SSLTLS - stare de fapt Dipl-Inform

Informații despre securitatea IT

stare

SSL/TLS - Stadiul tehnicii

Care este situația actuală cu securitatea SSL/TLS? A trecut ceva timp de la ultimul articol pe această temă și există câteva noutăți.

Algoritmul RC4 devine o problemă

Cel mai recent atac a fost publicat la începutul lunii martie 2013: Nadhem AlFardan, Dan Bernstein, Kenny Paterson, Bertram Poettering și Jacob Schuldt au dovedit că algoritmul RC4 utilizat pentru criptare poate fi parțial rupt, astfel încât părțile textului simplu să poată fi determinate. Atacul a primit ID-ul CVE CVE-2013-2566.

Mai exact, atacul poate ataca în prezent primii 256 de octeți ai fluxului de text simplu. Deoarece primii 36 de octeți constau dintr-un mesaj imprevizibil din algoritmul hash cel mai frecvent utilizat SHA-1, nu pot fi determinați. Deci, 220 de octeți de text criptat pot fi efectiv decriptate. Pentru aceasta sunt necesare aproximativ 2 30 de sesiuni; cu aproximativ 2 24 de sesiuni, anumite octeți pot fi deja decriptate în mod fiabil.

Sună foarte mult și așa este. Cel puțin în acest moment, un astfel de atac este puțin probabil, mai ales că ar trebui mai întâi să fie adaptat pentru a furniza date de interes pentru atacator. De exemplu, codul JavaScript injectat într-un site web poate apela în mod repetat aceeași adresă URL HTTPS și îl poate folosi pentru a decripta modulul cookie de sesiune. Dar acestea sunt doar considerații teoretice, nu a existat încă nicio implementare practică.

Contramăsuri

Cifrul de flux RC4 a fost folosit foarte des pentru TLS recent. În principal, deoarece poate fi calculat rapid și este (nu mai) o alternativă sigură la modul CBC al SSL/TLS, care este pusă în pericol de atacurile BEAST și Lucky13 (mai multe despre asta într-o clipă). Între timp, însă, modul de operare CBC a fost asigurat împotriva BEAST și Lucky13, astfel încât să poată servi acum ca alternativă la RC4. Dacă utilizați o implementare corectă corectă a TLS 1.0 sau 1.1, puteți utiliza modul CBC în loc de RC4 pentru criptare.

O altă alternativă sunt algoritmii AEAD care au fost introduși cu TLS 1.2. Eventual. atacul asupra RC4 duce la răspândirea TLS 1.2. Pe termen lung, aceasta este cea mai bună soluție.

În teorie, TLS ar putea schimba utilizarea RC4, de exemplu, eliminând începutul fluxului de chei RC4. Cu toate acestea, în practică, această abordare este inutilă, deoarece protejează doar împotriva atacului implementat în prezent, dar nu împotriva posibilelor dezvoltări noi și ulterioare. Ca să nu mai vorbim că nu există nicio modalitate de a negocia o astfel de renunțare în cadrul protocolului TLS, astfel încât ar fi necesare modificări ample ale implementărilor TLS pe ​​clienți și servere.

Același lucru este valabil și pentru modificările browserului care ar putea face atacul mai puțin eficient.

TLS și Lucky 13

La începutul lunii februarie 2013, Nadhem AlFardan și Kenny Paterson au publicat un atac asupra criptării CBC a TLS și DTLS (Datagram Transport Layer Security), numit „Lucky Thirteen”. Atacul a primit CVE ID CVE-2013-0169.

Atacul profită de o eroare din specificația TLS și a fost testat cu succes împotriva OpenSSL și GnuTLS. În cazul OpenSSL, întregul text simplu ar putea fi determinat, atunci când se utilizează GnuTLS cel puțin părți din acesta (mai precis: 4 biți din ultimul octet al fiecărui bloc de text simplu).

Nadhem AlFardan și Kenny Paterson profită de faptul că calculul Codului de autentificare a mesajului (MAC), cu care textul simplu este protejat împotriva manipulării nedetectate, are lungimi diferite pentru anumite lungimi ale mesajului. Aceasta înseamnă că se poate face distincție între mesajele cu cel puțin doi octeți de umplere corecți (cu care blocul este umplut la lungimea corespunzătoare) și mesajele cu un octet corect sau umplutură formatată incorect.

Atacurile sunt atacuri cu mai multe sesiuni, deci textul simplu dorit trebuie transmis de mai multe ori în același punct din fluxul de text simplu în mai multe sesiuni TLS. Prin manipularea textului cifrat generat de atacator, mesajele de eroare sunt provocate, iar diferențele mici de timp dintre ele pentru diferite manipulări pot fi apoi utilizate pentru a deduce statistic textul simplu.

Când se testează într-o rețea LAN, în cel mai simplu caz, un bloc complet al textului simplu criptat TLS ar putea fi determinat după aproximativ 2 32 sesiuni TLS. dacă HMAC-SHA1 a fost folosit ca algoritm MAC (complexitatea atacului depinde de algoritmul MAC utilizat). Dacă se știe că textul simplu este codat în baza 64, sunt suficiente 2 19 sesiuni, dacă este deja cunoscut un octet al textului simplu într-una din ultimele două poziții ale blocului, chiar și 2 13 sesiuni sunt suficiente.

Există încă prea multe sesiuni pentru un atac practic asupra TLS, în special pe web, iar diferențele de timp care pot fi observate sunt foarte mici. Totuși, atacurile prin intermediul site-urilor web manipulate sunt de asemenea concepute aici. DTLS poate fi deja atacat, totuși, deoarece o sesiune nu este terminată imediat la prima eroare.

Atacul a fost denumit „Lucky 13”, deoarece în calculul MAC sunt folosiți 13 octeți de antet, fără de care atacul nu ar fi posibil. Deși 13 este de fapt un număr nefericit, cel puțin pentru atacator este un număr norocos aici.

Contramăsuri

În teorie, întârzierile aleatorii ar putea face mai dificile atacurile de sincronizare, dar acest lucru nu funcționează în practică, deoarece aceste întârzieri aleatorii pot fi înregistrate și statistic, doar numărul de sesiuni necesare pentru un atac ar fi crescut.

Ca alternativă la criptarea CBC, RC4 s-a oferit. Bot, pentru că atunci când Lucky 13 a fost eliberat, atacul împotriva RC4 nu era încă cunoscut. Între timp, este mai bine să evitați RC4, astfel încât această alternativă să fie exclusă.

La fel ca în cazul RC4, este posibil să comutați la unul dintre algoritmii AEAD, cum ar fi AES-GCM.

Nu în ultimul rând, implementarea TLC CBC poate fi adaptată astfel încât să nu mai fie posibilă sincronizarea atacurilor canalului lateral.

În majoritatea implementărilor TLS, cum ar fi OpenSSL, NSS, GnuTLS, yaSSL și PolarSSL, contramăsurile împotriva atacului Lucky 13 au fost implementate acum.

INFRACȚIUNE - Succesorul BEAST

Dezvoltatorii BEAST, Juliano Rizzo și Thai Duong, au prezentat un nou atac asupra SSL/TLS la conferința de securitate ekoparty 2012 din septembrie 2012 sub titlul „The CRIME Attack” (prezentare în format PDF).

CRIME înseamnă „C.comprimare R.atio I.nfo-leak M.cur E.xploitation "(sau". M.la revedere E.asy ") și permite, de exemplu, cookie-urile de sesiune să fie decriptate dintr-o conexiune HTTPS. O condiție prealabilă pentru un atac reușit este aceea

  • atacatorul poate observa traficul de rețea al victimei, de exemplu, deoarece ambii utilizează o rețea WLAN deschisă partajată și
  • victima vizitează un site web rău intenționat sau pregătit corespunzător. Atacatorul îl folosește apoi pentru a injecta cod JavaScript în browserul victimei care a efectuat atacul.

Desigur, ambele sunt deosebit de adevărate dacă atacatorul poate acționa ca om-în-mijloc.

În plus, clientul și serverul trebuie să utilizeze compresie, cum ar fi compresia deflate a TLS sau compresia la nivel de aplicație, cum ar fi SPDY.

Atacatorul poate observa apoi lungimea cererilor transmise și, prin manipularea cu pricepere a datelor trimise, poate decripta sau, mai bine ghicit, părți din ele. Dacă părți ale cererii manipulate de atacator se potrivesc, de exemplu, cu cookie-ul de sesiune, durata cererii este redusă în consecință. În acest fel, valoarea cookie-ului poate fi determinată pas cu pas. Un videoclip demonstrează atacul.

Contramăsuri

Atacul CRIME poate fi prevenit prin oprirea compresiei pentru conexiunile HTTPS. De atunci, browserele au fost corecționate corespunzător, dacă sunt afectate.

Concluzie

În rezumat, se poate spune că SSL/TLS ca protocol este departe de a fi mort, iar cu TLS 1.2 este disponibilă o nouă versiune sigură.

Cu sistemul de certificare utilizat, pare mai rău, prea des „falsificat” (mai bine: eliberat greșit) sau apar altfel certificate problematice. Mai simplu spus: sistemul de certificare se bazează pe încredere, iar organismele de certificare dovedesc de nenumărate ori că nu merită încredere. Deci, este nevoie urgentă de schimbări în acest moment.

Trackback-uri

Dipl.-Inform. Carsten Eilers marți, 2 aprilie 2013: Știri despre versiunile Java, pachetele Android, un rootkit și SSL/TLS

Dipl.-Inform. Carsten Eilers marți, 14 aprilie 2015: SSL/TLS - din nou vești proaste!

Dipl.-Inform. Carsten Eilers miercuri, 13 mai 2015: Tipărit: PHP Magazin 4.2015 - Cerere de falsificare transversală

Dipl.-Inform. Carsten Eilers luni, 21 decembrie 2015: Nouă carte electronică: „Securitate web - Atacuri cu SSRF, CSRF și XML”

Bara laterală

Despre mine.

Dipl.-Inform. Carsten Eilers

urmați-mă.

Intrări curente

Categorii

calendar

Lu marți miercoi joi vineri sâmbătă Duminică
← Înapoi Decembrie '20
1 2 3 Al 4-lea 5 Al 6-lea
Al 7-lea A 8-a 9 10 11 Al 12-lea 13
14 15 16 17 18 19 20
21 22 23 24 25 26 27
28 29 30 31

Arhiva

Ai fost piratat!


Ai fost piratat!
Carte, 578 de pagini
Decembrie 2018, Rheinwerk Computing
ISBN: 978-3-8362-4460-2
Disponibil și ca carte electronică

Securitate iOS


Securitate iOS
Carte, 274 pagini
Ianuarie 2014, developer.press
ISBN: 978-3-86802-101-1
Disponibil și în format PDF și ePub-eBook

Securitate web


Securitate web
Carte electronică în format EPUB
Decembrie 2015, developer.press
ISBN: 978-3-86802-569-9

Securitatea datelor


Securitatea datelor
Carte electronică în format EPUB
Noiembrie 2015, developer.press
ISBN: 978-3-86802-568-2

Revizuirea anuală a securității web 2014


Revizuirea anuală a securității web 2014
Carte electronică în format EPUB
Martie 2015, developer.press
ISBN: 978-3-86802-537-8

Securitate JavaScript


Securitate JavaScript
Carte electronică în format EPUB
Ianuarie 2015, developer.press
ISBN: 978-3-86802-531-6

UI țintă


UI țintă
Carte electronică în format EPUB
Ianuarie 2015, developer.press
ISBN: 978-3-86802-532-3

Securitate Android


Securitate Android
Carte electronică în format EPUB
Octombrie 2014, developer.press
ISBN: 978-3-86802-521-7

Criptarea în epoca NSA


Criptarea în epoca NSA
Carte electronică în format EPUB
Iunie 2014, developer.press
ISBN: 978-3-86802-508-8

Securitate HTML5


Securitate HTML5
Carte electronică în format EPUB
Mai 2012, developer.press
ISBN: 978-3-86802-417-3

Powered by Serendipity & the 2k11-CE temă.