Уязвимост в TLS, позволяваща определяне на ключ за връзки, базирани на DH шифри

Разкрити информация за новото уязвимости (CVE-2020-1968) в протокола TLS, с кодово име
миеща мечка и позволява, в редки случаи, да се определи предварителен първичен ключ (предварително главен), който може да се използва за дешифриране на TLS връзки, включително HTTPS, при прихващане на транзитен трафик (MITM). Отбелязва се, че атаката е много трудна за практическа реализация и има по-скоро теоретичен характер. За извършване на атака е необходима специфична конфигурация на TLS сървъра и възможност за много точно измерване на времето за обработка на сървъра.

Проблемът присъства директно в TLS спецификацията и засяга само връзки, използващи шифри, базирани на DH протокола за обмен на ключове (Diffie-Hellman, TLS_DH_*"). При ECDH шифрите проблемът не възниква и те остават защитени. Само TLS протоколи до версия 1.2 са уязвими; TLS 1.3 не е засегнат от проблема. Уязвимостта възниква при TLS реализации, които използват повторно DH секретния ключ в различни TLS връзки (това поведение се среща на приблизително 4.4% от сървърите на Alexa Top 1M).

В OpenSSL 1.0.2e и по-ранни издания първичният ключ на DH се използва повторно във всички сървърни връзки, освен ако опцията SSL_OP_SINGLE_DH_USE не е изрично зададена. От OpenSSL 1.0.2f първичният ключ на DH се използва повторно само когато се използват статични шифри на DH („DH-*“, напр. „DH-RSA-AES256-SHA“). Уязвимостта не се появява в OpenSSL 1.1.1, тъй като този клон не използва DH първичен ключ и не използва статични DH шифри.

Когато използвате метода за обмен на DH ключове, двете страни на връзката генерират произволни частни ключове (по-нататък ключ „a“ и ключ „b“), въз основа на които се изчисляват и изпращат публични ключове (ga mod p и gb mod p). След като всяка страна получи публичните ключове, се изчислява общ първичен ключ (gab mod p), който се използва за генериране на сесийни ключове. Атаката Raccoon ви позволява да определите първичния ключ чрез анализ на страничния канал въз основа на факта, че спецификациите на TLS до версия 1.2 изискват всички водещи нулеви байтове на първичния ключ да бъдат изхвърлени преди изчисленията, включващи него.

Включително съкратеният първичен ключ се предава на функцията за генериране на сесиен ключ, която се основава на хеш функции с различни забавяния при обработка на различни данни. Точното измерване на времето на ключовите операции, извършвани от сървъра, позволява на атакуващия да определи улики (оракул), които позволяват да се прецени дали първичният ключ започва от нулата или не. Например, нападател може да прихване публичния ключ (ga), изпратен от клиента, да го препредаде на сървъра и да определи
дали полученият първичен ключ започва от нула.

Само по себе си дефинирането на един байт от ключа не дава нищо, но чрез прихващане на стойността „ga“, предадена от клиента по време на преговори за връзка, атакуващият може да генерира набор от други стойности, свързани с „ga“ и да ги изпрати на сървъра в отделни сесии за преговори за връзка. Чрез генериране и изпращане на стойности „gri*ga“ атакуващият може, чрез анализиране на промените в закъсненията в отговора на сървъра, да определи стойностите, които водят до получаване на първични ключове, започващи от нула. След като определи такива стойности, нападателят може да създаде набор от уравнения за решения проблеми със скрити числа и изчислете оригиналния първичен ключ.

OpenSSL уязвимости възложено ниско ниво на опасност и корекцията беше сведена до преместване на проблемните шифри „TLS_DH_*“ във версия 1.0.2w в категорията на шифри с недостатъчно ниво на защита („слаби-ssl-шифри“), което е деактивирано по подразбиране . Разработчиците на Mozilla направиха същото, изключен в библиотеката на NSS, използвана във Firefox, пакетите за шифроване DH и DHE. От Firefox 78 проблемните шифри са деактивирани. Поддръжката на Chrome за DH беше прекратена през 2016 г. Библиотеките BearSSL, BoringSSL, Botan, Mbed TLS и s2n не са засегнати от проблема, защото не поддържат DH шифри или статични варианти на DH шифри.

Допълнителните проблеми се отбелязват отделно (CVE-2020 5929-) в TLS стека на F5 BIG-IP устройства, правейки атаката по-реалистична. По-специално, установени са отклонения в поведението на устройствата при наличие на нулев байт в началото на първичния ключ, което може да се използва вместо измерване на точната латентност на изчисленията.

Източник: opennet.ru