S'ha revelat informació sobre una nova vulnerabilitat en el protocol TLS, el nom en codi és «Raccoon Attack»i que permet, en rares circumstàncies, determinar una clau primària preliminar que es pot usar per desxifrar connexions TLS, inclòs HTTPS a l'interceptar el tràfic de trànsit (MITM).
De la informació que es va donar a conèixer, s'esmenta que l'atac és molt difícil d'implementar a la pràctica i és de naturalesa més teòrica. Un atac requereix una configuració específica de servidor TLS i la capacitat de mesurar amb molta precisió el temps de processament de les operacions per part de servidor.
El problema està present directament a l'especificació TLS i només afecta les connexions que utilitzen xifrats basats en el protocol d'intercanvi de claus D.H.
Els xifrats ECDH no manifesten el problema i segueixen sent segurs. Només els protocols TLS fins a la versió 1.2 inclosa són vulnerables i el protocol TLS 1.3 no es veu afectat i la vulnerabilitat es manifesta en les implementacions de TLS que reutilitzen la clau secreta DH en diferents connexions TLS.
En OpenSSL 1.0.2e i versions anteriors, la clau DH es reutilitza en totes les connexions de servidor, Llevat que l'opció SSL_OP_SINGLE_DH_USE estigui establerta explícitament.
Mentre que des OpenSSL 1.0.2f, la clau DH es reutilitza només quan s'utilitzen xifrats DH estàtics. En OpenSSL 1.1.1, la vulnerabilitat no es manifesta per si mateixa, ja que aquesta branca no fa servir la clau DH primària i no fa servir xifrats DH estàtics.
Quan s'utilitza el mètode d'intercanvi de claus DH, banda i banda de la connexió generen claus privades aleatòries (d'ara endavant, clau «a» i clau «b»), sobre la base de les quals es calculen i envien les claus públiques (ga mod pigbmod p).
Després de rebre les claus públiques, cada part calcula clau principal comuna (gab mod p), que s'utilitza per generar claus de sessió.
l'atac Raccoon permet determinar la clau primària mitjançant l'anàlisi de la informació a través de canals laterals, partint de el fet que les especificacions TLS fins a la versió 1.2 requereixen que tots els bytes zero inicials de la clau primària siguin descartats abans dels càlculs amb la seva participació.
La inclusió de la clau primària truncada es passa a la funció de generació de claus de sessió basada en funcions hash amb diferents retards a l'processar diferents dades.
Mesurar amb precisió el temps de les operacions clau realitzades pel servidor permet a un atacant identificar pistes que proporcionen una forma de jutjar si la clau principal comença en zero o no. Per exemple, un atacant pot interceptar la clau pública (ga) Enviada pel client, enviar-la a l'servidor i determinar si la clau primària resultant comença amb zero.
Per si mateixa, la definició d'un byte de la clau no dóna res, però, interceptant el valor «ga»transmès pel client durant la negociació de la connexió, l'atacant pot formar un conjunt d'altres valors relacionats amb «ga»I enviar-los a l'servidor en sessions de negociació de connexió separades.
A l'formar i enviar els valors «gri*ga«, L'atacant pot, mitjançant l'anàlisi de canvis en els retards de resposta de servidor, determinar els valors que condueixen a la recepció de claus primàries a partir de zero. Amb aquests valors determinats, l'atacant pot compondre un conjunt d'equacions per resoldre el problema de l'nombre ocult i calcular la clau primària original.
La vulnerabilitat d'OpenSSL es va qualificar de gravetat baixa, I la solució va ser moure els xifrats problemàtics «TLS_DH_ *» en la versió 1.0.2w a la categoria «xifrats febles» que estava desactivada per defecte. Els desenvolupadors de Mozilla van fer el mateix a l'deshabilitar els conjunts de xifrat DH i DHE a la biblioteca NSS utilitzada en Firefox.
Per separat, hi ha problemes addicionals a la pila TLS de dispositius F5 BIG-IP que fan que l'atac sigui més realista.
En particular, es van trobar desviacions en el comportament de dispositius amb un byte zero a l'començament de la clau primària, que es poden usar en lloc de mesurar la latència exacta en els càlculs.
font: https://raccoon-attack.com/