首页 >生活 > 内容

研究人员设计了针对SSL的新攻击技术

生活 2021-03-13 02:02:41

许多SSL库的开发人员正在为一个漏洞发布补丁,该漏洞可能被用来从加密通信中恢复明文信息,例如浏览器身份验证cookie。

修补工作之前,发现了新的方法来攻击SSL,TLS和DTLS实现,使用密码块链(CBC)模式加密。这些新的攻击方法是由伦敦大学皇家霍洛韦学院的研究人员纳赫姆·阿尔法丹和肯尼斯·G·帕特森开发的。

这些人周一发表了一篇研究论文和一个网站,详细介绍了他们的新攻击,他们称之为“幸运十三”。他们已经与几个TLS图书馆供应商以及IE TF(互联网工程工作队)的TLS工作组合作解决了这个问题。

HPE赞助的Brand Post

下一章资讯科技业的定义:资讯科技服务的现场运作

“作为服务”模式提供的是服务,而不是产品;灵活性而不是刚性;以及与业务结果相一致的成本。

传输层安全(T LS)协议及其前身SSL(Secure SocketsLayer)协议是HTTPS(HypertextTransfer Protocol Secure)的核心部分,是在Web上保护通信的主要方法。数据报传输层安全(D TL S)协议基于TLS,用于加密在UDP(用户数据报协议)上通信的应用程序之间的连接。

研究人员在他们的网站上说:“OpenSSL、NSS、GnuTLS、yaSSL、PolarSSL、Opera和Bounty Castle正在准备补丁,以保护CBC模式下的TLS免受我们的攻击。”

这一发现意味着,最终用户在访问没有应用补丁的HTTPS网站时,理论上可能会受到黑客的攻击。不过,安全专家表示,这种漏洞很难利用,因此可能没有什么值得警惕的理由。

他们说:“攻击来自TLS规范的缺陷,而不是特定实现中的bug。”攻击适用于符合TLS1.1或1.2或DTLS1.0或1.2[两种规范的最新版本]的所有TLS和DTLS实现。它们还适用于SSL3.0和TLS1.0的实现,其中包含了对以前的填充Oracle攻击的反措施。不同的攻击也可能适用于不符合要求的实现。

这意味着几乎所有用于实现互联网上一些最重要的安全协议的库都可能容易受到Lucky13攻击。

好消息是,在现实世界中成功地执行这些攻击从TLS连接中解密数据是困难的,因为它们需要特定的服务器端和客户端条件。例如,攻击者需要非常接近目标服务器-在同一个局域网(LAN)上。

padingoracle攻击已经有十多年的历史了。它们涉及攻击者在传输过程中捕获加密记录,改变其某些部分,将其提交给服务器,并监视服务器需要多长时间才能使解密尝试失败。通过适应他的修改和分析许多解密尝试之间的时间差异,攻击者最终可以通过字节恢复原始明文字节。

在TLS规范的1.2版本中,TLS设计人员试图阻止这样的攻击,将时间变化降低到他们认为太低而无法开发的水平。然而,来自阿尔法丹和帕特森的幸运十三号研究表明,这一假设是不正确的,成功的填充甲骨文攻击仍然是可能的。

美国马里兰州巴尔的摩约翰·霍普金斯大学密码学家、研究教授马修·格林星期一在博客上说:“新的Al Fardan和Paterson的研究结果表明,至少从相对较近的距离上可以分辨出由填充物无效所造成的微小的时间差异。“这在一定程度上是由于计算机硬件的进步:大多数新计算机现在都配备了易于访问的CPU周期计数器。但这也要感谢一些巧妙的统计技术,这些技术使用许多样本来平滑和克服网络连接的抖动和噪音。”

除了接近目标服务器外,成功的Lucky13攻击还需要大量----数百万次----的尝试,以便收集足够的数据,对时间差异进行相关统计分析,克服可能干扰进程的网络噪声。

为了实现这一点,攻击者需要一种方法来迫使受害者的浏览器进行非常多的HT TPS连接。这可以通过在受害者访问的网站上放置一段流氓JavaScript代码来实现。

针对解密的秘密明文需要在HTTP S流中有固定的位置。这一条件是通过身份验证(会话)cookie来满足的-由网站在浏览器中存储的用于记住登录用户的随机文本的小字符串。认证cookie可以让攻击者访问其相应网站上的用户帐户,使其成为值得窃取的宝贵信息。

然而,潜在攻击者要克服的最大障碍是TLS在每次解密尝试失败后杀死会话,因此会话需要与服务器重新协商。“TLS握手并不快,这种攻击可能需要数万(或数百万!)每个[恢复的]字节的连接,”格林说。“所以实际上TLS攻击可能需要数天。换句话说,不要惊慌。”

另一方面,如果服务器未能解密一个记录,因为它被改变了,DTLS不会杀死会话,这使得“幸运十三”攻击与该协议不符。

阿尔法丹和帕特森说:“攻击只能由一个坚定的攻击者实施,他位于被攻击的机器附近,能够为攻击产生足够的会话。”“从这个意义上说,这些攻击以目前的形式对TLS的普通用户不构成重大危险。然而,这是一个真理,攻击只有随着时间的推移才会变得更好,我们无法预料我们的攻击或全新的攻击可能还会有什么改进。”

安全公司Qualys的工程总监伊万·里斯蒂奇(Ivan Ristic)同意,幸运十三号攻击对DTLS来说是实用的,但对TLS来说,它们目前的形式并不实用。不过,他周二通过电子邮件表示,从学术角度来看,这项研究意义重大。

Web服务器管理员可以选择在其HTTPS实现中对不受这些类型攻击影响的密码套件进行优先排序。对许多人来说,唯一的选择是RC4,这是一种可以追溯到1987年的流密码。

Ristic说:“人们普遍不喜欢RC4,因为它有已知的缺陷(没有一个适用于SSL/TLS),但我们还没有看到TLS中使用的针对RC4的工作攻击。”从这个意义上说,尽管RC4并不理想,但它似乎比TLS1.0中现有的替代品更强。

TLS1.2支持AES-GCM(AES Galois计数器模式),这是一个更现代的密码套件,也不容易受到这些类型的攻击。然而,TLS1.2的总体采用率目前较低。

根据Qualys创建的SSL Pulse项目的数据,该项目旨在监测SSL/TLS在整个Web上的支持质量,在互联网排名前17.7万位的HTTPS网站中,只有11%的网站支持TLS1.2。

“我认为这一发现将是加快TLS1.2部署的又一个原因,”Ristic说。

这不是人们第一次建议在TLS中优先使用RC4来防止填充oracle攻击。同样的事情发生在两年前,当时宣布了BEAST(浏览器利用SSL/TLS)攻击。

Ristic说:“从最近的SSL Pulse结果(1月)来看,我们知道66.7%的服务器容易受到BEAST攻击,这意味着它们不会优先使用RC4。“其中,一小部分将支持TLS1.2,并可能优先考虑仅在此版本的协议中支持的非CBC套件。然而,由于支持TLS1.2的浏览器太少,我认为我们可以估计大约66%的服务器将谈判CBC。”

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时候联系我们修改或删除,多谢。