マイコンクラブ
 
PDF
インフラエンジニアの綺麗で優しい手順書の書き方
Shohei Koyama
 
技術選択とアーキテクトの役割
Toru Yamaguchi
 
プログラム組んだら負け!実はHTML/CSSだけでできること2015夏
Yusuke Hirao
 
運用に自動化を求めるのは間違っているだろうか
Masahito Zembutsu
 
「内積が見えると統計学も見える」第5回 プログラマのための数学勉強会 発表資料
Ken'ichi Matsui
 
MySQLテーブル設計入門
yoku0825
 
実践イカパケット解析
Yuki Mizuno
 
ウェブパフォーマンスの基礎とこれから
Hiroshi Kawada
 
Webアプリケーション負荷試験実践入門
樽八 仲川
 
オンラインゲームの仕組みと工夫
Yuta Imai
 
ちゃんとした C# プログラムを書けるようになる実践的な方法~ Visual Studio を使った 高品質・低コスト・保守性の高い開発
慎一 古賀
 
「スプラトゥーン」リアルタイム画像解析ツール 「IkaLog」の裏側
Takeshi HASEGAWA
 
SQLアンチパターン 幻の第26章「とりあえず削除フラグ」
Takuto Wada
 
中の下のエンジニアを脱出するための仕事術
Noriaki Kadota
 
SSL/TLSの基礎と最新動向
shigeki_ohtsu
 
MySQL 5.7の罠があなたを狙っている
yoku0825
 
フーリエ変換と画像圧縮の仕組み
yuichi takeda
 
エンジニアのための経営学
Michitaka Yumoto
 
インフラエンジニアがUnityをやるべきたった一つの理由
axsh co., LTD.
 
プログラムを高速化する話
京大 マイコンクラブ
 
インフラエンジニアの綺麗で優しい手順書の書き方
Shohei Koyama
 
Ad

More from Yoshio Hanawa (20)

PPTX
自宅の消費電力をリアルタイムに グラフ化してみた
Yoshio Hanawa
 
PDF
Zend VMにおける例外の実装
Yoshio Hanawa
 
PDF
Zend VMにおける例外の実装
Yoshio Hanawa
 
PDF
ぼくのかんがえる
さいきょうの銀行振込
Yoshio Hanawa
 
PDF
「OKグーグル! 銀行振込1000円」
Yoshio Hanawa
 
PDF
浮動小数点数とOSSのバグの話
Yoshio Hanawa
 
PDF
PHP拡張をPECLに登録してわかったこと
Yoshio Hanawa
 
PDF
GitHubからお金をもらった話
Yoshio Hanawa
 
PDF
iOS/macOSとAndroid/Linuxのサンドボックス機構について調べた
Yoshio Hanawa
 
PDF
realpathキャッシュと OPcacheの面倒すぎる関係
Yoshio Hanawa
 
PDF
家庭用ブロードバンドルータ上でWordPressを動かそう
Yoshio Hanawa
 
PDF
Laungage Update PHP編
Yoshio Hanawa
 
PDF
PHPの拡張モジュールをGoで作る
Yoshio Hanawa
 
PDF
php-buildがいかに便利かを力説する
Yoshio Hanawa
 
PDF
OPcacheの新機能ファイルベースキャッシュの内部実装を読んでみた
Yoshio Hanawa
 
PDF
PHP7の拡張モジュール事情
Yoshio Hanawa
 
PDF
PHP7の内部実装から学ぶ性能改善テクニック
Yoshio Hanawa
 
PDF
PHPの正規表現と最長一致
Yoshio Hanawa
 
PDF
PHP7で変わること ——言語仕様とエンジンの改善ポイント
Yoshio Hanawa
 
PDF
PHP7はなぜ速いのか
Yoshio Hanawa
 
自宅の消費電力をリアルタイムに グラフ化してみた
Yoshio Hanawa
 
Zend VMにおける例外の実装
Yoshio Hanawa
 
Zend VMにおける例外の実装
Yoshio Hanawa
 
ぼくのかんがえる
さいきょうの銀行振込
Yoshio Hanawa
 
「OKグーグル! 銀行振込1000円」
Yoshio Hanawa
 
浮動小数点数とOSSのバグの話
Yoshio Hanawa
 
PHP拡張をPECLに登録してわかったこと
Yoshio Hanawa
 
GitHubからお金をもらった話
Yoshio Hanawa
 
iOS/macOSとAndroid/Linuxのサンドボックス機構について調べた
Yoshio Hanawa
 
realpathキャッシュと OPcacheの面倒すぎる関係
Yoshio Hanawa
 
家庭用ブロードバンドルータ上でWordPressを動かそう
Yoshio Hanawa
 
Laungage Update PHP編
Yoshio Hanawa
 
PHPの拡張モジュールをGoで作る
Yoshio Hanawa
 
php-buildがいかに便利かを力説する
Yoshio Hanawa
 
OPcacheの新機能ファイルベースキャッシュの内部実装を読んでみた
Yoshio Hanawa
 
PHP7の拡張モジュール事情
Yoshio Hanawa
 
PHP7の内部実装から学ぶ性能改善テクニック
Yoshio Hanawa
 
PHPの正規表現と最長一致
Yoshio Hanawa
 
PHP7で変わること ——言語仕様とエンジンの改善ポイント
Yoshio Hanawa
 
PHP7はなぜ速いのか
Yoshio Hanawa
 

偶然にも500万個のSSH公開鍵を手に入れた俺たちは