SSLTLS - состојба на работите Dipl-Inform
Информации за ИТ-безбедноста
SSL/TLS - држава на уметноста
Каква е моменталната состојба со безбедноста на SSL/TLS? Помина извесно време од последната статија на оваа тема и има неколку нови случувања.
Алгоритмот RC4 станува проблем
Најновиот напад беше објавен на почетокот на март 2013 година: Надхем АлФардан, Дан Бернштајн, Кени Патерсон, Бертрам Поетеринг и obејкоб Шулт докажаа дека алгоритмот RC4 што се користи за криптирање може да биде делумно скршен за да може да се одредат делови од обичниот текст. Нападот доби CVE ID CVE-2013-2566.
Поточно, нападот во моментов може да ги нападне првите 256 бајти од потокот на обичен текст. Бидејќи првите 36 бајти се состојат од непредвидлива порака од најчесто користениот хаш алгоритам SHA-1, тие не можат да се одредат. Значи, 220 бајти шифриран текст можат ефективно да се дешифрираат. Потребни се приближно 2 30 сесии за ова; со приближно 2 24 сесии, одредени бајти веќе можат сигурно да се дешифрираат.
Тоа звучи како многу, и тоа е. Барем во моментот, ваквиот напад е малку веројатен, особено затоа што најпрво ќе треба да се прилагоди за да се обезбедат податоци од интерес за напаѓачот. На пример, JavaScript-кодот инјектиран на веб-страница може постојано да ја повикува истата URL-адреса HTTPS и да ја користи за дешифрирање на колачето за сесија. Но, ова се само теоретски размислувања, сè уште немало никакво практично спроведување.
Контрамерки
Неодамна шифрата за струја RC4 се користи многу често за TLS. Главно затоа што може брзо да се пресмета и претставува (сега веќе не) безбедна алтернатива на режимот CBC на SSL/TLS, кој е загрозен од нападите на BEAST и Lucky13 (повеќе за ова подоцна). Во меѓувреме, сепак, режимот CBC е обезбеден против BEAST и Lucky13, така што сега може да послужи како алтернатива на RC4. Ако користите соодветно закрпена имплементација на TLS 1.0 или 1.1, можете да користите режим CBC наместо RC4 за шифрирање.
Друга алтернатива се алгоритмите AEAD кои беа воведени со TLS 1.2. Нападот врз RC4 може да доведе до ширење на TLS 1.2. На долг рок, ова е најдоброто решение.
Во теорија, TLS може да ја смени употребата на RC4, на пример со отфрлање на почетокот на текстот за клучеви RC4. Сепак, во пракса, овој пристап е бескорисен, бидејќи штити само од тековно спроведениот напад, но не и од можни нови и понатамошни случувања. Да не спомнувам дека не постои начин да се преговара за такво одрекување во рамките на протоколот TLS, така што ќе бидат потребни големи промени во имплементациите на TLS на клиенти и сервери.
Истото важи и за промените во прелистувачот што може да го направи нападот помалку ефикасен.
TLS и Lucky 13
На почетокот на февруари 2013 година, Надхем АлФардан и Кени Патерсон објавија напад врз шифрирањето на CBC на TLS и DTLS (Безбедност на слојот на транспорт на податоци), наречен „Среќа тринаесет“. Нападот доби CVE ID CVE-2013-0169.
Нападот ја искористи грешката во спецификацијата TLS и е успешно тестирана против OpenSSL и GnuTLS. Во случај на OpenSSL, целиот обичен текст може да се одреди, кога се користи GnuTLS барем делови од него (поточно: 4 бита од последниот бајт од секој блок на обичен текст).
Надхем АлФардан и Кени Патерсон го искористуваат фактот дека пресметката на Кодот за автентикација на пораката (MAC), со кој обичниот текст е заштитен од неоткриена манипулација, трае различни должини за одредени должини на пораките. Ова овозможува да се направи разлика помеѓу пораките со најмалку два точни бајти за полнење (со кои блокот се поставува до соодветната должина) и пораките со еден точен бајт или погрешно форматирано полнење.
Нападите се напади со повеќе сесии, затоа посакуваниот обичен текст мора да се пренесува неколку пати во истата точка во тек на обичен текст во повеќе TLS сесии. Со манипулирање со шифрираниот текст генериран од напаѓачот, се испровоцираат пораки за грешки, а малите временски разлики помеѓу нив за разни манипулации може потоа да се користат за статистички заклучок за обичен текст.
Во наједноставниот случај, при тестирање во LAN, може да се утврди целосен блок обичен текст шифриран со TLS по околу 2 32 TLS сесии. ако HMAC-SHA1 беше користен како алгоритам MAC (комплексноста на нападот зависи од употребениот алгоритам MAC). Ако се знае дека обичниот текст е шифриран со База64, доволни се 2 19 сесии, ако еден бајт од обичен текст на една од последните две позиции на блокот е веќе познат, дури и 2 13 сесии се доволни.
Сè уште има премногу сесии за практичен напад врз ТЛС, особено на мрежата, а временските разлики што можат да се забележат се многу мали. Сепак, тука може да се замислат и напади преку манипулирани веб-страници. DTLS веќе може да биде нападнат, бидејќи сесијата не е прекината веднаш со првата грешка.
Нападот беше наречен „Лаки 13“ затоа што во пресметката на MAC се користат 13 бајти заглавија, без кои нападот не е можен. Иако 13 е всушност несреќен број, барем за напаѓачот тука е среќен број.
Контрамерки
Во теорија, случајните одложувања можат да ги отежнат тајминг нападите, но тоа не функционира во пракса, бидејќи овие случајни одложувања исто така можат да се запишат статистички, само бројот на сесии потребни за напад ќе се зголеми.
Како алтернатива на шифрирањето на CBC, RC4 се понуди себеси. Бот, бидејќи кога Лаки 13 беше ослободен, нападот против RC4 сè уште не беше познат. Во меѓувреме, подобро е да се избегне RC4, така што оваа алтернатива е исклучена.
Како и во случајот на RC4, можно е да се префрлите на еден од алгоритмите на AEAD како што е AES-GCM.
И на крај, но не и најважно, имплементацијата на TBC преку CBC може да се прилагоди така што нападите на страничните канали на тајмингот да не се веќе можни.
Во повеќето имплементации на TLS, како што се OpenSSL, NSS, GnuTLS, yaSSL и PolarSSL, сега се спроведени контрамерки против нападот Лаки 13.
КРИМИНАЛ - Наследник на BEВЕР
Програмерите на БЕСТ Julулијано Рицо и Таји Дуонг претставија нов напад врз SSL/TLS на безбедносната конференција екопарти 2012 во септември 2012 година под наслов „Напад на КРИМИНАЛ“ (презентација како PDF).
КРИМИНАЛ се залага за "Ц.компресија Р.ацио Јасnfo-истекување М.газ Е.xploitation "(или". М.збогум Е.asy ") и дозволува, на пример, колачињата за сесии да се дешифрираат од HTTPS конекција. Предуслов за успешен напад е тој
- напаѓачот може да го набудува мрежниот сообраќај на жртвата, на пример затоа што обајцата користат заеднички отворен WLAN и
- жртвата посетува злонамерна или соодветно подготвена веб-страница. Потоа, напаѓачот го користи за да внесе JavaScript код во прелистувачот на жртвата што го извршила нападот.
Секако, и двете се особено точно ако напаѓачот може да дејствува како човек-во-средина.
Покрај тоа, клиентот и серверот мора да користат компресија, како што е компресија на издишани на TLS или компресија на ниво на апликација, како што е SPDY.
Потоа, напаѓачот може да ја набудува должината на пренесените барања и, преку вешто манипулирање со испратените податоци, да дешифрира или, подобро да погоди, делови од нив. Ако делови од барањето се изманипулирани од напаѓачот, на пример, колачето за сесија, соодветно се намалува должината на барањето. На овој начин, вредноста на колачето може да се одреди чекор по чекор. Видео го демонстрира нападот.
Контрамерки
Криминалниот напад може да се спречи со исклучување на компресијата за врски HTTPS. Прелистувачите оттогаш се соодветно закрпени, доколку се засегнати.
Заклучок
Сумирајќи, може да се каже дека SSL/TLS како протокол е далеку од мртв, а со TLS 1.2 е достапна безбедна нова верзија.
Изгледа полошо со користениот систем за сертификација, премногу често „лажни“ (подобро: погрешно издадени) или на друг начин се појавуваат проблематични сертификати. Едноставно кажано: Системот за сертификација се заснова на доверба, а телата за сертификација постојано докажуваат дека не заслужуваат доверба. Значи, во оваа точка има итна потреба за промени.
Тракек
Дипл.-Информирај. Карстен Ејлерс во вторник, 2 април 2013 година: Вести за Java верзии, пакети со Android, rootkit и SSL/TLS
Дипл.-Информирај. Карстен Ејлерс во вторник, 14 април 2015 година: SSL/TLS - повторно лоши вести!
Дипл.-Информирај. Карстен Ејлерс во среда, 13.05.2015 година: Печатена материја: PHP Magazin 4.2015 - Фалсификување на барање за повеќе страни
Дипл.-Информирај. Карстен Ејлерс во понеделник, 21 декември 2015 година: Нова е-книга: „Безбедност на веб - напади со SSRF, CSRF и XML“
Странична лента
За мене.
Дипл.-Информирај. Карстен Ејлерс
Следи ме.
Тековни записи
Категории
календар
| ← Назад | Декември '20 | |||||
| 1 | 2 | 3 | 4-ти | 5 | 6-ти | |
| 7-ми | 8-ми | 9 | 10 | 11 | 12-ти | 13-ти |
| 14-ти | 15-ти | 16 | 17-ти | 18-ти | 19-ти | 20-ти |
| 21-ви | 22-ри | 23 | 24 | 25-ти | 26-ти | 27 |
| 28 | 29 | 30-ти | 31 | |||
архива
Ве хакираа!
Ве хакираа!
Книга, 578 страници
Декември 2018 година, Рајнверк компјутер
ISBN: 978-3-8362-4460-2
Достапно и како е-книга
Безбедност на iOS
Безбедност на iOS
Книга, 274 страници
Јануари 2014 година, развивач.прес
ISBN: 978-3-86802-101-1
Достапно и како PDF и ePub-eBook
Безбедност на веб
Безбедност на веб
Е-книга во формат EPUB
Декември 2015 година, развивач.прес
ISBN: 978-3-86802-569-9
Безбедност на податоците
Безбедност на податоците
Е-книга во формат EPUB
Ноември 2015 година, развивач.прес
ISBN: 978-3-86802-568-2
Годишен преглед на веб-безбедност 2014 година
Годишен преглед на веб-безбедност 2014 година
Е-книга во формат EPUB
Март 2015 година, развивач.прес
ISBN: 978-3-86802-537-8
Безбедност на JavaScript
Безбедност на JavaScript
Е-книга во формат EPUB
Јануари 2015 година, развивач.прес
ISBN: 978-3-86802-531-6
Целна UI
Целна UI
Е-книга во формат EPUB
Јануари 2015 година, развивач.прес
ISBN: 978-3-86802-532-3
Андроид безбедност
Андроид безбедност
Е-книга во формат EPUB
Октомври 2014 година, развивач.прес
ISBN: 978-3-86802-521-7
Шифрирање во ерата на НСА
Шифрирање во ерата на НСА
Е-книга во формат EPUB
Јуни 2014 година, развивач.прес
ISBN: 978-3-86802-508-8
Безбедност HTML5
Безбедност HTML5
Е-книга во формат EPUB
Мај 2012 година, развивач.прес
ISBN: 978-3-86802-417-3
Напојувано од Serendipity & the 2k11-CE темата.