Tietoa uusi haavoittuvuus TLS-protokollassa, koodinimeltään "Pesukarhu hyökkäys"ja jonka avulla harvinaisissa olosuhteissa voidaan määrittää avain alustava ensisijainen jota voidaan käyttää TLS-yhteyksien salauksen purkamiseen, mukaan lukien HTTPS, kun siepataan kauttakulkuliikennettä (MITM).
Julkaisemien tietojen perusteella Mainitaan, että hyökkäystä on hyvin vaikea toteuttaa käytännössä ja se on luonteeltaan teoreettisempi. Hyökkäys vaatii tietyn TLS-palvelimen kokoonpanon ja kyvyn mitata palvelimen suorittamien toimintojen käsittelyaika erittäin tarkasti.
Ongelma on läsnä suoraan eritelmään TLS ja vaikuttaa vain yhteyksiin, jotka käyttävät salausta avaimenvaihtoprotokollan perusteella dh.
ECDH-salaukset eivät ilmene ongelmaa ja ne pysyvät turvassa. Vain TLS-protokollat versioon 1.2 saakka ovat haavoittuvia, eikä TLS 1.3 -protokolla vaikuta, ja haavoittuvuus ilmenee TLS-toteutuksissa, jotka käyttävät DH: n salaista avainta uudelleen eri TLS-yhteyksissä.
OpenSSL 1.0.2e: ssä ja aiemmissa versioissa avain DH: ta käytetään uudelleen kaikissa palvelinyhteyksissä, ellei SSL_OP_SINGLE_DH_USE-vaihtoehtoa ole nimenomaisesti asetettu.
Kun taas OpenSSL 1.0.2f: n jälkeen DH-avainta käytetään uudelleen vain käytettäessä staattisia DH-salauksia. OpenSSL 1.1.1: ssä haavoittuvuus ei ilmene, koska tämä haara ei käytä ensisijaista DH-avainta eikä staattisia DH-salauksia.
Kun käytetään DH-avaimenvaihtomenetelmää, yhteyden molemmat puolet muodostavat satunnaiset yksityiset avaimet (jäljempänä avain "a" ja avain "b"), joiden perusteella julkiset avaimet (ga mod pygbmod p).
Saatuaan julkiset avaimet kukin osapuoli laskee yhteisen ensisijaisen avaimen (gab mod p), jota käytetään istuntoavainten luomiseen.
Hyökkäys Pesukarhu antaa sinun määrittää ensisijaisen avaimen jäsentämällä tiedoista sivukanavien kautta, alkaen siitä, että TLS-määritykset versioon 1.2 edellyttävät, että kaikki ensisijaisen avaimen nollatavut hävitetään ennen laskelmia, joihin osallistut.
Katkaistun ensisijaisen avaimen sisällyttäminen siirretään hash-toimintoon perustuvaan istuntoavaimen luontitoimintoon erilaisilla viiveillä erilaisten tietojen käsittelyssä.
Palvelimen suorittamat avaimen tarkat ajoitukset antavat hyökkääjälle mahdollisuuden tunnistaa vihjeitä, jotka antavat tavan arvioida, alkaako ensisijainen avain nollasta vai ei. Hyökkääjä voi esimerkiksi siepata julkisen avaimen (ga), jonka asiakas on lähettänyt, välitä se palvelimelle ja selvitä, aloitetaanko tuloksena oleva ensisijainen avain nollalla.
Itsekseen, avaimen tavun määritteleminen ei anna mitään, Pero sieppaamalla arvo «ga»Lähetetty jonka asiakas on neuvotellut yhteyden muodostamisesta, hyökkääjä voi muodostaa joukon muita siihen liittyviä arvoja näppäimellä «ga»Ja lähetä ne palvelimelle erillisissä yhteysneuvotteluissa.
Muodostamalla ja lähettämällä arvot «gri*ga«, Hyökkääjä voi, analysoimalla palvelimen vastausviiveiden muutokset, määrittää arvot, jotka johtavat ensisijaisten avainten vastaanottamiseen nollasta alkaen. Kun nämä arvot on määritetty, hyökkääjä voi laatia yhtälöjoukon piilotetun numeron ongelman ratkaisemiseksi ja alkuperäisen ensisijaisen avaimen laskemiseksi.
OpenSSL-haavoittuvuus arvioitiin vähäiseksi, ja ratkaisu oli siirtää ongelmalliset "TLS_DH_ *" -salakkeet versiossa 1.0.2w "heikkoihin salauksiin", joka oli oletusarvoisesti poissa käytöstä. Mozillan kehittäjät tekivät saman poistamalla DH- ja DHE-salauspaketit käytöstä Firefoxissa käytetyssä NSS-kirjastossa.
Erikseen F5 BIG-IP -laitteiden TLS-pinossa on lisäongelmia, jotka tekevät hyökkäyksestä realistisemman.
Erityisesti poikkeamia havaittiin niiden laitteiden käyttäytymisessä, joissa ensisijaisen avaimen alussa on nolla tavua, joita voidaan käyttää sen sijaan, että mitattaisiin tarkkaa viivettä laskelmissa.
lähde: https://raccoon-attack.com/