Hakkında bilgiler ifşa edildi TLS protokolünde kod adı verilen yeni bir güvenlik açığıRakun Saldırısı"ve bu, nadir durumlarda, bir anahtarın belirlenmesine izin verir ön birincil TLS bağlantılarının şifresini çözmek için kullanılabilir, transit trafiğe müdahale ederken HTTPS dahil (MITM).
Yayınlanan bilgilerden, Saldırının pratikte uygulanmasının çok zor olduğu ve doğası gereği daha teorik olduğu belirtiliyor. Saldırı, belirli bir TLS sunucu yapılandırması ve sunucu tarafından yapılan işlemlerin işlem süresini çok doğru bir şekilde ölçme yeteneği gerektirir.
Sorun mevcut doğrudan şartnamede TLS ve yalnızca şifreleme kullanan bağlantıları etkiler anahtar değişim protokolüne dayalı DH.
ECDH şifreleri sorunu göstermiyor ve güvende kalırlar. Yalnızca sürüm 1.2'ye kadar ve dahil olmak üzere TLS protokolleri savunmasızdır ve TLS 1.3 protokolü etkilenmez ve güvenlik açığı, farklı TLS bağlantılarında DH gizli anahtarını yeniden kullanan TLS uygulamalarında kendini gösterir.
OpenSSL 1.0.2e ve önceki sürümlerde, anahtar DH, tüm sunucu bağlantılarında yeniden kullanılırSSL_OP_SINGLE_DH_USE seçeneği açıkça ayarlanmadığı sürece.
OpenSSL 1.0.2f'den beri, DH anahtarı yalnızca statik DH şifreleri kullanıldığında yeniden kullanılır. OpenSSL 1.1.1'de, bu dal birincil DH anahtarını kullanmadığı ve statik DH şifreleri kullanmadığı için güvenlik açığı kendini göstermez.
DH anahtar değişim yöntemini kullanırken, bağlantının her iki tarafı rastgele özel anahtarlar üretir (bundan sonra, anahtar "a" ve anahtar "b"), temel olarak genel anahtarlar (ga mod pygbmod p).
Genel anahtarları aldıktan sonra, her bir taraf ortak bir birincil anahtar (gab mod p), oturum anahtarları oluşturmak için kullanılır.
Saldırı Rakun, ayrıştırma yoluyla birincil anahtarı belirlemenizi sağlar bilginin yan kanallardan, Sürüm 1.2'ye kadar olan TLS belirtimlerinin, katılımınızla yapılan hesaplamalardan önce birincil anahtarın tüm önde gelen sıfır baytlarının atılmasını gerektirdiğini varsayarsak.
Kesilen birincil anahtarın dahil edilmesi, farklı verileri işlerken farklı gecikmelerle karma işlevi tabanlı oturum anahtarı oluşturma işlevine geçirilir.
Sunucu tarafından gerçekleştirilen doğru bir şekilde zamanlama anahtarı işlemleri, bir saldırganın birincil anahtarın sıfırdan başlayıp başlamadığına karar vermek için bir yol sağlayan ipuçlarını belirlemesine olanak tanır. Örneğin, bir saldırgan genel anahtarı (ga) istemci tarafından gönderilir, sunucuya iletilir ve elde edilen birincil anahtarın sıfırla başlayıp başlamadığını belirler.
Kendi başına, anahtarın bir baytını tanımlamak hiçbir şey vermez, ancak «g değerinin yakalanmasıa"İletilen bağlantı görüşmesi sırasında müşteri tarafından, saldırgan bir dizi başka ilgili değerler oluşturabilir «g ilea»Ve bunları ayrı bağlantı görüşme oturumlarında sunucuya gönderin.
«G değerlerini oluşturup göndererekri*ga«, Saldırgan şunları yapabilir: sunucu yanıt gecikmelerindeki değişiklikleri analiz ederek, Sıfırdan başlayarak birincil anahtarların alınmasına yol açan değerleri belirleyin. Bu değerler belirlenirken, saldırgan gizli sayı problemini çözmek ve orijinal birincil anahtarı hesaplamak için bir dizi denklem oluşturabilir.
OpenSSL güvenlik açığı düşük önem derecesine sahiptive çözüm, 1.0.2w sürümündeki sorunlu "TLS_DH_ *" şifrelerini varsayılan olarak devre dışı bırakılan "zayıf şifreler" kategorisine taşımaktı. Mozilla geliştiricileri, Firefox'ta kullanılan NSS kitaplığındaki DH ve DHE şifre paketlerini devre dışı bırakarak aynısını yaptılar.
Ayrı olarak, saldırıyı daha gerçekçi hale getiren F5 BIG-IP cihazlarının TLS yığınında ek sorunlar vardır.
Özellikle, birincil anahtarın başlangıcında sıfır bayt bulunan cihazların davranışında sapmalar bulundu ve bu, hesaplamalarda kesin gecikmeyi ölçmek yerine kullanılabilir.
kaynak: https://raccoon-attack.com/