两位法国研究人员说,现在有一种实用的、相对快速的64位块密码攻击,可以让攻击者从受http保护的会话中恢复身份验证cookie和其他凭证。遗留密码Triple-DES和Blowfish需要走RC4密码被破坏的道路:已弃用并在任何地方禁用。
法国INRIA的研究人员Karthikeyan Bhargavan和Gaëtan Leurent表示,这款名为Sweet32的软件能够使用三重des (3DES)和Blowfish从受https保护的通信中获取认证cookie,并恢复登录凭证,从而能够访问受害者的账户。这次攻击凸显了为什么网站有必要停止使用传统密码,而升级到现代、更安全的密码。
“我们发现,能够监控浏览器和网站之间长期存在的三重des HTTPS连接的网络攻击者,可以捕获约785 GB的流量,从而恢复安全的HTTP cookie。在我们的概念验证演示中,这种攻击使用恶意Javascript生成流量,目前只需要不到两天的时间。”他们将在10月的第23届ACM计算机与通信安全会议上发表论文全文。
Sweet32是在密码块链(CBC)模式下对三重des (3DES)和Blowfish的碰撞攻击。在CBC模式下,输入冲突导致两个消息块的异或。在这种模式下,当大量的消息块使用相同的密钥进行加密时,冲突就更有可能发生,从而导致获得两个不同消息块的内容作为输出。攻击者可以将受害者的身份验证cookie诱骗到恶意网站,并在受害者的浏览器中注入JavaScript。JavaScript反复向受害者登录的站点发送HTTP查询,每个请求都将包含身份验证cookie。
研究人员发现,如果攻击者发送至少232个查询并捕获所有请求,他们最终将看到冲突,并能够恢复cookie的内容。
“攻击的一个重要要求是在同一个TLS连接中发送大量请求。因此,我们需要找到客户端和服务器,它们不仅可以协商使用Triple-DES,而且还可以在相同的TLS连接中交换大量的HTTP请求(不需要重新密钥)。这可以使用HTTP/1.1 (Keep-Alive)中定义的持久HTTP连接。在客户端,我们测试的所有浏览器(Firefox、Chrome、Opera)都将重用TLS连接,只要服务器保持它的开放状态。”研究人员说。
在TLS、IPsec、SSH和其他协议中仍然支持Blowfish和3DES,知名网站如Nasdaq.com和Walmart.com仍然支持这些传统密码。研究人员估计,大多数OpenVPN连接以及1%到2%的互联网流量可能会受到Sweet32的影响。OpenSSL中使用的实现也受到了影响,尽管OpenSSL的维护者声称这种攻击并没有暴露出一个严重的弱点。
OpenVPN 2.3.12带有一个关于Blowfish弱点的警告和处理Sweet32的安全配置建议。OpenSSL 1.0.2和1.0.1将3DES从“HIGH”关键字移动到“MEDIUM”关键字,并默认支持它,新的OpenSSL 1.1.0将不再编译密码作为默认构建的一部分。想要在OpenSSL 1.1.0中使用遗留密码的管理员需要使用“enable-weak-ssl-cipher”配置选项,即使这样,密码也只允许在“MEDIUM”关键字中使用。主要的浏览器制造商正在做出改变,将优先使用更安全的密码,而不是3DES。
用于设计攻击的技术和原则在密码学圈子里是很容易理解的。研究人员降低了执行攻击所需的复杂性和时间.
“虽然这次袭击背后的原则是众所周知的,但在原则上的攻击和实际的攻击之间总是有区别的。这篇论文表明,我们真的需要开始注意实践了。马修·格林,密码学专家和约翰·霍普金斯大学教授.
仅仅因为袭击是可能的,并不意味着它特别容易实施。对于Sweet32,攻击者需要能够监控终端用户和脆弱网站之间的流量,并控制用户浏览器加载的网页上的JavaScript。收集解密认证cookie所需的数百gb数据需要大约38个小时。这种攻击场景在很大程度上是一个实验室场景,但它仍然是一个很好的提醒,这些攻击最终会变得更容易实施。
企业和开发者应该像对待RC4一样对待3DES和Blowfish:停止使用它。研究人员说,Sweet32的复杂性可与最近开发的针对RC4的攻击相媲美。研究人员开发了更多攻击RC4的方法,加速了它的弃用。主流的浏览器不再支持RC4,像Gmail这样的主流网站也完全弃用了这种密码。
开发人员应该完全停止使用遗留的64位块密码。在Sweet32的情况下,这意味着在TLS中禁用三重DES对称密钥加密,并在OpenVPN中退出Blowfish。具有较大块大小的密码,如AES,则不受Sweet32的影响。服务器管理员也可以完全禁用较短的密码。这将影响一小部分仍然依赖旧硬件和软件的用户。
没有必要等待,直到攻击者很容易和便宜的执行,以摆脱薄弱和脆弱的密码。就像有一个共同的努力抛弃RC4,其他64位密码也需要离开。
这篇文章,“针对三重des的新碰撞攻击,河豚破坏HTTPS会话”最初是由信息世界 .