Informácie o nová zraniteľnosť v protokole TLS s kódovým označením „Mýval útok„a ktorá umožňuje za zriedkavých okolností určiť kľúč predbežné primárne ktoré možno použiť na dešifrovanie pripojení TLS, vrátane HTTPS pri zachytávaní tranzitnej dopravy (MITM).
Z informácií, ktoré boli zverejnené, Uvádza sa, že útok je v praxi veľmi ťažko realizovateľný a má skôr teoretický charakter. Útok vyžaduje špecifickú konfiguráciu servera TLS a schopnosť veľmi presne merať čas spracovania operácií serverom.
Problém je prítomný priamo v špecifikácii TLS a ovplyvňuje iba pripojenia, ktoré používajú šifrovanie na základe protokolu výmeny kľúčov D.H.
Šifry ECDH problém neprejavujú a zostanú v bezpečí. Zraniteľné sú iba protokoly TLS až do verzie 1.2 vrátane a protokol TLS 1.3 nie je ovplyvnený a zraniteľnosť sa prejavuje v implementáciách TLS, ktoré opakovane používajú tajný kľúč DH na rôznych pripojeniach TLS.
V OpenSSL 1.0.2e a starších verziách kľúč DH sa znova používa na všetky pripojenia k serveru, pokiaľ nie je výslovne nastavená možnosť SSL_OP_SINGLE_DH_USE.
Zatiaľ čo od verzie OpenSSL 1.0.2f sa kľúč DH znova používa iba pri použití statických šifier DH. V OpenSSL 1.1.1 sa zraniteľnosť neprejavuje, pretože táto vetva nepoužíva primárny kľúč DH a nepoužíva statické šifry DH.
Pri použití metódy výmeny kľúčov DH generujú obe strany spojenia náhodné súkromné kľúče (ďalej kľúč „a“ a kľúč „b“), na základe ktorých sú verejné kľúče (ga mod pygbrežim p).
Po prijatí verejných kľúčov vypočítava každá strana spoločný primárny kľúč (naprab mod p), ktorý sa používa na generovanie kľúčov relácie.
Útok Raccoon vám umožní určiť primárny kľúč analýzou informácií cez bočné kanály, počnúc skutočnosťou, že špecifikácie TLS až po verziu 1.2 vyžadujú, aby boli pred výpočtami s vašou účasťou zahodené všetky vedúce nulové bajty primárneho kľúča.
Zahrnutie skráteného primárneho kľúča sa odovzdáva funkcii generovania kľúča relácie založenej na funkcii hash s rôznymi oneskoreniami pri spracovaní rôznych údajov.
Presné načasovanie kľúčových operácií vykonávaných serverom umožňuje útočníkovi identifikovať stopy, ktoré poskytujú spôsob, ako posúdiť, či primárny kľúč začína na nule alebo nie. Útočník môže napríklad zachytiť verejný kľúč (napra) odoslaný klientom, preposlať ho na server a určiť, či výsledný primárny kľúč začína nulou.
Bez cudzej pomoci, definovanie bajtu kľúča nič nedáva, ale zachytávajúci hodnotu «ga»Prenesené klient počas rokovania o pripojení, útočník môže vytvoriť súbor ďalších súvisiacich hodnôt s «ga»A pošlite ich na server v samostatných reláciách vyjednávania o pripojení.
Formovaním a odosielaním hodnôt «gri*ga«, Útočník môže, analýzou zmien v oneskoreniach odozvy servera, určte hodnoty, ktoré vedú k prijatiu primárnych kľúčov, počnúc od nuly. Po určení týchto hodnôt môže útočník poskladať sústavu rovníc na vyriešenie problému so skrytým číslom a vypočítať pôvodný primárny kľúč.
Zraniteľnosť OpenSSL bola hodnotená ako nízka závažnosť, a riešením bolo presunúť problematické šifry „TLS_DH_ *“ vo verzii 1.0.2w do kategórie „slabé šifry“, ktorá bola štandardne vypnutá. To isté urobili vývojári Mozilly zakázaním šifrovacích balíkov DH a DHE v knižnici NSS použitej vo Firefoxe.
Samostatne existujú ďalšie problémy v zásobníku TLS zariadení F5 BIG-IP, ktoré robia útok realistickejším.
Odchýlky sa našli najmä v správaní zariadení s nulovým bajtom na začiatku primárneho kľúča, ktoré je možné použiť namiesto merania presnej latencie pri výpočtoch.
Fuente: https://raccoon-attack.com/