Casseforti di LastPass sottratte nel recente data breach

simonebortolin · 24 dic 2022

Marco25 https://it.wikipedia.org/wiki/Generatore_di_numeri_pseudocasuali_crittograficamente_sicuro
Nella sicurezza informatica un generatore di numeri pseudocasuali crittograficamente sicuro (detto in genere CSPRNG da Cryptographically Secure Pseudo-random Number Generator) è un generatore di numeri pseudo-casuali le cui proprietà lo rendono adatto all'uso in crittografia.

Molti aspetti della crittografia richiedono numeri casuali, ad esempio:

Generazione di chiavi
Generazione di chiavi di sessione (detti nonce)
salt casuali richiesti da alcuni schemi di firma, come ECDSA, RSASSA-PSS
One-time pad

Ti stai affidando a generatore del tuo sistema per creare la chiave che cripta la sessione tra te e https://forum.fibra.click

Lo so benissimo cosa è, e come funziona... e quando viene usato, quello che volevo dire è un altro (LATIITAY vale pure per te lol) c'è differenza tra generare una chiave ogni non so mettimo 20 minuti di un computer usato per accedere al social blu, una chiave ogni 2 minuti generata da un serve web, ed una chiave generata ogni 2 secondi per un nuovo utente del password manager?

Marco25 E quante sono allora?

Teoricamente 2¹²⁸, praticamente chi lo sa, dipende dalla implementazione...

Marco25 La secret key serve proprio per proteggere in caso di data breach. Certo, l'implementazione potrebbe essere fallace, ma questo con qualunque password manager.

Ooooh finalmente ecco che ci siamo arrivati.

MMarco25 · 24 dic 2022

simonebortolin c'è differenza tra generare una chiave ogni non so mettimo 20 minuti di un computer usato per accedere al social blu, una chiave ogni 2 minuti generata da un serve web, ed una chiave generata ogni 2 secondi per un nuovo utente del password manager?

Qual è la differenza?

simonebortolin Teoricamente 2128, praticamente chi lo sa, dipende dalla implementazione...

È letteralmente una funzione o chiamata di sistema, se non ti fidi di quelle... Come scritto @LATIITAY, basta aprire /dev/urandom.

simonebortolin Ooooh finalmente ecco che ci siamo arrivati.

Disclaimer ovvio, ma allora cosa facciamo, torniamo all'età della pietra perché tutta la tecnologia più essere fallata? L'utente sopra ha chiesto una alternativa a LastPass, e IMHO sulla carta il design di 1Password è migliore.

ale_prince · 24 dic 2022

Marco25 grazie!
bon ragazzi,in rete credo che nulla sia in sicurezza al 100%

LLATIITAY · 24 dic 2022

Marco25 io preferirei piu' KeePassXC (con passphrase "sicura" e sincronizzazione del file anche in un cloud commerciale volendo...), non conosco 1Password pero' quindi non saprei confrontarli

simonebortolin · 24 dic 2022

Marco25 Qual è la differenza?

Beh semplice perché c'è sia /dev/urandom e /dev/random, di cui il secondo bloccante ed il primo no.
Oh è scritto quì: https://man7.org/linux/man-pages/man4/random.4.html credo che siano le basi eh.... Più chiavi generi, più il pool si svuota e più devi riusare il vecchio pool ed è determiniscio, cavolo ogni tanto mi sembra proprio di parlare a vanvera.

Marco25 È letteralmente una funzione o chiamata di sistema, se non ti fidi di quelle... Come scritto @LATIITAY, basta aprire /dev/urandom.

Inanzitutto dubito che un sistema moderno apra un file del genere, in genere si cerca di usare il wrapper del wrapper del wrapper di dubbia qualità che però funziona anche su windows... in secondo come ho già detto qualsiasi cosa in un pc è abbastanza deterministico, se poi ci sono anche dei timestamp salvati è tutto più facile.

Marco25 Disclaimer ovvio, ma allora cosa facciamo, torniamo all'età della pietra perché tutta la tecnologia più essere fallata? L'utente sopra ha chiesto una alternativa a LastPass, e IMHO sulla carta il design di 1Password è migliore.

Ma chi vuole tornare all'età della pietra, io ho solo detto che una master key generata casualmente non aumenta la sicurezza di una beata cippa. Forse in linea teorica sì, ma in pratica è come aggiungere intonaco ad un muro che cade a pezzi, se ci sono altre falle, questa aggiunta è inutile.

LLATIITAY · 24 dic 2022

simonebortolin c'è sia /dev/urandom e /dev/random, di cui il secondo bloccante ed il primo no

Oggi in Linux non piu', l'autore di WireGuard ha riscritto l'implementazione, oggi Linux usa ChaCha20 e random non e' piu' bloccante. Certo se lo usi su un sistema embedded senza RTC e senza input esterni allora vale quanto dici, che diventa deterministico, per forza di cose... Ma su un computer "normale" dove l'entropia viene raccolta pure dall'RX della scheda Wi-Fi, beh... Il problema direi che non si pone.

simonebortolin dubito che un sistema moderno apra un file del genere

Invece e' proprio quello che va fatto e che viene fatto.

simonebortolin in genere si cerca di usare il wrapper del wrapper del wrapper di dubbia qualità

OpenSSL? Beh su Linux apre anche urandom oggi, ma da tanto tanto tempo. Il bug di Debian era colpa di Debian mica di OpenSSL... Su Windows poi chissa', ma a me interessa Linux...

simonebortolin una master key generata casualmente non aumenta la sicurezza di una beata cippa

Se e' generata con un CSPRNG su un computer "normale" che non e' un Raspberry senza rete dimenticato da qualche parte, allora la aumenta eccome la sicurezza...

simonebortolin · 24 dic 2022

LATIITAY OpenSSL? Beh su Linux apre anche urandom oggi, ma da tanto tanto tempo. Il bug di Debian era colpa di Debian mica di OpenSSL...

non parlavo di OpenSSL ma dell'ennesimo wrapper trovato su github non aggiornato da 4 anni e mezzo che permette di fare tutto con un import...

vabbé mi sono stancato di ridire l'ovvio...

[cancellato] · 24 dic 2022

LATIITAY Sì però è affidabile fino ad un certo punto, altrimenti perché venderebbero HSM e schede per la generazione di numeri casuali? Per "tutti noi" è sufficiente, quando firmi certificati o ospiti casseforti degli utenti io ci starei un pelo più attento.

MMarco25 · 24 dic 2022

simonebortolin Più chiavi generi, più il pool si svuota e più devi riusare il vecchio pool ed è determiniscio, cavolo ogni tanto mi sembra proprio di parlare a vanvera.

La man page sbaglia, random non va usato praticamente mai, e tra l'altro ormai si comporta come urandom.

https://www.youtube.com/watch?v=0DV8WnqhH2Y

https://unix.stackexchange.com/a/324210

simonebortolin Inanzitutto dubito che un sistema moderno apra un file del genere

Aprire il file è solo una opzione, nel white paper di 1Password vengono indicate quali funzioni vengono utilizzate, le stesse utilizzate da altri software che necessitano crittografia.

simonebortolin qualsiasi cosa in un pc è abbastanza deterministico, se poi ci sono anche dei timestamp salvati è tutto più facile

Hai un proof of concept? Gli sviluppatori di OpenSSL, vari sistemi operativi e browser vorrebbero sapere come migliorare la sicurezza visto che al momento si affidano a questi algoritmi "deterministici".

simonebortolin io ho solo detto che una master key generata casualmente non aumenta la sicurezza di una beata cippa

Non pensi sia più sicuro criptare la cassaforte con la password dell'utente più chiave casuale piuttosto che con la sola password?

simonebortolin · 24 dic 2022

Marco25 Aprire il file è solo una opzione, nel white paper di 1Password vengono indicate quali funzioni vengono utilizzate, le stesse utilizzate da altri software che necessitano crittografia.

Ecco questo è già ampiamente diverso

Marco25 Hai un proof of concept? Gli sviluppatori di OpenSSL, vari sistemi operativi e browser vorrebbero sapere come migliorare la sicurezza visto che al momento si affidano a questi algoritmi "deterministici".

Ho già detto tempo fa, a meno di usare robe quantistiche non puoi...

Marco25 Non pensi sia più sicuro criptare la cassaforte con la password dell'utente più chiave casuale piuttosto che con la sola password?

Dipende da come viene fatto, se cripti puoi decriptare (in qualche modo...)

LLATIITAY · 24 dic 2022

[cancellato] io sinceramente mi fido molto molto molto meno di un HSM opaco che di un algoritmo open source. Magari se mi serve sicurezza, non faccio girare la generazione delle chiavi degli utenti con l'algoritmo aperto sul mio portatile, ecco, ma su una macchina dedicata a quello, assemblata con un minimo di criterio (e non col primo processore "nuovo e potente" che capita a giro o che va di moda) e protetta a vari livelli. E magari una letta a tutto il codice prima di metterlo in produzione gliela do sempre, non tratto certo le dipendenze come roba opaca...
LOL, ecco, in un mio vecchio portatile il TPM 1.2 generava numeri casuali rotti (tcsd si lamentava in continuazione), oltre ad essere proprio rotta la specifica di TPM 1.2 in tanti punti se ricordo bene; tanto per portare uno dei tanti esempi in cui non ci si puo' proprio fidare delle blackbox opache, eppure per essere """compliant""" in quegli anni dovevi proprio usare quella monnezza bucata li'...
Mi piacerebbe infatti che le CA statali accettassero CSR in maniera tale che io possa generarmi in autonomia il mio certificato, magari RSA 4096, e usarmelo come mi pare. Ma nella situazione attuale, pur dovendomi fidare della smartcard opaca, resta 1000 volte meglio TS-CNS che SPID.

Marco25 La man page sbaglia

Piu' che altro, non e' stata aggiornata insieme al codice

Marco25 Non pensi sia più sicuro criptare la cassaforte con la password dell'utente più chiave casuale piuttosto che con la sola password?

Appunto... E cosi' facendo con master key + passphrase puoi anche cambiare password senza dover stare a rigenerare la cassaforte...

simonebortolin Dipende da come viene fatto, se cripti puoi decriptare (in qualche modo...)

Si', peccato che ci metti piu' della morte termica dell'universo con i computer tradizionali, a rompere la crittografia simmetrica (neanche asimmetrica, qui parliamo proprio di quella simmetrica...).

E se ti preoccupano i computer quantistici, beh, allora inizia a smettere di usare le firme digitali innanzitutto, smetti di remotizzare il tuo potere di firma con SPID e 'ste robe qui... Che se no quando arriva il computer quantistico e chiunque potra' falsificare le firme retroattivamente rompendo la crittografia asimmetrica (non simmetrica) odierna, come farai? (Io infatti preferisco la buona vecchia carta anche per questo sai...)

LucaTheHacker · 24 dic 2022

Entro un po' a gamba tesa, ma se qualcuno verrà impattato da questo breach, non sarà colpa di LastPass.

Sì, certo, le casseforti non dovevano finire in giro per il mondo, ma la sicurezza vera (e questo la gente non lo capisce) è nella password stessa.
È come mettere il cartello di vietato l'accesso su una porta, non sarà quello a proteggerti, ma la serratura che hai usato.

Se un'azienda poco intelligente ha permesso ai suoi dipendenti di usare una master password di 4 caratteri direi che la colpa è dell'azienda stessa, non di LastPass.

Sarebbe colpa di LastPass se avessero usato roba come AES-IGE (rimosso anche da OpenSSL per via dei problemi di sicurezza) o controlli via hash con md5/sha1, ma non mi sembra questo il caso.

Come al solito, la sicurezza è in mano all'utente finale, puoi metterci una pezza per migliorare la cosa, ma se l'utente è scemo, non c'è sicurezza che tenga. È come mettere una cassaforte da 20 milioni di euro in casa e poi tenere la chiave necessaria ad aprire tutto sotto al tappeto di casa.

simonebortolin · 24 dic 2022

LATIITAY Piu' che altro, non e' stata aggiornata insieme al codice

Perché forse l'implementazione di Donenfeld non è omnidiffusa e omnipresente, quindi è giusto così?

GGiann · 24 dic 2022

Curiosità che mi è venuta leggendo questo thread: ma invece usare il password manager che spesso si trova di default su alcune distro linux (tipo Mint e Ubuntu), che dovrebbe essere GNOME keyring, com'è? E in generale come sono applicazioni di quel tipo?

MMarco25 · 24 dic 2022

LATIITAY E cosi' facendo con master key + passphrase puoi anche cambiare password senza dover stare a rigenerare la cassaforte...

Questo puoi farlo anche senza usare due chiavi separate. Tipicamente infatti non si cripta direttamente con la password P1 dell'utente, ma si genera una chiave casuale C che cripta i dati, e poi si cripta C con P1. In questo modo per cambiare la password basta decriptare C e criptarla nuovamente con P2. Nella crittografia disco è standard.

LLATIITAY · 24 dic 2022

simonebortolin ah no, e' solo in Linux mainline e la stavano portando pure su qualche flavor di BSD, che vuoi che sia... O sara' che quelle man pages non vengono aggiornate da eoni (perche' la documentazione si e' spostata e ha cambiato formato varie volte, https://www.kernel.org/doc/) e pure se lo fossero non sono cmq aggiornati i siti che le indicizzano mettendoci sopra e sotto AdSense...

Marco25 si' appunto, a quello mi riferivo, e alla fine e' un sistema a doppia chiave (la seconda chiave viene generata dall'input utente, spesso con algoritmi a molte iterazioni tipo PBKDF2, e serve a decifrare la prima chiave, che e' la master key, che hai chiamato C). Mentre scrivevo pensavo proprio a com'e' implementato LUKS in effetti.

LucaTheHacker · 24 dic 2022

Marco25 Molti password manager rigenerano l'intera cassaforte invece, principalmente perché la chiave di cifratura è una derivata (vedasi KDF) della chiave privata (che potrebbe essere una password), senza altri tramiti.

GgiuseppeBG · 24 dic 2022

Quindi una Master Password composta da 20 caratteri (maiuscole minuscole speciali e numeri) è abbastanza sicura?
Nel senso che anche hackerando il database non riuscirebbero a decrifarla.

LLATIITAY · 24 dic 2022

giuseppeBG si', fintanto che la password non sia QWERTYuiop123456789! (20 caratteri, maiuscole minuscole speciali e numeri ) allora dovrebbe essere relativamente sicura...

LucaTheHacker · 24 dic 2022

giuseppeBG Se non è bucabile "via dizionario" o per dati noti (aka non è tipo nome_figliodata_figlio!anno_nascita), è abbastanza sicura.

Per dare un'idea