许多SSL库的开发人员正在释放漏洞的修补程序,这些漏洞可能会被剥削以从加密通信恢复诸如浏览器认证cookie的明文信息。
[还:出于安全原因可能需要SSL解密]
修补程序遵循发现使用密码块 - 链(CBC)模式加密的SSL,TLS和DTLS实现的新方法。新的攻击方法由研究人员Nadhem J. Alfardan和Kenneth G. Paterson开发,伦敦皇家霍洛迪大学。
这些人发表了一个研究论文A.网站周一,关于他们的新攻击的详细信息,他们被称为幸运十三。他们与几个TLS图书馆供应商合作,以及IETF(互联网工程工作组)的TLS工作组,以解决问题。
TLS(传输层安全)协议及其前身SSL(安全套接字层)协议是HTTPS(超文本传输协议安全)的核心部分,HTTPS是保护Web通信安全的主要方法。DTLS(数据报传输层安全)协议基于TLS,用于加密通过UDP(用户数据报协议)通信的应用程序之间的连接。
“OpenSSL,NSS,GNUTLS,YASSL,Polarssl,Opera和Bouncycastle正在准备修补程序以保护TLS在CBC-Mode中免受我们的攻击,”研究人员在其网站上表示。
发现意味着当他们访问没有应用补丁的HTTPS网站时,理论上,最终用户理论上可能会易受黑客攻击。然而,安全专家说脆弱性很难利用,因此警报可能很少。
他们说:“攻击从TLS规范中的缺陷产生,而不是在特定实施中的错误。”“攻击适用于符合TLS 1.1或1.2的所有TLS和DTL实现,或者使用DTL 1.0或1.2 [两个规格的最新版本]。它们还适用于合并对策的SSL 3.0和TLS 1.0的实现以前的填充Oracle攻击。变体攻击也可能适用于不合规的实现。“
这意味着几乎所有用于实施一些互联网最重要的安全协议的库可能很容易受到幸运十三攻击的影响。
好消息是,在现实世界中成功地执行这些攻击来解密来自TLS连接的数据是困难的,因为它们需要特定的服务器端和客户端条件。例如,攻击者需要非常接近目标服务器——在同一个局域网(LAN)上。
十年来填充了甲骨文攻击。它们涉及攻击者在运输过程中捕获加密记录,更改它的某些部分,将其提交给服务器并监控服务器失败的多长时间才能失败。通过调整他的修改并分析许多解密尝试之间的时间差,攻击者最终可以按字节恢复原始的明文字节。
TLS设计人员试图阻止TLS规范的1.2版本中的此类攻击,通过减少它们认为太低的时间变化无法被利用。然而,Alfardan和Paterson的幸运十三研究表明,这一假设是不正确的,并且仍然可以填充填充填充攻击。
"The new AlFardan and Paterson result shows that it is indeed possible to distinguish the tiny timing differential caused by invalid padding, at least from a relatively close distance -- e.g., over a LAN," Matthew Green, a cryptographer and research professor at Johns Hopkins University in Baltimore, Maryland, said Monday in a博客。“这部分是由于计算硬件的进步:现在大多数新电脑现在携带易于访问的CPU周期计数器。但也归功于一些聪明的统计技术,使用许多样本来平滑并克服网络连接的抖动和噪声。“
除了密切接近目标服务器外,一个成功的幸运十三攻击还需要一个非常高的数字 - 数百万的尝试,以便收集足够的数据来对定时差异进行相关的统计分析并克服网络噪音可能会干扰该过程。
为了实现这一目标,攻击者需要一种方法来强制受害者的浏览器来制作一个非常大量的HTTPS连接。这可以通过在受害者访问的网站上放置一块流氓JavaScript代码来完成。
针对解密的秘密明文需要在HTTPS流中具有固定位置。通过身份验证(会话)cookie满足此条件 - 在浏览器中存储的小字符串,以记录登录用户。身份验证cookie可以在其相应的网站上为用户的帐户提供攻击者,使其成为值得窃取的有价值的信息。
但是,潜在攻击者要克服的最大障碍是TLS在每次失败的解密尝试后杀死会话,因此需要与服务器重新协商会话。“TLS握手并不快,这种攻击可能需要数万(或数百万!)每个[恢复]字节的连接,”格林说。“所以在实践中,TLS攻击可能需要数天。换句话说:不要恐慌。”
另一方面,如果服务器无法解密记录,则另一方面不会杀死会话,因为它被改变,使幸运十三攻击边界线对此协议进行了实用。
“攻击只能由确定的攻击者进行,他们靠近机器被攻击,谁可以为攻击产生足够的会话,”Alfardan和Paterson说。“从这个意义上讲,攻击对他们目前的形式没有对普通用户的普通用户构成重大危险。然而,这是一种真实的攻击,攻击只随着时间的推移,我们无法预测我们的攻击,或完全新的改进攻击可能尚未被发现。“
Ivan Ristic是安全公司Qualys的工程主任,同意幸运十三攻击对于DTL,但在其目前的TLS表格中不实用。尽管如此,研究从学术角度来看,他星期二通过电子邮件表示重要。
Web Server管理员可以选择在其HTTPS实现中优先考虑不受这些类型攻击影响的密码套件。对于许多人来说,唯一的选择是RC4,一个追溯到1987的流密码。
“由于其已知的缺陷,”缺乏缺陷“的广泛厌恶(没有应用或应用于SSL / TLS),但我们还没有看到针对RC4的工作攻击,因为TLS中使用的RC4,”Ristic说。“在这种感觉中,即使RC4不理想,它似乎比TLS 1.0中目前可用的替代品更强大。”
TLS 1.2支持AES-GCM(AES Galois Counter模式),更现代化的密码套件,也不容易受到这些类型的攻击。但是,TLS 1.2的整体采用目前低。
根据数据来自SSL脉冲,由Qualys创建的项目来监视网络上的SSL / TLS支持的质量,仅11%的Internet的177,000个HTTPS网站对TLS 1.2提供支持。
“我认为这个发现将是加快TLS 1.2部署的另一个原因,”Ristic说。
这不是人们第一次建议在TL中确定RC4,以防止填充Oracle攻击。两年前,当野兽(浏览器利用SSL / TLS)攻击时发生了同样的事情。
“从最近的SSL脉冲结果(1月)来看,我们知道66.7%的服务器容易受到野兽攻击的影响,这意味着他们没有优先考虑RC4,”Ristic说。“其中,少数将支持TLS 1.2,并且可以在此版本的协议中优先考虑支持的非CBC套件。但是,因为很少的浏览器支持TLS 1.2,我认为我们可以估计大约66%的服务器将谈判CBC。“