基于OpenSSL密码软件的SM2算法加解密漏洞分析

doi:10.3969/j.issn.1671-1122.2022.11.006

信息网络安全 ›› 2022, Vol. 22 ›› Issue (11): 47-54.doi: 10.3969/j.issn.1671-1122.2022.11.006

基于OpenSSL密码软件的SM2算法加解密漏洞分析

刘振亚¹^,², 林璟锵¹^,²^,³()

1. 中国科学技术大学，合肥 230027
2. 电磁空间信息重点实验室，合肥 230027
3. 北京中科研究院，北京 100193

收稿日期:2022-06-21 出版日期:2022-11-10 发布日期:2022-11-16
通讯作者: 林璟锵 E-mail:linjq@ustc.edu.cn
作者简介:刘振亚（1998—），男，安徽，硕士研究生，主要研究方向为车联网安全|林璟锵（1978—），男，福建，教授，博士，主要研究方向为密码工程
基金资助:
国家重点研发计划(2020YFB1005803)

Analysis of SM2 Encryption and Decryption Vulnerability in OpenSSL

LIU Zhenya¹^,², LIN Jingqiang¹^,²^,³()

1. University of Science and Technology, Hefei 230027, China
2. Key Laboratory of Electromagnetic Space Information, Hefei 230027, China
3. Beijing Research Institute of USTC, Beijing 100193, China

Received:2022-06-21 Online:2022-11-10 Published:2022-11-16
Contact: LIN Jingqiang E-mail:linjq@ustc.edu.cn

摘要/Abstract

摘要：

OpenSSL是一个广泛应用的开源库。2021年8月26日OpenSSL修补了一个缓冲区溢出漏洞，造成该漏洞的原因是SM2算法解密函数计算出的缓冲区可能小于实际的明文大小。文章首先结合OpenSSL源码，对缓冲区溢出的原理进行深入分析；然后根据溢出原理，对溢出攻击的可行性进行分析；最后设计实验对溢出攻击进行验证。由于SM2解密函数计算用于容纳明文的缓冲区大小时，没有考虑椭圆曲线上点的编码问题，当编码长度小于计算函数中的预设值时，就会导致缓冲区小于实际明文大小。攻击者根据这一特性可以快速穷举计算获取合适的椭圆曲线点，进而构造合适的密文进行缓冲区溢出攻击；并且能够使用同一个椭圆曲线点对持有不同公私钥对的SM2解密方进行缓冲区溢出攻击。

关键词: OpenSSL, SM2加解密接口, 缓冲区溢出, 漏洞分析

Abstract:

OpenSSL is a popular open source library for cryptography. On August 26,2021 a buffer overflow vulnerability was patched in OpenSSL, which is caused by the fact that the buffer size calculated by the SM2 decryption function could be smaller than the actual plaintext size. This paper firstly analyzed the principle of buffer overflow based on the OpenSSL source code, and then analyzed the feasibility of overflow attack according to the overflow principle. Finally this paper designed an experiment to verify the feasibility of overflow attack. It’s concluded that when SM2 decryption function calculates the size of the buffer to accommodate the plaintext, it doesn’t consider the encoding of the points on the elliptic curve, when the encoding length is smaller than the preset length, resulting in the buffer size being smaller than the actual plaintext size. Attacker can obtain appropriate points by exhaustion and further construct appropriate ciphertext for buffer overflow attack according the above feature and can use the same point to perform buffer overflow attacks on SM2 decryptors holding different key pairs.

Key words: OpenSSL, SM2 encryption and decryption interface, buffer overflow, vulnerability analysis

中图分类号:

TP309

刘振亚, 林璟锵. 基于OpenSSL密码软件的SM2算法加解密漏洞分析[J]. 信息网络安全, 2022, 22(11): 47-54.

LIU Zhenya, LIN Jingqiang. Analysis of SM2 Encryption and Decryption Vulnerability in OpenSSL[J]. Netinfo Security, 2022, 22(11): 47-54.

图/表 14

图1

图2

图3

图4

图5

图6

图7

表1

表2

表3

表4

表5

表6

表7

参考文献 12

[1]	OpenSSL. OpenSSL Technical Committee: OpenSSL Project[EB/OL]. [2022-05-27]. .
[2]	MITRE Corporation. CVE-2021-3711[EB/OL]. (2021-08-24) [2022-06-16] .
[3]	GM/T 0003. 4-2012. Public Key Cryptographic Algorithm SM2 Based on Elliptic Curves-Part 4: Public Key Encryption Algorithm[S].BeiJing: China Cryptography Administration, 2012.
	GM/T 0003.4-2012. 椭圆曲线公钥密码算法第4部分:公钥加密算法[S]. 北京: 国家密码管理局, 2012.
[4]	DU Wenliang. Computer Security: A Hands-On Approach[M]. BeiJing: Higher Education Press, 2020.
	杜文亮. 计算机安全导论[M]. 北京: 高等教育出版社, 2020.
[5]	MITRE Corporation. CVE-2010-1633[EB/OL]. (2010-06-03)[2022-06-16]. .
[6]	MITRE Corporation. CVE-2016-3959[EB/OL]. (2016-05-23)[2022-06-16]. .
[7]	MITRE Corporation. CVE-2018-0734[EB/OL]. (2018-10-30)[2022-06-16]. .
[8]	MITRE Corporation. CVE-2018-0735[EB/OL]. (2018-10-29)[2022-06-16]. .
[9]	MITRE Corporation. CVE-2021-43570[EB/OL]. (2021-11-09)[2022-06-16]. .
[10]	RANDAL E B, HALLARON D R. Computer Systems: A Programmer’s Perspective Third Edition[M]. BeiJing: China Machine Press, 2016.
	兰德尔, 奥哈拉伦. 深入理解计算机系统[M]. 北京: 机械工业出版社, 2016.
[11]	DHAVAL K. Heap-Exploitation[EB/OL]. [2022-06-16].
[12]	BARKER E, KELSEY J. NIST SP 800-90 A Rev. 1 Recommendation for Random Number Generation Using Deterministic Random Bit Generators[EB/OL]. [2022-06-10]. https://dl.acm.org/doi/book/10.5555/2206302.

参数	值
k	D0FC16B7 3D959BC1 66805B1E 2B6A4498 4B99687A 94062E81 6C9F138F A069939A
x	004F6B14 71481291 A43E0B85 6A219E1A 0DB747BC 8B4DBB7C C5AA9158 1AA504E4
y	116A87CF 7F66BF5D DFEF744A 93AC0936 0EA509FA A1668244 FB9B7DBC E607219C
穷举次数/次	56
穷举时间/s	0.0054

实验次数	穷举次数/次	穷举时间/s
1	82	0.070
2	171	0.140
3	146	0.121
4	70	0.062
5	43	0.042

参数	值
k	A2E52B39 D94CE870 9587FE69 BFA4D7AD 754DFE96 435A1284 40B72BB4 FB57820A
x	003AFCB4 ECA4FF01 8AACCA4D 67E5B7D8 D1BB0071 B90E66F9 606086F5 0D7F0625
y	016653D5 8976D00C 51E7A2AC 6C835D3F 33D4C0BA B68D24DC 24FFC031 50ABEF50
穷举次数/次	13846
穷举时间/s	10.612

参数	值
k	66BC2D4E 6ED17E54 B9F832D4 4E358BA9 A94EC4CE B021BA49 DE070E5E E705F3FC
x	00000279 6C494931 16949F0C BC41EAA8 6816862E 44C93AC5 69D1CA91 90A98366
y	1197820B 6DF502FF 677341F7 DA4B5A4B 227807E1 2C0CE791 057184FE EFF010DE
穷举次数/次	2209316
穷举时间/s	1712.480

基于OpenSSL密码软件的SM2算法加解密漏洞分析

Analysis of SM2 Encryption and Decryption Vulnerability in OpenSSL

RichHTML

PDF (PC)

可视化

摘要/Abstract

引用本文

使用本文

图/表 14

参考文献 12

相关文章 10

编辑推荐

Metrics

本文评价

[1]	刘翎翔, 潘祖烈, 李阳, 李宗超. 基于前后端关联性分析的固件漏洞静态定位方法[J]. 信息网络安全, 2022, 22(8): 44-54.
[2]	朱丽娜, 马铭芮, 朱东昭. 基于图神经网络和通用漏洞分析框架的C类语言漏洞检测方法[J]. 信息网络安全, 2022, 22(10): 59-68.
[3]	王开轩, 滕亚均, 王琼霄, 王伟. 隐式证书的国密算法应用研究[J]. 信息网络安全, 2021, 21(5): 74-81.
[4]	许子先, 罗建, 孟楠, 赵相楠. 工业控制系统组态软件安全研究[J]. 信息网络安全, 2017, 17(7): 73-79.
[5]	彭建山, 奚琪, 王清贤. 二进制程序整型溢出漏洞的自动验证方法[J]. 信息网络安全, 2017, 17(5): 14-21.
[6]	. 基于Windows的CSRSS进程漏洞分析与利用[J]. , 2014, 14(7): 20-.
[7]	孟正, 曾天宁, 马洋洋, 文伟平. 典型Adobe Flash Player漏洞简介与原理分析[J]. 信息网络安全, 2014, 15(10): 31-37.
[8]	高传平;赵利军;谈利群. 缓冲区溢出的软件安全性测试技术研究[J]. , 2012, 12(8): 0-0.
[9]	李振汕. 缓冲区溢出类黑客攻击与防御措施研究[J]. , 2010, (4): 0-0.
[10]	周虎生;文伟平. 基于Windows平台的RPC缓冲区溢出漏洞研究[J]. , 2009, 9(5): 0-0.