Raccoon: уязвимость в TLS, которая позволяет определять ключи для соединений DH.

Енот Атака

Информация о новая уязвимость в протоколе TLS под кодовым названием "Енот Атака«и что позволяет, в редких случаях, определить ключ предварительные первичные который можно использовать для расшифровки TLS-соединений, в том числе HTTPS при перехвате транзитного трафика (MITM).

Из информации, которая была обнародована, Отмечается, что атаку очень сложно реализовать на практике и носит скорее теоретический характер. Атака требует определенной конфигурации TLS-сервера и способности очень точно измерять время обработки операций сервером.

Проблема присутствует прямо в спецификации TLS и влияет только на соединения, использующие шифрование на основе протокола обмена ключами DH.

Шифры ECDH не обнаруживают проблемы и они остаются в безопасности. Уязвимы только протоколы TLS до версии 1.2 включительно, а протокол TLS 1.3 не затронут, и уязвимость проявляется в реализациях TLS, которые повторно используют секретный ключ DH в разных соединениях TLS.

В OpenSSL 1.0.2e и более ранних версиях ключ DH повторно используется для всех подключений к серверу, если явно не задана опция SSL_OP_SINGLE_DH_USE.

В то время как, начиная с OpenSSL 1.0.2f, ключ DH повторно используется только при использовании статических шифров DH. В OpenSSL 1.1.1 уязвимость не проявляется, так как эта ветвь не использует первичный ключ DH и не использует статические шифры DH.

При использовании метода обмена ключами DH обе стороны соединения генерируют случайные закрытые ключи (далее - ключ «a» и ключ «b»), на основе которых открываются ключи (ga  мод pygbмод p).

После получения открытых ключей каждая сторона вычисляет общий первичный ключ (gab mod p), который используется для генерации ключей сеанса.

Атака Raccoon позволяет определить первичный ключ с помощью синтаксического анализа информации через боковые каналы, начиная с того, что спецификации TLS до версии 1.2 требуют отбрасывать все начальные нулевые байты первичного ключа перед расчетами с вашим участием.

Включение усеченного первичного ключа передается в функцию генерации сеансового ключа на основе хэш-функции с разными задержками при обработке разных данных.

Точная синхронизация ключевых операций, выполняемых сервером, позволяет злоумышленнику идентифицировать подсказки, которые позволяют судить, начинается ли первичный ключ с нуля или нет. Например, злоумышленник может перехватить открытый ключ (ga), отправленный клиентом, пересылает его на сервер и определяет, начинается ли полученный первичный ключ с нуля.

Сама, определение байта ключа ничего не дает, но перехват значения «ga»Передано клиентом во время согласования подключения, злоумышленник может сформировать набор других связанных значений с «ga»И отправить их на сервер в отдельных сеансах согласования подключения.

Формируя и отправляя значения «gri*ga«, Злоумышленник может, анализируя изменения задержки ответа сервера, определить значения, которые приводят к получению первичных ключей, начиная с нуля. Определив эти значения, злоумышленник может составить набор уравнений для решения проблемы скрытых чисел и вычисления исходного первичного ключа.

Уязвимости OpenSSL присвоен низкий уровень серьезности., и решением было переместить проблемные шифры «TLS_DH_ *» в версии 1.0.2w в категорию «слабые шифры», которая по умолчанию была отключена. Разработчики Mozilla сделали то же самое, отключив комплекты шифров DH и DHE в библиотеке NSS, используемой в Firefox.

Отдельно есть дополнительные проблемы в стеке TLS устройств F5 BIG-IP, которые делают атаку более реалистичной.

В частности, были обнаружены отклонения в поведении устройств с нулевым байтом в начале первичного ключа, который можно использовать вместо точного измерения латентности в расчетах.

источник: https://raccoon-attack.com/


Содержание статьи соответствует нашим принципам редакционная этика. Чтобы сообщить об ошибке, нажмите здесь.

Будьте первым, чтобы комментировать

Оставьте свой комментарий

Ваш электронный адрес не будет опубликован.

*

*

  1. Ответственный за данные: AB Internet Networks 2008 SL
  2. Назначение данных: контроль спама, управление комментариями.
  3. Легитимация: ваше согласие
  4. Передача данных: данные не будут переданы третьим лицам, кроме как по закону.
  5. Хранение данных: база данных, размещенная в Occentus Networks (ЕС)
  6. Права: в любое время вы можете ограничить, восстановить и удалить свою информацию.

bool (истина)