Raccoon: une vulnérabilité en TLS qui permet la détermination des clés pour les connexions DH

Darkcrizt

Minutes 4

Attaque de raton laveur

Des informations sur une nouvelle vulnérabilité dans le protocole TLS, nom de code "Attaque de raton laveur»Et qui permet, dans de rares circonstances, de déterminer une clé primaire préliminaire qui peut être utilisé pour décrypter les connexions TLS, y compris HTTPS lors de l'interception du trafic de transit (MITM).

D'après les informations qui ont été publiées, Il est mentionné que l'attaque est très difficile à mettre en œuvre dans la pratique et est de nature plus théorique. Une attaque nécessite une configuration de serveur TLS spécifique et la capacité de mesurer très précisément le temps de traitement des opérations par le serveur.

Le problème est présent directement dans le cahier des charges TLS et n'affecte que les connexions utilisant le cryptage basé sur le protocole d'échange de clés D.H.

Les chiffrements ECDH ne manifestent pas le problème et ils restent en sécurité. Seuls les protocoles TLS jusqu'à et y compris la version 1.2 sont vulnérables et le protocole TLS 1.3 n'est pas affecté et la vulnérabilité se manifeste dans les implémentations TLS qui réutilisent la clé secrète DH sur différentes connexions TLS.

Dans OpenSSL 1.0.2e et les versions antérieures, la clé DH est réutilisé sur toutes les connexions serveur, sauf si l'option SSL_OP_SINGLE_DH_USE est explicitement définie.

Alors que depuis OpenSSL 1.0.2f, la clé DH n'est réutilisée que lors de l'utilisation de chiffrements DH statiques. Dans OpenSSL 1.1.1, la vulnérabilité ne se manifeste pas, car cette branche n'utilise pas la clé DH primaire et n'utilise pas de chiffrements DH statiques.

Lors de l'utilisation de la méthode d'échange de clés DH, les deux côtés de la connexion génèrent des clés privées aléatoires (ci-après, clé "a" et clé "b"), sur la base desquelles les clés publiques (ga  mod pygbmod p).

Après avoir reçu les clés publiques, chaque partie calcule une clé primaire commune (gab mod p), qui est utilisé pour générer des clés de session.

L'attaque Raccoon vous permet de déterminer la clé primaire grâce à l'analyse des informations à travers des canaux latéraux, à partir du fait que les spécifications TLS jusqu'à la version 1.2 exigent que tous les octets zéro de tête de la clé primaire soient supprimés avant les calculs avec votre participation.

L'inclusion de la clé primaire tronquée est transmise à la fonction de génération de clé de session basée sur la fonction de hachage avec différents délais lors du traitement de différentes données.

La synchronisation précise des opérations de clé effectuées par le serveur permet à un attaquant d'identifier des indices qui fournissent un moyen de juger si la clé primaire commence à zéro ou non. Par exemple, un attaquant peut intercepter la clé publique (ga) envoyé par le client, transférez-le au serveur et déterminez si la clé primaire résultante commence par zéro.

Par elle-même, définir un octet de la clé ne donne rien, mais intercepter la valeur «ga"Transmis par le client lors de la négociation de la connexion, l'attaquant peut former un ensemble d'autres valeurs liées avec «ga»Et envoyez-les au serveur dans des sessions de négociation de connexion séparées.

En formant et en envoyant les valeurs «gri*ga«, L'attaquant peut, en analysant l'évolution des délais de réponse des serveurs, déterminer les valeurs qui conduisent à la réception des clés primaires à partir de zéro. Une fois ces valeurs déterminées, l'attaquant peut composer un ensemble d'équations pour résoudre le problème des nombres cachés et calculer la clé primaire d'origine.

La vulnérabilité OpenSSL a été jugée faible gravité, et la solution était de déplacer les chiffrements problématiques "TLS_DH_ *" de la version 1.0.2w vers la catégorie "chiffrements faibles" qui était désactivée par défaut. Les développeurs de Mozilla ont fait de même en désactivant les suites de chiffrement DH et DHE dans la bibliothèque NSS utilisée dans Firefox.

Par ailleurs, il existe des problèmes supplémentaires dans la pile TLS des périphériques F5 BIG-IP qui rendent l'attaque plus réaliste.

En particulier, des écarts ont été constatés dans le comportement des appareils avec un octet de zéro au début de la clé primaire, qui peuvent être utilisés au lieu de mesurer la latence exacte dans les calculs.

source: https://raccoon-attack.com/


Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont marqués avec *

*

*

  1. Responsable des données : AB Internet Networks 2008 SL
  2. Finalité des données: Contrôle du SPAM, gestion des commentaires.
  3. Légitimation: votre consentement
  4. Communication des données: Les données ne seront pas communiquées à des tiers sauf obligation légale.
  5. Stockage des données: base de données hébergée par Occentus Networks (EU)
  6. Droits: à tout moment, vous pouvez limiter, récupérer et supprimer vos informations.