The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Уязвимость в TLS, допускающая определение ключа для соединений на базе шифров DH

10.09.2020 10:26

Раскрыты сведения о новой уязвимости (CVE-2020-1968) в протоколе TLS, получившей кодовое имя Raccoon и позволяющей при редком стечении обстоятельств определить предварительный первичный ключ (pre-master), который можно использовать для расшифровки TLS-соединений, в том числе HTTPS, при перехвате транзитного трафика (MITM). Отмечается, что атака очень сложна для практической реализации и больше носит теоретический характер. Для проведения атаки требуется специфичная конфигурация TLS-сервера и возможность очень точного замера времени обработки операций сервером.

Проблема присутствует непосредственно в спецификации TLS и затрагивает только соединения, использующие шифры на основе протокола обмена ключами DH (Diffie-Hellman, TLS_DH_*"). С шифрами ECDH проблема не проявляется, и они остаются безопасными. Уязвимы только протоколы TLS до версии 1.2 включительно, протокол TLS 1.3 проблеме не подвержен. Уязвимость проявляется в реализациях TLS, повторно использующих секретный ключ DH в разных TLS-соединениях (подобное поведение наблюдается примерно на 4.4% серверов из рейтинга Alexa Top 1M).

В OpenSSL 1.0.2e и более ранних выпусках первичный ключ DH повторно используется во всех серверных соединениях, если явно не выставлена опция SSL_OP_SINGLE_DH_USE. Начиная с OpenSSL 1.0.2f первичный ключ DH повторно используется только при использовании статических DH-шифров ("DH-*", например "DH-RSA-AES256-SHA"). В OpenSSL 1.1.1 уязвимость не проявляется, так как в данной ветке не используется первичный ключ DH и не применяются статические DH-шифры.

При использовании метода обмена ключами DH обе стороны соединения генерируют случайные закрытые ключи (далее ключ "a" и ключ "b"), на основе которых вычисляются и отправляются открытые ключи (ga mod p и gb mod p). После получения открытых ключей каждой стороной вычисляется общий первичный ключ (gab mod p), который применяется для формирования сессионных ключей. Атака Raccoon позволяет определить первичный ключ через анализ информации по сторонним каналам, отталкиваясь от того, что в спецификациях TLS вплоть до версии 1.2 предписывается отбрасывать все начальные нулевые байты первичного ключа перед вычислениями с его участием.

В том числе урезанный первичный ключ передаётся в функцию генерации сессионного ключа, основанную на хэш-функциях с отличающимися задержками при обработке разных данных. Точное измерения времени выполняемых сервером операций с ключом позволяет атакующему определить подсказки (oracle), которые дают возможность судить о том, начинается первичный ключ с нуля или нет. Например, атакующий может перехватить отправленный клиентом открытый ключ (ga), переотправить его на сервер и определить начинается ли с нуля результирующий первичный ключ.

Само по себе определение одного байта ключа ничего не даёт, но перехватив переданное при согласовании соединения клиентом значение "ga" атакующий может сформировать набор других значений, связанных с "ga" и отправить их на сервер в отдельных сеансах согласования соединения. Формируя и отправляя значения "gri*ga", атакующий может через анализ изменения задержек в ответе сервера определить значения, приводящие к получению первичных ключей, начинающихся с нуля. Определив подобные значения атакующий, может составить набор уравнений для решения проблемы скрытых чисел и вычислить исходный первичный ключ.

В OpenSSL уязвимости присвоен низкий уровень опасности, а исправление свелось к перемещению в выпуске 1.0.2w проблемных шифров "TLS_DH_*" в отключённую по умолчанию категорию шифров с недостаточным уровнем защиты ("weak-ssl-ciphers"). Аналогично поступили разработчики Mozilla, которые отключили в библиотеке NSS, используемой в Firefox, наборы шифров DH и DHE. Начиная с Firefox 78 проблемные шифры отключены. В Chrome поддержка DH была прекращена ещё в 2016 году. Библиотеки BearSSL, BoringSSL, Botan, Mbed TLS и s2n проблеме не подвержены, так как не поддерживают шифры DH или статические варианты шифров DH.

Отдельно отмечаются дополнительные проблемы (CVE-2020-5929) в TLS-стеке устройств F5 BIG-IP, делающие атаку более реалистичной. В частности, были выявлены отклонения в поведении устройств при наличии нулевого байта в начале первичного ключа, которые можно использовать вместо измерения точного времени задержки при вычислениях.

  1. Главная ссылка к новости (https://www.mail-archive.com/o...)
  2. OpenNews: Обновление OpenSSL с устранением уязвимости в реализации TLS
  3. OpenNews: Раскрыты детали новой атаки на различные реализации TLS
  4. OpenNews: Критическая уязвимость в системах шифрования email на основе PGP/GPG и S/MIME
  5. OpenNews: Новый метод атаки на TLS, затрагивающий 27 из 100 крупнейших сайтов
  6. OpenNews: Около 5.5% сайтов используют уязвимые реализации TLS
Лицензия: CC-BY
Тип: Проблемы безопасности
Короткая ссылка: https://opennet.ru/53686-tls
Ключевые слова: tls, attack, raccoon
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (56) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (1), 11:35, 10/09/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –42 +/
    Когда уже всем станет понятно что это не работает ! Галимотья сделанная для выкачивания бабла за авторизацию сертификатов непонятно у кого. В реальной жизни вы бы им и уборки унитазов не доверили.
     
     
  • 2.2, Аноним (2), 11:44, 10/09/2020 [^] [^^] [^^^] [ответить]  
  • +7 +/
    Предлагай альтернативу
     
     
  • 3.4, КО (?), 11:45, 10/09/2020 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Игнор
     
  • 3.7, YetAnotherOnanym (ok), 12:07, 10/09/2020 [^] [^^] [^^^] [ответить]  
  • +10 +/
    <troll>Обмен ключами заранее на личной встрече</troll>
     
     
  • 4.25, Иисус (?), 14:55, 10/09/2020 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Ну да, винца не забудь.
     
     
  • 5.45, Онаним (?), 18:53, 10/09/2020 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Чая же. С новичком.
     
  • 3.8, Брат Анон (?), 12:21, 10/09/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    1) Обмен ключами шифрования только при личной встрече
    2) Работа через специфический симулятор
    3) Динамическая генерация ключей от сессии к сессии
    4) Побочный канал для убедиться, что сессия не перехвачена по контрольному слову.
     
     
  • 4.10, Аноним (10), 12:31, 10/09/2020 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Ты не понимаешь зачем это всё нужно. Это нужно, чтобы доступ к чужим данным был только у тех, кому положено его иметь.
     
     
  • 5.55, Аноним (55), 12:58, 11/09/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Без судебного решения не положено!!!

    http://kremlin.ru/acts/constitution/item#chapter2

    Статья 23

    1. Каждый имеет право на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени.

    2. Каждый имеет право на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений. Ограничение этого права допускается только на основании судебного решения.

     
     
  • 6.57, Аноним (10), 13:19, 11/09/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Ну да, это смешно, но как есть. Нигде и никогда за всё хорошее против всего плохого не будет работать как задекларировано. Это всё пустые декламации.
     
     
  • 7.59, Всем Анонимам Аноним (?), 15:05, 12/09/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ну надо сказать, что нигде не написано "не раздать всю страну своим друзьям, чтобы доили". Значит можно.
     
  • 4.63, Аноним (63), 00:03, 15/09/2020 [^] [^^] [^^^] [ответить]  
  • +/
    ФИДО 2.0
     
     
  • 5.64, Брат Анон (?), 14:34, 17/09/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > ФИДО 2.0

    Уважаемый, вы так это написали, как-будто в этом есть что-то плохое.

     
  • 3.27, Сейд (ok), 15:16, 10/09/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    DANE
     
     
  • 4.33, Аноним (33), 16:51, 10/09/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    да не!
     
  • 2.17, Gefest (?), 13:13, 10/09/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Правильно. Сертификаты должно выдавать государство на безвозмездной основе, те даром. Разожрались гады.
     
     
  • 3.22, Sarcastic scutosaurus (?), 14:38, 10/09/2020 [^] [^^] [^^^] [ответить]  
  • +4 +/
    > Сертификаты должно выдавать государство на безвозмездной основе, те даром.

    Забыл уточнить, что выдавать вместе с приватными ключами. Не дело это, когда пользователь сам себе генерит ключ.

     
     
  • 4.31, Gefest (?), 15:58, 10/09/2020 [^] [^^] [^^^] [ответить]  
  • +/
    это неплохо :если ключ официально у тов майора, значит  все что нехорошее случилось - это тов майорова провокация ..
     
  • 4.35, Аноним (35), 17:20, 10/09/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Сбер так и делает.

    А нет, не так. Он генерит, но ничего тебе не выдаёт.
    Просто от твоего имени создаст ключи, подпишет ими документы для пенсионного фонда.
    Заверит тебя что это для твоего же блага - "Нет, нет. Мы не подделываем Вашу подпись. Это просто чтоб Вам не ходит и самому все не подписывать."

    Непонятно почему фонд доверяет ключам сгенерированным сбером. Или сбер уже удостоверяющим центром стал?

     
     
  • 5.60, Всем Анонимам Аноним (?), 15:07, 12/09/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Банки нередко используются для аутентификации личности, надо сказать. Не знаю хорошо это или плохо.
     
  • 4.56, Аноним (55), 13:01, 11/09/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > Забыл уточнить, что выдавать вместе с приватными ключами. Не дело это, когда пользователь сам себе генерит ключ.

    https://www.opennet.ru/openforum/vsluhforumID10/5512.html

     
  • 3.28, Аноним (28), 15:17, 10/09/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    По паспорту.
     
  • 3.54, Сейд (ok), 09:42, 11/09/2020 [^] [^^] [^^^] [ответить]  
  • +/
    И доменные имена.
     
  • 2.19, Аноним (19), 13:55, 10/09/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Если не нужен престиж, то юзай Let's Encrtypt бесплатно. Денег никто не просит.
     
     
  • 3.30, Аноним (30), 15:55, 10/09/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    s/не просит/пока не просит/
     
     
  • 4.40, Сейд (ok), 17:40, 10/09/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Кроме Let’s Encrypt есть ещё Buypass Go.
     
  • 3.37, Аноним (1), 17:31, 10/09/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Тогда может сразу в клоудфларе влезть да табуретку шарпнуть
     
  • 2.41, Аноним (41), 17:41, 10/09/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Ты PKI с алгоритмами шифрования то не путай. В новости проблема у реализации шифрования, а не в PKI.
     
     
  • 3.43, Аноним (1), 18:12, 10/09/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Изучай и как работает и для чего нужен TLS. Это на компьютере можно сделать если что
     

  • 1.3, Аноним (3), 11:45, 10/09/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –6 +/
    > В Chrome поддержка DH была прекращена ещё в 2016 году
    > Начиная с Firefox 78 проблемные шифры отключены.
    > Firefox 78 Release Date: 2020-06-30

    Фф как всегда отстает от хрома на годы.

     
     
  • 2.5, КО (?), 11:46, 10/09/2020 [^] [^^] [^^^] [ответить]  
  • +7 +/
    Зато хрому в инновационых методах зондирования прыти не занимать
     
     
  • 3.9, Аноним (3), 12:27, 10/09/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Помимо телеметрии, в фф присутствует бэкдор, который зовется не бэкдором, а Studies. Такого себе даже гугл не позволял: идти и слепо скачивать какой-то запускаемый код, а потом втихаря выполнять его без спроса и ведома пользователя. Прайваси-фокусед бравзер, не иначе!
     
     
  • 4.11, Аноним (10), 12:37, 10/09/2020 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Ну что вы так волнуетесь. Это блобы кого надо блобы, не переживайте так. Сесурити на самом высоком уровне и мы пока даже не заметили подмены. А если заметили, то сделаем вид, что ничего не было, так что, поводов для беспокойства ровным счётом никаких нет.
     
  • 4.14, хромог (?), 12:45, 10/09/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Такого себе даже гугл не позволял

    да, мы себе такого не позволяем, оформлять встроенный троянец так, чтоб его каждому было видно!
    А то еще, чего доброго, и отключать научитесь, как это и вышло с фуфлофоксой.

    А если бы у вас был мозг - то вы бы задумались, каким это интересным образом гугль "включил для части пользователей поддержку DoH", например.

     
  • 4.20, zzz (??), 14:06, 10/09/2020 [^] [^^] [^^^] [ответить]  
  • –6 +/
    Ага-ага, а software_reporter_tool, который отправляет на сервера гугла подозрительные файлы - наверное, мозиловцы подбросили. И эксперименты с хромом гугл проводит с помощью молитвы - никаких бинарей, что вы. И чего только существует проект ungoogled chromium, ведь в хромиуме нет никаких закладок.
     
     
  • 5.23, Аноним (3), 14:40, 10/09/2020 [^] [^^] [^^^] [ответить]  
  • –4 +/
    software_reporter_tool -- это что-то виндовое, да https source chromium org c... большой текст свёрнут, показать
     
     
  • 6.26, zzz (??), 15:06, 10/09/2020 [^] [^^] [^^^] [ответить]  
  • –5 +/
    >это что-то виндовое, да?

    Это никак не отменяет наличие бэкдора.

    >Очевидный выбор любителей прайваси!

    Ты же себя пяткой бил в грудь, мол, "Такого себе даже гугл не позволял", забыл, пупсик?

     
  • 4.38, Аноним (1), 17:33, 10/09/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    А можно подробнее, ну там файл, номер строки если не затруднит.
     
     
  • 5.49, Аноним (49), 21:13, 10/09/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > А можно подробнее, ну там файл, номер строки если не затруднит.

    Просто очередной хромогуглобой, слышавший звон.

     
  • 2.6, Total Anonimus (?), 12:04, 10/09/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Только сайты , сами "отставшие на годы" - в хроме не открываются ...
     
     
  • 3.13, хромог (?), 12:41, 10/09/2020 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Ну так "для того и брали!"

    Ишь чего удумали, немодных устаревших небезопасТных котиков смотреть! Марш в факбук и ютупчик, там все безопастно, надежно, каждый ваш не то что клик, а случайное шевеление мышью записан и подшит к делу. БезопасТность высшего уровня!

     
  • 3.47, Аноним (47), 19:19, 10/09/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Хром наглый браузер. Произошла ошибка при закачке видео файла (докачка не поддерживалась), так он недокачанный файл удалил, хотя я еще диспетчер загрузок не почистил. Вот наглость. Может, я хотел посмотреть что там.
     
  • 2.42, Аноним (41), 17:44, 10/09/2020 [^] [^^] [^^^] [ответить]  
  • +/
    На дороге в АД? Пусть лучше отстаёт :-)
     

  • 1.16, Alexey (??), 12:54, 10/09/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Главное - придумать имя для уязвимости - TLShole, DHildo.
    А там - заживём...
     
     
  • 2.34, Аноним (34), 16:54, 10/09/2020 [^] [^^] [^^^] [ответить]  
  • +/
    TLSuction
     
  • 2.36, Аноним (36), 17:23, 10/09/2020 [^] [^^] [^^^] [ответить]  
  • +/
    И логотип!
     

  • 1.18, Аноним (18), 13:47, 10/09/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    То есть вместо того, чтобы исправить проблему в старой надёжной криптографии на ... большой текст свёрнут, показать
     
     
  • 2.29, Аноним (-), 15:55, 10/09/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > и попутно удовлетворить NSA насаждением эллиптики.

    "NSA: Use our curves. They were selected *randomly*. Promise, wink wink."
    https://vnhacker.blogspot.com/2020/09/a-history-of-elliptic-curves-in-tweets.h
    речь не о эллиптике вообще, а о анбшной эллиптике.
    по эллиптике много прозрачных материалов тут и тут:
    http://www.herongyang.com/EC-Cryptography/Group-Abelian-Group-on-Elliptic-Cur
    https://eprint.iacr.org/2013/734.pdf (Cryptographic Sanity Check)
    https://www.math.uchicago.edu/~may/REU2014/REUPapers/Parker.pdf
    https://www.ams.org/journals/mcom/1987-48-177/S0025-5718-1987-0866109-5/S0025-
    p.s. в 40-е гб повторно использовало одноразовые блокноты (Venona files), и это не было проблемой блокнотов.

     
     
  • 3.44, Аноним (-), 18:52, 10/09/2020 [^] [^^] [^^^] [ответить]  
  • +/
    "However, secp256r1 uses the very suspicious seed "c49d360886e704936a6 678e1139d26b7819f7e90" which is strangely similar to the backdoor in Dual_EC_DRBG [18]" (A comparison between the secp256r1and the koblitz secp256k1 bitcoin curves)
     

  • 1.24, Секрет (?), 14:48, 10/09/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    Вот бородатым математика не сидится, аж до самых глубин истинности копают ... хоть отвлеклись, на один язык программирования меньше изобрели, и то славно.
     
     
  • 2.32, Аноним (32), 16:08, 10/09/2020 [^] [^^] [^^^] [ответить]  
  • +6 +/
    Если б математикам сиделось спокойно, ты б до сих пор бересту царапал
     

  • 1.48, Аноним (48), 21:13, 10/09/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    > Уязвимы только протоколы TLS до версии 1.2 включительно, протокол TLS 1.3 проблеме не подвержен

    Ну вот, а кто-то возмущался что я на своих веб проектах поддерживаю только 1.3. Ещё и тут и сообщения трут.

     
     
  • 2.52, Сейд (ok), 22:19, 10/09/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Я тоже для межсерверного сообщения включаю только TLS 1.3. Для клиентов (из-за старых версий Android), к сожалению, приходится оставлять TLS 1.2 и TLS 1.3.
     
     
  • 3.61, Ilya Indigo (ok), 17:13, 13/09/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > ...(из-за старых версий Android)...

    А из-за актуальных Яндо-Гуглоботов, не?

     
     
  • 4.62, Сейд (ok), 17:22, 13/09/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Нет. Да и вряд ли они пользуются джаббером и почтой.
     
  • 2.53, Demo (??), 08:36, 11/09/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > Ещё и тут и сообщения трут.

    Вот, мою предыдущую мессагу потёрли.
    Нужно скринить сообщения, потому что тут администрация бардак с кнопкой развела.
    Товарищ или товарищи с синдромом вахтёра дорвались до кнопки.
    Предполагаю, что товарищ ещё думает, что занимается чем-то полезным,
    а его труды не ценят.

     
  • 2.58, Gogi (??), 17:16, 11/09/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Всё зависит от того, ЧТО ты защищаешь. Если ты гадишь юзерам для защиты какого-нть форума, то гореть тебе в аду. А если там магазин какой, то опять же - драконовские меры имеют смысл ТОЛЬКО если ты "автоматом" позволяешь платить за заказ. Если ничего этого нет, то и защита твоя ни***я не стоит.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2020 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру