相关信息 TLS协议中的一个新漏洞,代号为“浣熊攻击“和 在极少数情况下,它可以确定密钥 初级小学 可以用来解密TLS连接, 拦截传输流量(MITM)时包括HTTPS。
根据发布的信息, 有人提到,这种攻击在实践中很难实施,而从本质上讲更具有理论性。 攻击需要特定的TLS服务器配置,并且必须能够非常准确地测量服务器操作的处理时间。
存在问题 直接在规格中 TLS,仅影响使用加密的连接 基于密钥交换协议 DH。
ECDH密码不显示问题 他们仍然安全。 仅包括1.2版及以下版本的TLS协议易受攻击,并且TLS 1.3协议不受影响,并且该漏洞在重用不同TLS连接上的DH秘密密钥的TLS实现中体现出来。
在OpenSSL 1.0.2e和更低版本中, 钥匙 DH可在所有服务器连接上重用,除非明确设置了SSL_OP_SINGLE_DH_USE选项。
从OpenSSL 1.0.2f开始,仅在使用静态DH密码时才重用DH密钥。 在OpenSSL 1.1.1中,该漏洞不会自动显示,因为此分支不使用主DH密钥,也不使用静态DH密码。
使用DH密钥交换方法时,连接的两端都会生成随机的私钥(以下称为密钥“ a”和密钥“ b”),并在此基础上生成公钥(ga mod pygbmod p)。
各方收到公钥后,计算出一个公共主密钥(gab mod p),用于生成会话密钥。
攻击 Raccoon允许您通过解析确定主键 信息 通过侧边通道 假设TLS规范(最高版本1.2)要求在您参与计算之前丢弃主键的所有前导零字节。
当处理不同的数据时,包含截断后的主键的延迟会传递给基于哈希函数的会话密钥生成函数。
服务器对密钥操作进行准确计时,使攻击者能够找出线索,以提供判断主密钥是否从零开始的方法。 例如,攻击者可以拦截公钥(例如a)(由客户端发送),然后将其转发到服务器,并确定生成的主键是否以零开头。
由她自己, 定义密钥的字节不会产生任何结果, 但 截取«g的值a»已传送 客户端在连接协商期间, 攻击者可以形成一组其他相关值 与«ga»并在单独的连接协商会话中将它们发送到服务器。
通过形成并发送值«gri*ga«,攻击者可以, 通过分析服务器响应延迟的变化, 确定导致从零开始的主键接收的值。 通过确定这些值,攻击者可以组成一组方程来解决隐藏数问题并计算原始主键。
OpenSSL漏洞的严重性被评为低,解决方案是将版本1.0.2w中有问题的“ TLS_DH_ *”密码移到默认情况下禁用的“弱密码”类别。 Mozilla开发人员通过禁用Firefox中使用的NSS库中的DH和DHE密码套件来做到这一点。
另外,F5 BIG-IP设备的TLS堆栈中还有其他问题,这些问题使攻击更加逼真。
尤其是,在主键开头具有零字节的设备的行为中发现了偏差,可以使用该偏差代替测量计算中的确切等待时间。
数据来源: https://raccoon-attack.com/