Bestandsencryptie reverse engineeren

Hoe zijn die bestanden geencrypt? Heb je dat zelf gedaan en ben je de sleutel kwijt? Is het een test van iemand anders of is het door malware gedaan? Als de encryptie goed is (een bekend, standaard algoritme) is er helemaal niets wat je kan doen. Het bezitten van decrypted bestanden zal je niet helpen. Als het malware was heb je pech, die encryptie is over het algemeen goed gedaan en je hebt de key niet.

Als het een home grown encryptie is (variant op simpele xor met vaste key of zo) kun je verschillende keys uitproberen met diverse lengtes om te zien of het ergens op gaat lijken. Momenteel is dit topic veel te vaag om iets zinvols te zeggen.

[ Voor 23% gewijzigd door Gerco op 14-07-2015 16:36 ]

Douweegbertje schreef op dinsdag 14 juli 2015 @ 17:00:
Het programma om het te decrypten heb ik wel maar dat gaat enorm ruk (lees: traag). Daarom wilde ik graag kijken of ik een eigen implementatie kan maken.

Men wilt echter geen informatie geven dan "het is een eigen encryptie in ons programma", dus achter de manier van encrypten ga ik niet via hun achter komen.

Kun je niet beter proberen om dat programma te decompilen?

Douweegbertje schreef op dinsdag 14 juli 2015 @ 17:00:
Het is geencrypt door 3e partij als zijnde hun file (storage) system. Hoe/wat/ etc is onbekend. Het programma om het te decrypten heb ik wel maar dat gaat enorm ruk (lees: traag). Daarom wilde ik graag kijken of ik een eigen implementatie kan maken.

Dan zou ik beginnen met hun implementatie te reverse-engineeren. Aan de invoer/gegenereerde uitvoer kun je praktisch niets afleiden.

Douweegbertje schreef op dinsdag 14 juli 2015 @ 17:00:
Het is geencrypt door 3e partij als zijnde hun file (storage) system. Hoe/wat/ etc is onbekend. Het programma om het te decrypten heb ik wel maar dat gaat enorm ruk (lees: traag). Daarom wilde ik graag kijken of ik een eigen implementatie kan maken.

Men wilt echter geen informatie geven dan "het is een eigen encryptie in ons programma", dus achter de manier van encrypten ga ik niet via hun achter komen.

Ehm...je realiseert je dat de traagheid van encryptie/decryptie juist bijdraagt aan hoe veilig die encryptie is? De kans is vrij groot dat het algoritme juist bewust zo traag is gemaakt en dat je het dus niet substantieel sneller gaat kunnen maken ongeacht hoeveel tijd je erin stopt. En stiekem moet je dat ook niet willen.

Als de encryptie extern gedaan is dan is het niet onwaarschijnlijk dat de encryptiesleutel "random" gebaseerd is op een mix van factoren welke alleen dáár bekend/aanwezig is. Soort van "Bitlocker" op leveranciers niveau.

Als het heel simpel is, dan is het een xor key. Die is simpel te herleiden.
Bestand en string versleutelen is exact hetzelfde.
Bestanden blijven dezelfde grootte, hieruit kun je misschien de blocksize van de encryptie afleiden.
Je hoeft niet de hele executable te reversen, je kunt zoeken op bekende gegevens, zoals s-box waardes voor verschillende algoritmes. Daar zijn ook tools voor.

Debuggen/reversen lijkt me verreweg het makkelijkst.

p.s. Waarom post je encrypted data in een heel ander formaat dan de decrypted data?

Kun je je bestanden ook decrypten op een machine welke volledig van een/het netwerk geïsoleerd is en/of nog nooit aan het netwerk gehangen heeft?

Als dat in beide gevallen het geval is dan moet je er, theoretisch gezien, uit kunnen komen met het de-compilen van de software en eventueel wat geheugendumps.

[ Voor 54% gewijzigd door Will_M op 14-07-2015 17:55 ]

Douweegbertje schreef op dinsdag 14 juli 2015 @ 17:55:
[...]

Geen idee. Als je hiermee bedoeld dat iets van het internet als entropie wordt gebruikt tenminste dan?

Dat gaat er natuurlijk over of de key via internet opgehaald wordt (misschien zelfs per bestand) of dat de key lokaal in het programma aanwezig is.

Kan je zelf ook bestanden encrpypten?
Dan zou je misschien wat dingen kunnen afleiden, als je bv een bestand met 16 0-en of zo daar doorheen haalt

Douweegbertje schreef op dinsdag 14 juli 2015 @ 17:55:
Dat is het verschil tussen een ecrypted en decrypted bestand

Uhm, wil je beweren dat de ontcijferde variant een tekstbestand is met hexadecimale cijfers erin? In dat geval is het geen TIF bestand.

Het lijkt me sowieso handig om encrypted data hexadecimaal weer te geven, anders gaat er geheid informatie verloren bij het posten.

Kijk in de input en de output naar patronen : ik zie in je input bijv &#8222 en verder &#8212 en er zijn er nog meer. Kun je dat matchen met iets in de output, iets dat een vergelijkbaar patroon heeft?

Theorie en praktijk liggen hier niet ver uit elkaar, maar de hoeveelheid werk, tijd en CPU cycles die hier bij komt kijken is best groot. Mocht dat je niet afschrikken dan kan je de volgende dingen in het kader van bruteforcen proberen:

• CCA -
  Het komt er op neer dat je een geautomatiseerde procedure maakt die verschillende datasets aanbied aan het decrypt algoritme, en hier net zo lang mee doorgaat totdat er een (deels) leesbare output uit komt. De uitkomst daarvan kan je een hoop vertellen over het algoritme. Stel je voor dat er een header of zelfs meerdere headers zichtbaar worden. Misschien zie je op een grotere schaal wel een patroon verschijnen en kan je zo zien hoe groot alle blocks zijn. Met die gegevens alleen al kan je de tijd die het kost om een aanval uit te voeren drastisch verkleinen. Je hebt echt analytisch vermogen nodig en met grote sets durven werken om hier iets mee te kunnen.
• CPA -
  Indien je een kleine attack vector heb, kan je a lá rainbow table een procedure loslaten op het encrypt algoritme die net zo lang door gaat tot de ciphertext gelijk is aan de block die je hebt weten te vinden. Dan heb je dus de sleutel te pakken.

Als encryptie van bestanden een 'bijproduct' van een applicatie is wordt er vaak gekozen voor een eenvoudig algoritme en meestal symmetrisch. Dat betekent dat decryptie hetzelfde is als encryptie, m.a.w. 2 x encrypten van dezelfde string levert weer plaintext op. RC4 is een implementatie van dit principe. Je zou eens een plaintext 2x kunnen decrypten (want dat kan je wel) met dezelfde sleutel en kijken of je weer een leesbaar bestand hebt.

[ Voor 2% gewijzigd door Bodevinaat op 16-07-2015 10:53 . Reden: Typo ]

Inderdaad beginnen met een bestand van 16 0x00 bytes of zo, dan een bestandje met de laatste 0x01 en een bestandje met de eerste byte 0x01 en kijken wat er uit komt.
Als het een simpele XOR is, dan lijken de berichten op elkaar, zo niet, zal er waarschijnlijk een stream cipher gebruikt zijn.
Verder kun je het decryptie programma eens in een notepad achtig ding openen en kijken wat er allemaal aan leesbare tekst langs komt.
Of eens zoeken naar stream ciphers strings (RC4, AES, enz)
Met een beetje freewheelen, krijg je misschien al een idee van de complexiteit
En afhankelijk van de taal waarin het pakketje geschreven is, kun je er altijd nog een decompiler op los laten.

Douweegbertje schreef op dinsdag 14 juli 2015 @ 17:00:
Het is geencrypt door 3e partij als zijnde hun file (storage) system. Hoe/wat/ etc is onbekend. Het programma om het te decrypten heb ik wel maar dat gaat enorm ruk (lees: traag). Daarom wilde ik graag kijken of ik een eigen implementatie kan maken.

Hoe traag is traag? Hangt dat sterk af van het formaat van het bestand?

Men wilt echter geen informatie geven dan "het is een eigen encryptie in ons programma", dus achter de manier van encrypten ga ik niet via hun achter komen.

Dan blijven cryptanalyse (nst6ldr gaf daar wat pointers voor) en reverse engineering (zoals al een paar keer gesuggereerd hier) over.

NMe schreef op dinsdag 14 juli 2015 @ 17:08:
Ehm...je realiseert je dat de traagheid van encryptie/decryptie juist bijdraagt aan hoe veilig die encryptie is? De kans is vrij groot dat het algoritme juist bewust zo traag is gemaakt en dat je het dus niet substantieel sneller gaat kunnen maken ongeacht hoeveel tijd je erin stopt. En stiekem moet je dat ook niet willen.

Dat is niet waar. Je bent in de war met password hashing, dat wel met opzet traag wordt gemaakt.

Encryptie moet juist zo snel mogelijk zijn, zodat het gebruik zo min mogelijk in de weg zit. Encryptie die niet gebruikt wordt omdat hij te traag is (en denk niet alleen aan PCs, maar bv ook aan smartcards waar elke bit telt) is nutteloos. Encryptie wordt daarom altijd ontworpen om zo snel mogelijk te zijn.

Het heeft ook echt bizar weinig zin om encryptie traag te maken; je kunt dan beter de key length een beetje vergroten. 10 extra bits aan "cryptographic strength" toevoegen (wat bij een goede symmetrische cipher neerkomt op 10 bits toevoegen aan de key) maakt brute-force een factor 1024 trager. Dat beschermt dus evenveel tegen aanvallers als de encryptie 1024 keer zo traag maken, waar ook legitieme gebruikers last van hebben.

Bodevinaat schreef op donderdag 16 juli 2015 @ 10:49:
Als encryptie van bestanden een 'bijproduct' van een applicatie is wordt er vaak gekozen voor een eenvoudig algoritme en meestal symmetrisch. Dat betekent dat decryptie hetzelfde is als encryptie, m.a.w. 2 x encrypten van dezelfde string levert weer plaintext op.

Dat is niet waar. Symmetrische encryptie betekent alleen dat de encryption key hetzelfde is als de decryption key (en eigenlijk niet eens dat, maar dat de twee keys direct van elkaar af te leiden zijn).

AES bijvoorbeeld verschilt in encryptie en decryptie, maar dat is toch echt een symmetrische cipher.

Vaan Banaan schreef op donderdag 16 juli 2015 @ 14:16:
Of eens zoeken naar stream ciphers strings (RC4, AES, enz)

AES is geen stream cipher, maar een block cipher.