Informatie over een nieuwe kwetsbaarheid in het TLS-protocol, met de codenaam "Wasbeeraanval"en die het in zeldzame gevallen mogelijk maakt om een sleutel te bepalen voorlopig primair die kan worden gebruikt om TLS-verbindingen te decoderen, inclusief HTTPS bij het onderscheppen van transitverkeer (MITM).
Uit de informatie die is vrijgegeven, Er wordt vermeld dat de aanval in de praktijk erg moeilijk uit te voeren is en meer theoretisch van aard is. Een aanval vereist een specifieke TLS-serverconfiguratie en de mogelijkheid om zeer nauwkeurig de verwerkingstijd van bewerkingen door de server te meten.
Het probleem is aanwezig direct in de specificatie TLS en heeft alleen invloed op verbindingen die codering gebruiken gebaseerd op het sleuteluitwisselingsprotocol DH
ECDH-cijfers manifesteren het probleem niet en ze blijven veilig. Alleen de TLS-protocollen tot en met versie 1.2 zijn kwetsbaar en het TLS 1.3-protocol wordt niet beïnvloed en de kwetsbaarheid manifesteert zich in TLS-implementaties die de DH-geheime sleutel hergebruiken op verschillende TLS-verbindingen.
In OpenSSL 1.0.2e en eerdere versies, de sleutel DH wordt hergebruikt op alle serververbindingen, tenzij de optie SSL_OP_SINGLE_DH_USE expliciet is ingesteld.
Terwijl sinds OpenSSL 1.0.2f de DH-sleutel alleen wordt hergebruikt bij gebruik van statische DH-cijfers. In OpenSSL 1.1.1 manifesteert de kwetsbaarheid zich niet, aangezien deze tak niet de primaire DH-sleutel gebruikt en geen statische DH-codes gebruikt.
Bij gebruik van de DH-sleuteluitwisselingsmethode genereren beide zijden van de verbinding willekeurige privésleutels (hierna sleutel "a" en sleutel "b"), op basis waarvan de openbare sleutels (ga mod pygbmod.p).
Na ontvangst van de openbare sleutels berekent elke partij een gemeenschappelijke primaire sleutel (gab mod p), die wordt gebruikt om sessiesleutels te genereren.
De aanval Met Raccoon kun je de primaire sleutel bepalen door middel van parsing van de informatie via zijkanalen, uitgaande van het feit dat de TLS-specificaties tot versie 1.2 vereisen dat alle voorloop-nulbytes van de primaire sleutel worden weggegooid voordat berekeningen met uw deelname worden uitgevoerd.
De opname van de afgekapte primaire sleutel wordt doorgegeven aan de op hashfunctie gebaseerde sessiesleutelgeneratiefunctie met verschillende vertragingen bij het verwerken van verschillende gegevens.
Nauwkeurige timing van sleutelbewerkingen die door de server worden uitgevoerd, stelt een aanvaller in staat om aanwijzingen te identificeren die een manier bieden om te beoordelen of de primaire sleutel bij nul begint of niet. Een aanvaller kan bijvoorbeeld de openbare sleutel onderscheppen (ga) verzonden door de client, stuur deze door naar de server en bepaal of de resulterende primaire sleutel begint met nul.
Door haarzelf, het definiëren van een byte van de sleutel geeft niets, maar onderscheppen van de waarde «ga»Verzonden door de klant tijdens de onderhandeling over de verbinding, de aanvaller kan een reeks andere gerelateerde waarden vormen met «ga»En ze naar de server sturen in afzonderlijke verbindingsonderhandelingssessies.
Door het vormen en verzenden van de waarden «gri*ga«, De aanvaller kan, door veranderingen in vertragingen van de serverrespons te analyseren, bepaal de waarden die leiden tot de ontvangst van primaire sleutels beginnend bij nul. Als deze waarden zijn bepaald, kan de aanvaller een reeks vergelijkingen samenstellen om het probleem met verborgen getallen op te lossen en de oorspronkelijke primaire sleutel te berekenen.
De OpenSSL-kwetsbaarheid werd als laag beoordeeld, en de oplossing was om de problematische "TLS_DH_ *" cijfers in versie 1.0.2w te verplaatsen naar de categorie "zwakke cijfers" die standaard uitgeschakeld was. De Mozilla-ontwikkelaars deden hetzelfde door de DH- en DHE-coderingssuites uit te schakelen in de NSS-bibliotheek die in Firefox wordt gebruikt.
Afzonderlijk zijn er extra problemen in de TLS-stack van F5 BIG-IP-apparaten die de aanval realistischer maken.
Met name werden afwijkingen gevonden in het gedrag van apparaten met een nulbyte aan het begin van de primaire sleutel, die gebruikt kan worden in plaats van de exacte latentie te meten in berekeningen.
bron: https://raccoon-attack.com/