についての情報 コードネーム「TLSプロトコルの新しい脆弱性タヌキ攻撃"と これにより、まれに、キーを決定できます 予備予備選挙 TLS接続を復号化するために使用できます。 トランジットトラフィック(MITM)を傍受するときにHTTPSを含みます。
公開された情報から、 攻撃は実際には実装が非常に難しく、本質的に理論的であると言われています。 攻撃には、特定のTLSサーバー構成と、サーバーによる操作の処理時間を非常に正確に測定する機能が必要です。
問題が存在します 仕様に直接 TLSであり、暗号化を使用する接続にのみ影響します 鍵交換プロトコルに基づく DH。
ECDH暗号は問題を明らかにしません そして彼らは安全なままです。 バージョン1.2までのTLSプロトコルのみが脆弱であり、TLS 1.3プロトコルは影響を受けず、この脆弱性は、さまざまなTLS接続でDH秘密鍵を再利用するTLS実装に現れます。
OpenSSL 1.0.2e以前のバージョンでは、 キー DHはすべてのサーバー接続で再利用されます、SSL_OP_SINGLE_DH_USEオプションが明示的に設定されていない限り。
一方、OpenSSL 1.0.2f以降、DHキーは静的DH暗号を使用する場合にのみ再利用されます。 OpenSSL 1.1.1では、このブランチはプライマリDHキーを使用せず、静的DH暗号を使用しないため、脆弱性は現れません。
DH鍵交換方式を使用する場合、接続の両側でランダムな秘密鍵(以下、鍵「a」と鍵「b」)が生成され、これに基づいて公開鍵(ga mod pygbmod p)。
公開鍵を受け取った後、各当事者は共通の主キーを計算します(gab mod p)、これはセッションキーを生成するために使用されます。
攻撃 アライグマを使用すると、解析を通じて主キーを決定できます 情報の サイドチャネルを介して、 バージョン1.2までのTLS仕様では、参加して計算する前に、主キーの先行ゼロバイトをすべて破棄する必要があると想定しています。
切り捨てられた主キーの包含は、異なるデータを処理するときに異なる遅延でハッシュ関数ベースのセッションキー生成関数に渡されます。
サーバーによって実行されるキー操作のタイミングを正確に設定することで、攻撃者は主キーがゼロから始まるかどうかを判断する方法を提供する手がかりを特定できます。 たとえば、攻撃者は公開鍵を傍受できます(ga)クライアントから送信され、サーバーに転送され、結果の主キーがゼロで始まるかどうかが判別されます。
彼女自身で、 キーのバイトを定義しても何も得られません。 ペロ 値を傍受する«ga»送信済み 接続のネゴシエーション中にクライアントによって、 攻撃者は他の関連する値のセットを形成できます «gでa»そして、それらを別々の接続ネゴシエーションセッションでサーバーに送信します。
値を形成して送信することによって«gri*ga«、攻撃者は、 サーバーの応答遅延の変化を分析することにより、 ゼロから始まる主キーの受信につながる値を決定します。 これらの値が決定されると、攻撃者は一連の方程式を作成して、隠された数の問題を解決し、元の主キーを計算できます。
OpenSSLの脆弱性は重大度が低いと評価されました、および解決策は、バージョン1.0.2wの問題のある「TLS_DH_ *」暗号を、デフォルトで無効になっている「弱い暗号」カテゴリに移動することでした。 Mozilla開発者は、Firefoxで使用されるNSSライブラリのDHおよびDHE暗号スイートを無効にすることで同じことを行いました。
これとは別に、F5 BIG-IPデバイスのTLSスタックには、攻撃をより現実的にする追加の問題があります。
特に、主キーの先頭にゼロバイトがあるデバイスの動作に偏差が見つかりました。これは、計算で正確な遅延を測定する代わりに使用できます。
出典 https://raccoon-attack.com/