0×00 漏洞概述

Android 4.4之前版本的Java加密架構(JCA)中使用的Apache Harmony 6.0M3及其之前版本的SecureRandom實現存在安全漏洞，具體位于classlib/modules/security/src/main/java/common/org/apache/harmony/security/provider/crypto/SHA1PRNG_SecureRandomImpl.java文件的engineNextBytes函數里。當用戶沒有提供用于產生隨機數的種子時，程序不能正確調整偏移量，導致偽隨機數生成器(PRNG)生成隨機序列的過程可被預測。漏洞文件參見文后鏈接1。

0×01 漏洞影響

2013年8月份的比特幣應用被攻擊也與這個漏洞相關。比特幣應用里使用了ECDSA算法，這個算法需要一個隨機數來生成簽名，然而生成隨機數的算法存在本文提到的安全漏洞。同時這個ECDSA算法本身也有漏洞，在這個事件之前索尼的PlayStation 3 master key事件也是利用的這個算法漏洞。

本文主要介紹SecureRandom漏洞，關于ECDSA算法漏洞讀者可以自行閱讀下面的資料：

ECDSA算法的細節:

http://en.wikipedia.org/wiki/Elliptic_Curve_Digital_Signature_Algorithm#Security

防范措施：

http://tools.ietf.org/html/rfc6979

Google group上關于PlayStation 3 master key事件如何利用ECDSA算法漏洞獲取私鑰的討論:

https://groups.google.com/forum/?fromgroups=#!topic/sci.crypt/3isJl28Slrw

0×02 SecureRandom技術實現

在java里，隨機數是通過一個初始化種子來生成的。兩個PRNG實例，如果使用相同的種子來初始化，就會得到相同的隨機序列。Java Cryptography Architecture里提供了幾個加密強度更大的PRNGs，這些PRNGs都是通過SecureRandom接口實現的。

java.security.SecureRandom這個類本身并沒有實現偽隨機數生成器，而是使用了其他類里的實現。因此SecureRandom生成的隨機數的隨機性、安全性和性能取決于算法和熵源的選擇。

控制SecureRandom API的配置文件位于$JAVA_HOME/jre/lib/security/java.security。比如我們可以配置該文件里的securerandom.source屬性來指定SecureRandom中使用的seed的來源。比如使用設備相關的源，可以這樣設置：

securerandom.source=file:/dev/urandom

securerandom.source=file:/dev/random

關于SecureRandom具體技術細節，可參看文后參考鏈接2。

現在重點看下SecureRandomSpi抽象類，文件見鏈接3。該抽象類為SecureRandom類定義了功能接口,里面有三個抽象方法engineSetSeed,engineGenerateSeed,and engineNextBytes。如果Service Provider希望實現加密強度較高的偽隨機數生成器，就必須實現這三個方法。

然而Apache Harmony 6.0M3及其之前版本的SecureRandom實現中engineNextBytes函數存在安全漏洞。

0×03 Apache Harmony’s SecureRandom實現

Apache Harmony 是2005年以Apache License發布的一個開源的java核心庫。雖然2011年以后已宣布停產，但是這個項目作為Google Android platform的一部分繼續被開發維護。

Apache Harmony's SecureRandom實現算法如下：

Android里的PRNG使用SHA-1哈希算法、由操作系統提供的設備相關的種子來產生偽隨機序列。隨機數是通過三部分(即seed+counter+ padding)反復哈希求和計算產生的。算法如下圖

其中計數器counter從0開始，算法每運行一次自增一。counter和padding部分都可以稱為buffer。Padding遵守SHA-1的填充格式：最后的8 byte存放要hash的值的長度len，剩下的部分由一個1，后面跟0的格式進行填充。最后返回Hash后的結果，也就是生成的偽隨機序列。

0×04 Apache Harmony’s SecureRandom漏洞細節

當使用無參構造函數創建一個SecureRandom實例，并且在隨后也不使用setSeed()進行初始化時,插入一個起始值后，代碼不能正確的調整偏移量(byte offset,這個offset是指向state buffer的指針)。這導致本該附加在種子后面的計數器(8 byte)和padding(起始4 byte)覆蓋了種子的起始12 byte。熵的剩下8 byte(20 byte的種子中未被覆蓋部分),使得PRNG加密應用無效。

在信息論中，熵被用來衡量一個隨機變量出現的期望值。熵值越低越容易被預測。熵值可以用比特來表示。關于熵的知識請參考：http://zh.wikipedia.org/wiki/熵_(信息論)

下面這張圖可以形象的表述這個過程：

0×05 漏洞修復

Google已經發布了patch。看下Diff文件：

https://android.googlesource.com/platform/libcore/+/ab6d7714b47c04cc4bd812b32e6a6370181a06e4%5E%21/#F0

修復前：

修復后：

發現fix文件里在調用完updateSeed函數更新之后，重新讀了下seed 的last word。

對于普通開發者來講，可以使用下面鏈接中的方式進行修復。

http://android-developers.blogspot.com.au/2013/08/some-securerandom-thoughts.html

0×06 參考鏈接

(1)https://android.googlesource.com/platform/libcore/+/kitkat-release/luni/src/main/java/org/apache/harmony/security/provider/crypto/SHA1PRNG_SecureRandomImpl.java

(2)http://resources.infosecinstitute.com/random-number-generation-java/

(3)http://developer.android.com/reference/java/security/SecureRandomSpi.html

(4)http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-7372

(5)http://android-developers.blogspot.com.au/2013/08/some-securerandom-thoughts.html