SSLTLS - състояние на нещата Dipl-Inform
Информация за ИТ сигурността
SSL/TLS - Състояние на изкуството
Каква е текущата ситуация със сигурността на SSL/TLS? Измина известно време от последната статия по темата и има няколко нови разработки.
RC4 алгоритъмът се превръща в проблем
Най-новата атака е публикувана в началото на март 2013 г .: Nadhem AlFardan, Dan Bernstein, Kenny Paterson, Bertram Poettering и Jacob Schuldt са доказали, че алгоритъмът RC4, използван за криптиране, може да бъде частично нарушен, за да могат да бъдат определени части от обикновения текст. Атаката получи CVE ID CVE-2013-2566.
По-конкретно, атаката понастоящем може да се използва за атака на първите 256 байта от потока на свободен текст. Тъй като първите 36 байта се състоят от непредсказуемо съобщение от най-често използвания хеш алгоритъм SHA-1, те не могат да бъдат определени. Така че 220 байта криптиран текст могат ефективно да бъдат декриптирани. За това са необходими приблизително 2 30 сесии; с приблизително 2 24 сесии определени байтове вече могат да бъдат надеждно декриптирани.
Това звучи много, и е така. Поне в момента подобна атака е малко вероятно, особено след като първо трябва да се адаптира, за да се предоставят данни, представляващи интерес за нападателя. Например, JavaScript код, инжектиран в уебсайт, може многократно да извиква същия HTTPS URL и да го използва за дешифриране на бисквитката на сесията. Но това са само теоретични съображения, все още не е имало практическо изпълнение.
Контрамерки
Потоковият шифър RC4 се използва много често за TLS напоследък. Главно защото може да се изчисли бързо и е (вече не) сигурна алтернатива на CBC режима на SSL/TLS, който е застрашен от BEAST и Lucky13 атаки (повече за това след малко). Междувременно обаче режимът CBC е защитен срещу BEAST и Lucky13, така че вече може да служи като алтернатива на RC4. Ако използвате подходящо закърпена реализация на TLS 1.0 или 1.1, можете да използвате CBC режим вместо RC4 за криптиране.
Друга алтернатива са алгоритмите AEAD, въведени с TLS 1.2. Вероятно. атаката срещу RC4 води до разпространението на TLS 1.2. В дългосрочен план това е най-доброто решение.
На теория TLS може да промени употребата на RC4, например като изхвърли началото на ключовия поток RC4. На практика обаче този подход е безполезен, тъй като предпазва само от изпълнената в момента атака, но не и срещу възможни нови и по-нататъшни разработки. Да не говорим, че няма начин да се договори такъв отказ в рамките на протокола TLS, така че да са необходими обширни промени в внедряванията на TLS на клиенти и сървъри.
Същото се отнася и за промени в браузъра, които биха могли да направят атаката по-малко ефективна.
TLS и късметлия 13
В началото на февруари 2013 г. Nadhem AlFardan и Kenny Paterson публикуваха атака срещу CBC криптирането на TLS и DTLS (Datagram Transport Layer Security), наречена "Lucky Thirteen". Атаката получи CVE ID CVE-2013-0169.
Атаката се възползва от грешка в спецификацията TLS и е успешно тествана срещу OpenSSL и GnuTLS. В случай на OpenSSL, може да се определи целият обикновен текст, когато се използват GnuTLS поне части от него (по-точно: 4 бита от последния байт на всеки обикновен текстов блок).
Nadhem AlFardan и Kenny Paterson се възползват от факта, че изчисляването на кода за удостоверяване на съобщението (MAC), с който обикновеният текст е защитен от неоткрита манипулация, отнема различни дължини за определени дължини на съобщенията. Това позволява да се прави разлика между съобщения с поне два правилни байта за подпълване (с които блокът е подплатен до подходящата дължина) и съобщения с един правилен байт или неправилно форматиран запълване.
Атаките са многосесийни атаки, така че желаният обикновен текст трябва да бъде предаден няколко пъти в една и съща точка в потока на обикновен текст в множество сесии TLS. Чрез манипулиране на шифрования текст, генериран от нападателя, се провокират съобщения за грешки и малките времеви разлики между тях за различни манипулации могат да бъдат използвани за статистическо извеждане на обикновения текст.
В най-простия случай, когато тествате в LAN, пълен блок от TLS-криптиран обикновен текст може да бъде определен след около 2 32 TLS сесии. ако като MAC алгоритъм е използван HMAC-SHA1 (сложността на атаката зависи от използвания MAC алгоритъм). Ако е известно, че обикновеният текст е кодиран с Base64, са достатъчни 2 19 сесии, ако вече е известен един байт от обикновения текст в една от последните две позиции на блока, дори 2 13 сесии са достатъчни.
Все още има твърде много сесии за практическа атака срещу TLS, особено в мрежата, а разликите във времето, които могат да се наблюдават, са много малки. Тук обаче са възможни и атаки чрез манипулирани уебсайтове. DTLS вече може да бъде атакуван, тъй като сесията не се прекратява веднага с първата грешка.
Атаката беше наречена "Lucky 13", тъй като при изчислението на MAC се използват 13 заглавни байта, без които атаката не би била възможна. Въпреки че 13 всъщност е нещастен номер, поне за нападателя тук е щастлив номер.
Контрамерки
На теория случайните закъснения могат да затруднят атаките за синхронизиране, но това не работи на практика, тъй като тези случайни закъснения могат да бъдат записани и статистически, само броят на сесиите, необходими за атака, ще бъде увеличен.
Като алтернатива на CBC криптирането, RC4 се предложи. Бот, защото когато Lucky 13 беше пуснат, атаката срещу RC4 все още не беше известна. Междувременно е по-добре да се избягва RC4, така че тази алтернатива да бъде изключена.
Както в случая с RC4, възможно е да преминете към един от AEAD алгоритмите като AES-GCM.
Не на последно място, CBC внедряването на TLS може да бъде адаптирано така, че да не могат да бъдат атакувани странични канали по време.
В повечето реализации на TLS, като OpenSSL, NSS, GnuTLS, yaSSL и PolarSSL, вече са приложени контрамерки срещу атаката Lucky 13.
ПРЕСТЪПЛЕНИЕ - Наследникът на BEAST
Разработчиците на BEAST Juliano Rizzo и Thai Duong представиха нова атака срещу SSL/TLS на конференцията за сигурност ekoparty 2012 през септември 2012 г. под заглавието "The CRIME Attack" (презентация като PDF).
CRIME означава „° С.компресия R.atio I.nfo-теч М.задник Д.експлоатация "(или". М.Довиждане Д.asy ") и позволява, например, сесийните бисквитки да бъдат декриптирани от HTTPS връзка. Предпоставка за успешна атака е, че
- нападателят може да наблюдава мрежовия трафик на жертвата, например защото и двамата използват споделена отворена WLAN и
- жертвата посещава злонамерен или подходящо подготвен уебсайт. След това нападателят го използва, за да инжектира JavaScript код в браузъра на жертвата, извършила атаката.
И двете са разбира се особено верни, ако нападателят може да действа като човек в средата.
Освен това клиентът и сървърът трябва да използват компресия, като компресия на дефлацията на TLS или компресия на ниво приложение, като SPDY.
След това нападателят може да наблюдава продължителността на предадените заявки и чрез умело манипулиране на изпратените данни да дешифрира или, по-добре да предположим, части от тях. Ако части от заявката, манипулирани от нападателя, съвпадат, например бисквитката на сесията, дължината на заявката се намалява съответно. По този начин стойността на бисквитката може да бъде определена стъпка по стъпка. Видео показва демонстрацията на атаката.
Контрамерки
Атаката CRIME може да бъде предотвратена чрез изключване на компресията за HTTPS връзки. Оттогава браузърите са коригирани съответно, ако са засегнати.
Заключение
В обобщение може да се каже, че SSL/TLS като протокол далеч не е мъртъв, а с TLS 1.2 е налична защитена нова версия.
С използваната система за сертифициране тя изглежда по-лоша, твърде често „фалшифицирана“ (по-добре: неправилно издадена) или се появяват проблемни сертификати по друг начин. Казано по-просто: Системата за сертифициране се основава на доверие и сертифициращите органи отново и отново доказват, че не заслужават доверие. Така че в този момент има спешна нужда от промени.
Трекбекове
Dipl.-Inform. Carsten Eilers във вторник, 2 април 2013 г .: Новини за версии на Java, пакети за Android, руткит и SSL/TLS
Dipl.-Inform. Карстен Айлерс във вторник, 14 април 2015 г .: SSL/TLS - отново лоши новини!
Dipl.-Inform. Карстен Айлерс в сряда, 13 май 2015 г .: Печат: PHP Magazin 4.2015 - Фалшифициране на кръстосани заявки
Dipl.-Inform. Carsten Eilers в понеделник, 21 декември 2015 г .: Нова електронна книга: „Уеб защита - атаки с SSRF, CSRF и XML“
Странична лента
За мен.
Dipl.-Inform. Карстен Айлерс
Следвай ме.
Текущи записи
Категории
календар
| ← Назад | Декември '20 | |||||
| 1 | 2 | 3 | 4-ти | 5 | 6-то | |
| 7-ми | 8-ми | 9 | 10 | 11. | 12 | 13 |
| 14-ти | 15-ти | 16. | 17-ти | 18-ти | 19-ти | 20-ти |
| 21-ви | 22-ри | 23. | 24 | 25-ти | 26-ти | 27 |
| 28 | 29 | 30-ти | 31 | |||
архив
Били сте хакнати!
Били сте хакнати!
Книга, 578 страници
Декември 2018 г., Rheinwerk Computing
ISBN: 978-3-8362-4460-2
Предлага се и като електронна книга
iOS сигурност
iOS сигурност
Книга, 274 страници
Януари 2014 г., developer.press
ISBN: 978-3-86802-101-1
Предлага се също като PDF и ePub-eBook
Уеб сигурност
Уеб сигурност
Електронна книга във формат EPUB
Декември 2015 г., developer.press
ISBN: 978-3-86802-569-9
Сигурност на данните
Сигурност на данните
Електронна книга във формат EPUB
Ноември 2015 г., developer.press
ISBN: 978-3-86802-568-2
Годишен преглед на уеб сигурността 2014
Годишен преглед на уеб сигурността 2014
Електронна книга във формат EPUB
Март 2015 г., developer.press
ISBN: 978-3-86802-537-8
Сигурност на JavaScript
Сигурност на JavaScript
Електронна книга във формат EPUB
Януари 2015 г., developer.press
ISBN: 978-3-86802-531-6
Целеви потребителски интерфейс
Целеви потребителски интерфейс
Електронна книга във формат EPUB
Януари 2015 г., developer.press
ISBN: 978-3-86802-532-3
Android сигурност
Android сигурност
Електронна книга във формат EPUB
Октомври 2014 г., developer.press
ISBN: 978-3-86802-521-7
Шифроване в ерата на NSA
Шифроване в ерата на NSA
Електронна книга във формат EPUB
Юни 2014 г., developer.press
ISBN: 978-3-86802-508-8
HTML5 сигурност
Сигурност на HTML5
Електронна книга във формат EPUB
Май 2012 г., developer.press
ISBN: 978-3-86802-417-3
Осъществено от Serendipity & the 2k11-CE тема.