Informacije o nova ranjivost u TLS protokolu, kodnog imena "Napad rakuna"i što omogućava, u rijetkim okolnostima, određivanje ključa preliminarni primarni koji se mogu koristiti za dešifriranje TLS veza, uključujući HTTPS prilikom presretanja tranzitnog prometa (MITM).
Iz objavljenih informacija, Spominje se da je napad vrlo teško implementirati u praksi i da je više teoretske prirode. Napad zahtijeva specifičnu konfiguraciju TLS poslužitelja i sposobnost vrlo preciznog mjerenja vremena obrade operacija od strane poslužitelja.
Problem je prisutan direktno u specifikaciji TLS i utječe samo na veze koje koriste šifriranje na osnovu protokola za razmjenu ključeva dh.
ECDH šifre ne pokazuju problem i oni ostaju na sigurnom. Samo su TLS protokoli do uključujući i verziju 1.2 ranjivi, a protokol TLS 1.3 nije pogođen, a ranjivost se očituje u implementacijama TLS-a koje ponovo koriste DH tajni ključ na različitim TLS vezama.
U OpenSSL 1.0.2e i starijim verzijama, ključ DH se ponovo koristi na svim poslužiteljskim vezama, osim ako je izričito postavljena opcija SSL_OP_SINGLE_DH_USE.
Dok se od OpenSSL 1.0.2f, DH ključ ponovo koristi samo kada se koriste statične DH šifre. U OpenSSL 1.1.1, ranjivost se ne očituje, jer ova grana ne koristi primarni DH ključ i ne koristi statičke DH šifre.
Kada se koristi metoda razmjene DH ključeva, obje strane veze generiraju nasumične privatne ključeve (u daljnjem tekstu, ključ "a" i ključ "b"), na osnovu kojih se javni ključevia mod pygbmod p).
Nakon primanja javnih ključeva, svaka strana izračunava zajednički primarni ključ (gab mod p), koji se koristi za generiranje sesijskih ključeva.
Napad Rakun vam omogućava da odredite primarni ključ raščlanjivanjem informacija kroz bočne kanale, pod pretpostavkom da TLS specifikacije do verzije 1.2 zahtijevaju odbacivanje svih vodećih nula bajtova primarnog ključa prije izračuna s vašim sudjelovanjem.
Uključivanje skraćenog primarnog ključa prenosi se na funkciju generiranja ključa sesije zasnovanu na hash funkciji s različitim kašnjenjima pri obradi različitih podataka.
Tačno određivanje vremenskih operacija ključeva koje izvodi poslužitelj omogućava napadaču da identificira tragove koji pružaju način da procijene da li primarni ključ započinje s nulom ili ne. Na primjer, napadač može presresti javni ključ (ga) koju je poslao klijent, proslijedite ga serveru i utvrdite da li rezultirajući primarni ključ započinje nulom.
Sama, definiranje bajta ključa ne daje ništa, ali presretanje vrijednosti «ga»Preneseno od strane klijenta tokom pregovora o vezi, napadač može formirati skup drugih srodnih vrijednosti sa «ga»I pošaljite ih serveru u odvojenim sesijama pregovaranja o vezi.
Formiranjem i slanjem vrijednosti «gri*ga«, Napadač može, analizom promjena u kašnjenju odgovora servera, odrediti vrijednosti koje dovode do primanja primarnih ključeva počevši od nule. Kada se ove vrijednosti utvrde, napadač može sastaviti skup jednadžbi za rješavanje problema sa skrivenim brojem i izračunati izvorni primarni ključ.
Ranjivost OpenSSL-a ocijenjena je niskom ozbiljnošću, a rješenje je bilo premještanje problematičnih šifri "TLS_DH_ *" u verziji 1.0.2w u kategoriju "slabe šifre" koja je prema zadanim postavkama onemogućena. Programeri Mozille učinili su isto onemogućivši pakete DH i DHE šifri u NSS biblioteci koja se koristi u Firefoxu.
Odvojeno, postoje dodatni problemi u TLS stogu F5 BIG-IP uređaja koji čine napad realističnijim.
Konkretno, utvrđena su odstupanja u ponašanju uređaja s nultim bajtom na početku primarnog ključa, koji se mogu koristiti umjesto mjerenja tačne kašnjenja u proračunima.
Izvor: https://raccoon-attack.com/