Информация о новая уязвимость в протоколе TLS под кодовым названием "Енот Атака«и что позволяет, в редких случаях, определить ключ предварительные первичные который можно использовать для расшифровки TLS-соединений, в том числе HTTPS при перехвате транзитного трафика (MITM).
Из информации, которая была обнародована, Отмечается, что атаку очень сложно реализовать на практике и носит скорее теоретический характер. Атака требует определенной конфигурации TLS-сервера и способности очень точно измерять время обработки операций сервером.
Проблема присутствует прямо в спецификации TLS и влияет только на соединения, использующие шифрование на основе протокола обмена ключами DH.
Шифры ECDH не обнаруживают проблемы и они остаются в безопасности. Уязвимы только протоколы TLS до версии 1.2 включительно, а протокол TLS 1.3 не затронут, и уязвимость проявляется в реализациях TLS, которые повторно используют секретный ключ DH в разных соединениях TLS.
В OpenSSL 1.0.2e и более ранних версиях ключ DH повторно используется для всех подключений к серверу, если явно не задана опция SSL_OP_SINGLE_DH_USE.
В то время как, начиная с OpenSSL 1.0.2f, ключ DH повторно используется только при использовании статических шифров DH. В OpenSSL 1.1.1 уязвимость не проявляется, так как эта ветвь не использует первичный ключ DH и не использует статические шифры DH.
При использовании метода обмена ключами DH обе стороны соединения генерируют случайные закрытые ключи (далее - ключ «a» и ключ «b»), на основе которых открываются ключи (ga мод pygbмод p).
После получения открытых ключей каждая сторона вычисляет общий первичный ключ (gab mod p), который используется для генерации ключей сеанса.
Атака Raccoon позволяет определить первичный ключ с помощью синтаксического анализа информации через боковые каналы, начиная с того, что спецификации TLS до версии 1.2 требуют отбрасывать все начальные нулевые байты первичного ключа перед расчетами с вашим участием.
Включение усеченного первичного ключа передается в функцию генерации сеансового ключа на основе хэш-функции с разными задержками при обработке разных данных.
Точная синхронизация ключевых операций, выполняемых сервером, позволяет злоумышленнику идентифицировать подсказки, которые позволяют судить, начинается ли первичный ключ с нуля или нет. Например, злоумышленник может перехватить открытый ключ (ga), отправленный клиентом, пересылает его на сервер и определяет, начинается ли полученный первичный ключ с нуля.
Сама, определение байта ключа ничего не дает, но перехват значения «ga»Передано клиентом во время согласования подключения, злоумышленник может сформировать набор других связанных значений с «ga»И отправить их на сервер в отдельных сеансах согласования подключения.
Формируя и отправляя значения «gri*ga«, Злоумышленник может, анализируя изменения задержки ответа сервера, определить значения, которые приводят к получению первичных ключей, начиная с нуля. Определив эти значения, злоумышленник может составить набор уравнений для решения проблемы скрытых чисел и вычисления исходного первичного ключа.
Уязвимости OpenSSL присвоен низкий уровень серьезности., и решением было переместить проблемные шифры «TLS_DH_ *» в версии 1.0.2w в категорию «слабые шифры», которая по умолчанию была отключена. Разработчики Mozilla сделали то же самое, отключив комплекты шифров DH и DHE в библиотеке NSS, используемой в Firefox.
Отдельно есть дополнительные проблемы в стеке TLS устройств F5 BIG-IP, которые делают атаку более реалистичной.
В частности, были обнаружены отклонения в поведении устройств с нулевым байтом в начале первичного ключа, который можно использовать вместо точного измерения латентности в расчетах.
источник: https://raccoon-attack.com/