研究人员设计出新的针对SSL攻击技术
许多SSL库的开发者正在发布补丁的漏洞,该漏洞可能被利用恢复明文信息,如浏览器的身份验证cookie,加密的通信。
新的方法来攻击SSL,TLS和DTLS的实现,使用密码块链接(CBC)模式下的加密。新的攻击方法是由的研究人员Nadhem J. AlFardan和Kenneth G.帕特森在伦敦的皇家霍洛威学院的大学发现。
周一发表的研究论文和网站上的详细信息新的攻击,他们被称为幸运的十三。他们已经几个的TLS库的供应商工作,以及IETF(互联网工程任务组)的TLS工作组,来解决这个问题。
TLS(传输层安全)协议和SSL(安全套接字层)协议,它的前身,是在网络上的安全通信的HTTPS(安全超文本传输协议)的主要方法的核心组成部分。 DTLS(数据报传输层安全)协议是基于TLS和应用程序之间的通信UDP(User Datagram Protocol,用户数据报协议)用于加密连接。
研究人员在他们的网站上说:“OpenSSL的,NSS,GNUTLS,yaSSL,PolarSSL,Opera,BouncyCastle的准备修补程序,以保护对我们的攻击模式CBC-TLS。”
这一发现意味着,最终用户可以在理论上是容易受到黑客的攻击,当他们访问HTTPS的网站,但没有应用的补丁。然而,安全专家说,该漏洞是很难利用,所以可能会有一点恐慌。
他们说:“从TLS规范的具体实现中的错误,而不是一个缺陷的攻击出现,攻击适用于符合TLS 1.1或1.2,或DTLS 1.0或1.2的所有TLS和DTLS实现的两种规格的最新版本。它们也适用于SSL 3.0和TLS 1.0实现整合对策以前的Padding Oracle攻击。变体攻击可能也适用于不符合标准的实现。”
这句话的意思是,几乎所有的库,用于实现互联网的一些最重要的安全协议很可能是脆弱的幸运十三攻击。
好消息是,在现实世界中解密数据TLS连接成功地执行这些攻击是困难的,因为他们需要特定的服务器端和客户端的情况下。例如,攻击者需要是非常接近的目标服务器,在同一个本地区域网络(LAN)。
的Padding Oracle攻击已经超过十年。它们涉及攻击者捕获的加密记录在运输过程中,改变它的某些部分,它的服务器和监控服务器失败尝试解密需要多长时间。通过适应他的修改和分析许多解密尝试之间的时间差,攻击者可以最终恢复原始明文一个字节一个字节。
TLS设计师试图阻止此类攻击的TLS规范的1.2版本中,减少时序变化,他们认为将是太低被利用的水平。然而,幸运的13个从AlFardan和百德新研究表明,这一假设是不正确的,成功的Padding Oracle攻击仍然是可能的。
“新AlFardan和百德新结果表明,它的确是可以区分微小的时间差所造成的无效填充,至少从一个比较近的距离 - 例如,通过LAN,”马修绿色,一个密码和研究教授约翰霍普金斯大学,巴尔的摩,马里兰州,周一在一篇博客文章中说。 “这是部分由于在计算硬件的进步:大多数新的计算机现在出货的方便CPU周期计数器。但它是也感谢一些聪明的统计技术,使用许多样品,以顺利出和克服的抖动和噪音的网络连接“。
除了在接近目标服务器,一个成功的幸运十三攻击也需要一个非常高的数字,百万的尝试,以收集足够的数据来进行相关的统计分析时间性差异和克服网络噪声可能会干扰的过程。
为了达到这个目的,攻击者需要一种方法来强迫受害者的浏览器的HTTPS连接到一个非常大的数字。这是可以做到的受害者访问一个网站上的恶意JavaScript代码放置一块。
针对解密的秘密明文,需要有一个固定的位置在HTTPS数据流。这个条件得到满足,通过身份验证(会话) - 小饼干记住登录的用户的网站浏览器的随机存储文本字符串。身份验证cookie可以给攻击者访问用户的帐户,其对应的网站,使其成为一个有价值的信息值得偷。
然而,潜在的攻击者要克服的最大障碍是TLS杀死会议后,每个解密失败尝试,所以需要重新谈判与服务器的会话。格林说:“TLS握手并不快,这种攻击可以数以万计(甚至上百万)的连接[恢复]字节,因此,在实践中,TLS攻击可能需要数天时间。换句话说,不要惊慌。”
Green说,DTLS另一方面不杀死会话,如果服务器无法解密的记录,因为它发生了改变,幸运13攻击边缘的实际,对这个协议。
AlFardan和帕特森说,一个坚定的攻击者是谁靠近被攻击机器可以产生足够的会话的攻击,这些攻击只能进行。从这个意义上说,这些攻击并不构成一个显著的危险,以普通用户的TLS在其目前的形式。然而,这是一个真理,攻击只得到更好的随着时间的推移,和我们无法预测什么改进我们的攻击,或完全新攻击,可能还没有被发现。
伊万Ristic的安全公司Qualys公司的工程总监,幸运十三DTLS,攻击是可行的,但不实用,在其目前的形式TLS。然而,这项研究是从学术的角度来看具有重要意义,他说,周二通过电子邮件。
Web服务器管理员不会受到这些类型的攻击在他们的HTTPS实现的密码套件的优先选择。对于许多人来说,唯一的选择是RC4流加密算法,可追溯到1987年。
Ristic的说:“有一个不喜欢的RC4,因为它的已知缺陷(没有适用或适用于SSL / TLS),但我们还没有看到一个工作中所使用的TLS攻击RC4,从这个意义上说,即使RC4是不理想的,它似乎是强于目前在TLS 1.0的替代品。”
TLS 1.2支持AES-GCM(AES伽罗瓦计数器模式),一个更现代的加密套件,也不会受到这些类型的攻击。然而,整体采用TLS 1.2,是目前低。
根据SSL脉冲,Qualys公司监控的质量,支持SSL / TLS网络上创建一个新项目的数据,只有11%的互联网177,000 HTTPS网站支持TLS 1.2。
Ristic的说:“我认为,这一发现将加快部署TLS 1.2的另一个原因是。”。
这人建议优先考虑TLS,以防止RC4的Padding Oracle攻击,是不是第一次。同样的事情发生在两年前宣布BEAST(对SSL / TLS的浏览器漏洞)攻击。
我们知道,从最近的的SSL脉冲(一月),66.7%的服务器很容易受到野兽的攻击,这意味着他们不优先考虑RC4,Ristic的说:“一个小数目,这些将支持TLS 1.2,可优先考虑非CBC套房只支持这个版本的协议。但是,因为很少有浏览器支持TLS 1.2,我认为我们可以估算,大约有66%的服务器谈判CBC。”