SSLTLS - stav vecí Dipl-Inform

SSL/TLS - stav techniky

Algoritmus RC4 sa stáva problémom

TLS a Lucky 13

ZLOČIN - nástupca BEAST

Záver

Bočný panel

Spätné odkazy

O mne.

Nasleduj ma.

Aktuálne záznamy

Kategórie

kalendár

archív

Boli ste hacknutý!

Zabezpečenie iOS

Zabezpečenie webu

Bezpečnosť údajov

Výročná správa o zabezpečení webu 2014

Zabezpečenie JavaScriptu

Cieľové používateľské rozhranie

Zabezpečenie systému Android

Šifrovanie vo veku NSA

Zabezpečenie HTML5

Dipl.-Inform. Carsten Eilers v utorok 2. apríla 2013: Novinky o verziách Java, balíkoch Android, rootkite a SSL/TLS

Dipl.-Inform. Carsten Eilers v utorok 14. apríla 2015: SSL/TLS - opäť niekoľko zlých správ!

Dipl.-Inform. Carsten Eilers v stredu 13. mája 2015: Tlačené materiály: PHP Magazin 4.2015 - Cross-Side Request Falšovanie

Dipl.-Inform. Carsten Eilers v pondelok 21. decembra 2015: Nová elektronická kniha: „Zabezpečenie webu - útoky pomocou SSRF, CSRF a XML“

Informácie o bezpečnosti IT

Aká je súčasná situácia s bezpečnosťou SSL/TLS? Od posledného článku o tejto téme už uplynul nejaký čas a je tu niekoľko noviniek.

Posledný útok bol zverejnený začiatkom marca 2013: Nadhem AlFardan, Dan Bernstein, Kenny Paterson, Bertram Poettering a Jacob Schuldt dokázali, že algoritmus RC4 používaný na šifrovanie je možné čiastočne narušiť, aby bolo možné identifikovať časti holého textu. Útok dostal ID CVE CVE-2013-2566.

Konkrétne je možné útok momentálne použiť na útok na prvých 256 bajtov toku obyčajného textu. Pretože prvých 36 bajtov pozostáva z nepredvídateľnej správy z najbežnejšie používaného hash algoritmu SHA-1, nemožno ich určiť. Takže efektívne je možné dešifrovať 220 bajtov šifrovaného textu. Potrebných je na to približne 2 30 relácií; pri približne 2 24 reláciách je možné už niektoré bajty spoľahlivo dešifrovať.

To znie ako veľa a je to tak. Prinajmenšom v súčasnosti je takýto útok nepravdepodobný, najmä preto, že by sa najskôr musel upraviť, aby poskytoval útočníkovi zaujímavé údaje. Napríklad kód JavaScript vložený na web môže opakovane vyvolať rovnakú adresu HTTPS URL a použiť ju na dešifrovanie súboru cookie relácie. Sú to však iba teoretické úvahy, zatiaľ nedošlo k žiadnej praktickej implementácii.

Protiopatrenia

Streamová šifra RC4 sa v poslednej dobe pre TLS používa veľmi často. Hlavne preto, že sa dá rýchlo vypočítať a je (už) bezpečnou alternatívou k CBC režimu SSL/TLS, ktorý je ohrozený útokmi BEAST a Lucky13 (viac o tom za chvíľu). Medzitým bol však režim CBC zabezpečený proti programom BEAST a Lucky13, takže teraz môže slúžiť ako alternatíva k RC4. Ak používate patrične opravenú implementáciu TLS 1.0 alebo 1.1, môžete na šifrovanie použiť namiesto RC4 režim CBC.

Ďalšou alternatívou sú algoritmy AEAD zavedené s protokolom TLS 1.2. Útok na RC4 môže viesť k rozšíreniu TLS 1.2. Z dlhodobého hľadiska je to najlepšie riešenie.

Teoreticky by TLS mohol zmeniť použitie RC4, napríklad zahodením začiatku kľúčového toku RC4. V praxi je však tento prístup zbytočný, pretože chráni iba pred momentálne implementovaným útokom, nie však pred možným novým a ďalším vývojom. Nehovoriac o tom, že neexistuje spôsob, ako vyjednať takéto vzdanie sa práva v rámci protokolu TLS, takže by boli potrebné rozsiahle zmeny implementácií TLS na klientoch a serveroch.

To isté platí pre zmeny v prehliadači, ktoré by mohli znížiť efektivitu útoku.

Začiatkom februára 2013 zverejnili Nadhem AlFardan a Kenny Paterson útok na šifrovanie TLS a DTLS (Datagram Transport Layer Security) pomocou CBC s názvom „Lucky Thirteen“. Útok dostal ID CVE CVE-2013-0169.

Útok využíva chybu v špecifikácii TLS a bol úspešne testovaný proti OpenSSL a GnuTLS. V prípade OpenSSL by sa dal určiť celý holý text, keď by sa aspoň jeho časti používali GnuTLS (presnejšie: 4 bity posledného bajtu každého bloku obyčajného textu).

Nadhem AlFardan a Kenny Paterson využívajú skutočnosť, že výpočet overovacieho kódu správy (MAC), pomocou ktorého je čistý text chránený pred nezistenou manipuláciou, trvá pri určitých dĺžkach správ rôzne dlho. To umožňuje rozlišovať medzi správami s najmenej dvoma správnymi vyplňovacími bajtmi (ktorými je blok vyplnený na príslušnú dĺžku) a správami s jedným správnym bajtom alebo nesprávne naformátovaným vyplnením.

Útoky sú útokmi viacerých relácií, takže požadovaný čistý text musí byť prenášaný niekoľkokrát v rovnakom okamihu v toku obyčajného textu v niekoľkých reláciách TLS. Manipuláciou s šifrovacím textom generovaným útočníkom sa vyvolávajú chybové správy a malé časové rozdiely medzi nimi pre rôzne manipulácie sa potom dajú použiť na štatistické odvodenie obyčajného textu.

V najjednoduchšom prípade by pri testovaní v sieti LAN bolo možné určiť úplný blok obyčajného textu šifrovaného TLS po približne 2 32 reláciách TLS. ak bol ako algoritmus MAC použitý HMAC-SHA1 (zložitosť útoku závisí od použitého algoritmu MAC). Ak je známe, že holý text má kódovanie Base64, stačí 2 19 relácií, ak je už jeden bajt obyčajného textu v jednej z posledných dvoch pozícií bloku známy, stačí aj 2 13 relácií.

Stále existuje príliš veľa relácií na praktický útok na TLS, najmä na webe, a časové rozdiely, ktoré možno pozorovať, sú veľmi malé. Aj tu sú však možné útoky prostredníctvom manipulovaných webových stránok. Na DTLS však už možno zaútočiť, pretože relácia sa neukončí okamžite pri prvej chybe.

Útok dostal názov „Lucky 13“, pretože pri výpočte adresy MAC sa používa 13 bajtov hlavičky, bez ktorých by útok nebol možný. Aj keď 13 je v skutočnosti nešťastné číslo, minimálne pre útočníka je to tu šťastné číslo.

Protiopatrenia

Teoreticky by náhodné oneskorenia mohli sťažiť načasovanie útokov, ale v praxi to nefunguje, pretože tieto náhodné oneskorenia je možné zaznamenať aj štatisticky, len by sa zvýšil počet relácií potrebných na útok.

Ako alternatívu k šifrovaniu CBC sa ponúkla spoločnosť RC4. Bot, pretože keď bol Lucky 13 prepustený, útok proti RC4 ešte nebol známy. Zatiaľ je lepšie vyhnúť sa RC4, aby bola táto alternatíva vylúčená.

Rovnako ako v prípade RC4 je možné prepnúť na jeden z algoritmov AEAD, ako je AES-GCM.

V neposlednom rade je možné implementáciu CBC TLS prispôsobiť tak, aby už nebolo možné načasovanie útokov na bočný kanál.

Vo väčšine implementácií TLS, ako sú OpenSSL, NSS, GnuTLS, yaSSL a PolarSSL, sú teraz implementované protiopatrenia proti útoku Lucky 13.

Vývojári spoločnosti BEAST Juliano Rizzo a Thai Duong predstavili na bezpečnostnej konferencii ekoparty 2012 v septembri 2012 nový útok na SSL/TLS pod názvom „The CRIME Attack“ (prezentácia vo formáte PDF).

CRIME znamená „C.kompresia R.atio I.nfo-únik M.zadok E.xploitation "(alebo". M.Zbohom E.asy ") a umožňuje napríklad dešifrovať súbory cookie relácie z pripojenia HTTPS. Predpokladom úspešného útoku je, že

útočník môže sledovať sieťový prenos obete, napríklad preto, že obaja používajú zdieľanú otvorenú sieť WLAN a
obeť navštívi škodlivú alebo vhodne pripravenú webovú stránku. Útočník ho potom použije na vloženie kódu JavaScript do prehliadača obete, ktorá útok vykonala.

Samozrejme, obe sú obzvlášť pravdivé, ak môže útočník vystupovať ako muž v prostriedku.

Klient a server musia navyše používať kompresiu, napríklad kompresiu deflácie TLS alebo kompresiu na úrovni aplikácie, napríklad SPDY.

Útočník potom môže sledovať dĺžku prenášaných požiadaviek a pomocou šikovnej manipulácie s odoslanými údajmi ich dešifrovať alebo, lepšie odhadnúť, ich častí. Ak sa časti žiadosti manipulované útočníkom zhodujú, napríklad cookie relácie, dĺžka žiadosti sa zodpovedajúcim spôsobom skráti. Týmto spôsobom je možné krok za krokom určiť hodnotu súboru cookie. Video demonštruje útok.

Protiopatrenia

Útoku typu CRIME sa dá zabrániť vypnutím kompresie pre pripojenia HTTPS. Prehliadače boli odvtedy zodpovedajúcim spôsobom opravené, ak sú ovplyvnené.

V súhrne možno povedať, že SSL/TLS ako protokol ešte nie je mŕtvy a s TLS 1.2 je k dispozícii nová bezpečná verzia.

S použitým certifikačným systémom to vyzerá horšie, príliš často sa objavujú „falošné“ (lepšie: nesprávne vydané) alebo inak problematické certifikáty. Zjednodušene povedané: Certifikačný systém je založený na dôvere a certifikačné orgány opakovane dokazujú, že si dôveru nezaslúžia. V tomto okamihu je teda nevyhnutná zmena.

Dipl.-Inform. Carsten Eilers

Pon Utorok St Štv Pia So Ne

Boli ste hacknutý!
Kniha, 578 strán
December 2018, Rheinwerk Computing
ISBN: 978-3-8362-4460-2
K dispozícii aj ako eKniha

Zabezpečenie iOS
Kniha, 274 strán
Januára 2014, developer.press
ISBN: 978-3-86802-101-1
K dispozícii tiež ako PDF a ePub-eBook

Zabezpečenie webu
E-kniha vo formáte EPUB
December 2015, developer.press
ISBN: 978-3-86802-569-9

Bezpečnosť údajov
E-kniha vo formáte EPUB
November 2015, developer.press
ISBN: 978-3-86802-568-2

Výročná správa o zabezpečení webu 2014
E-kniha vo formáte EPUB
Marec 2015, developer.press
ISBN: 978-3-86802-537-8

Zabezpečenie JavaScriptu
E-kniha vo formáte EPUB
Januára 2015, developer.press
ISBN: 978-3-86802-531-6

Cieľové používateľské rozhranie
E-kniha vo formáte EPUB
Januára 2015, developer.press
ISBN: 978-3-86802-532-3

Zabezpečenie systému Android
E-kniha vo formáte EPUB
Október 2014, developer.press
ISBN: 978-3-86802-521-7

Šifrovanie vo veku NSA
E-kniha vo formáte EPUB
Jún 2014, developer.press
ISBN: 978-3-86802-508-8

Decembra '20

Zabezpečenie HTML5
E-kniha vo formáte EPUB
Máj 2012, developer.press
ISBN: 978-3-86802-417-3

Vytvorené spoločnosťou Serendipity & 2k11-CE téma.