impormasyon bahin sa bag-o (CVE-2020-1968) sa TLS protocol, gi-codenamed
ug pagtugot, sa talagsaon nga mga kahimtang, sa pagtino sa usa ka pasiuna nga panguna nga yawe (pre-master), nga mahimong magamit sa pag-decrypt sa mga koneksyon sa TLS, lakip ang HTTPS, kung mag-intercept sa transit traffic (MITM). Namatikdan nga ang pag-atake lisud kaayo alang sa praktikal nga pagpatuman ug labaw pa sa usa ka teoretikal nga kinaiya. Aron mahimo ang usa ka pag-atake, gikinahanglan ang usa ka piho nga pag-configure sa TLS server ug ang abilidad sa tukma nga pagsukod sa oras sa pagproseso sa server.
Ang problema anaa direkta sa TLS specification ug makaapekto lamang sa mga koneksyon gamit ang ciphers base sa DH key exchange protocol (Diffie-Hellman, TLS_DH_*"). Uban sa ECDH cipher ang problema dili mahitabo ug sila nagpabilin nga luwas. Ang mga protocol lamang sa TLS hangtod sa bersyon 1.2 ang huyang; Ang TLS 1.3 dili apektado sa problema. Ang pagkahuyang mahitabo sa mga pagpatuman sa TLS nga gigamit pag-usab ang sekreto nga yawe sa DH sa lainlaing mga koneksyon sa TLS (kini nga pamatasan mahitabo sa gibana-bana nga 4.4% sa mga server sa Alexa Top 1M).
Sa OpenSSL 1.0.2e ug sa sayo pa nga mga pagpagawas, ang DH primary key gigamit pag-usab sa tanang koneksyon sa server gawas kon ang SSL_OP_SINGLE_DH_USE nga opsyon klarong gitakda. Sukad sa OpenSSL 1.0.2f, ang panguna nga yawe sa DH gigamit ra kung mogamit mga static nga DH ciphers ("DH-*", pananglitan "DH-RSA-AES256-SHA"). Ang pagkahuyang dili makita sa OpenSSL 1.1.1, tungod kay kini nga sanga wala mogamit usa ka panguna nga yawe sa DH ug wala mogamit mga static nga DH cipher.
Kung gamiton ang pamaagi sa pagbayloay sa yawe sa DH, ang duha ka kilid sa koneksyon makamugna ug random nga mga pribado nga yawe (pagkahuman yawe "a" ug yawe "b"), base kung diin ang mga yawe sa publiko (ga mod p ug gb mod p) gikalkula ug gipadala. Human madawat sa matag partido ang mga publikong yawe, usa ka komon nga panguna nga yawe (gab mod p) ang kalkulado, nga gigamit sa pagmugna og mga yawe sa sesyon. Gitugotan ka sa pag-atake sa Raccoon nga mahibal-an ang panguna nga yawe pinaagi sa pagsusi sa kilid sa channel, base sa kamatuoran nga ang mga detalye sa TLS hangtod sa bersyon 1.2 nanginahanglan nga ang tanan nga nanguna nga null byte sa panguna nga yawe isalikway sa wala pa ang mga kalkulasyon nga naglambigit niini.
Lakip ang giputol nga panguna nga yawe gipasa sa function sa paghimo sa yawe sa sesyon, nga gibase sa mga gimbuhaton sa hash nga adunay lainlaing mga paglangan kung giproseso ang lainlaing mga datos. Ang tukma nga pagsukod sa timing sa mga yawe nga operasyon nga gihimo sa server nagtugot sa tig-atake sa pagtino sa mga timailhan (oracle) nga nagpaposible sa paghukom kung ang panguna nga yawe nagsugod gikan sa wala o dili. Pananglitan, ang usa ka tig-atake mahimong makapugong sa publiko nga yawe (ga) nga gipadala sa kliyente, ipadala kini pag-usab sa server ug mahibal-an
kung ang resulta nga panguna nga yawe magsugod gikan sa zero.
Sa iyang kaugalingon, ang paghubit sa usa ka byte sa yawe wala maghatag bisan unsa, apan pinaagi sa pag-intercept sa "ga" nga kantidad nga gipasa sa kliyente sa panahon sa negosasyon sa koneksyon, ang tig-atake mahimo’g makamugna usa ka hugpong sa ubang mga kantidad nga adunay kalabotan sa "ga" ug ipadala kini sa ang server sa lain nga mga sesyon sa negosasyon sa koneksyon. Pinaagi sa paghimo ug pagpadala sa "gri*ga" nga mga kantidad, ang usa ka tig-atake mahimo, pinaagi sa pag-analisar sa mga pagbag-o sa mga paglangan sa tubag sa server, mahibal-an ang mga kantidad nga magdala sa pagdawat sa mga panguna nga yawe sugod sa zero. Sa pagtino sa ingon nga mga kantidad, ang tig-atake makahimo og usa ka hugpong sa mga equation alang sa ug kuwentaha ang orihinal nga panguna nga yawe.
Mga kahuyangan sa OpenSSL ubos nga lebel sa kapeligrohan, ug ang pag-ayo gipakunhod ngadto sa paglihok sa mga problemadong ciphers "TLS_DH_*" sa pagpagawas sa 1.0.2w ngadto sa kategoriya sa mga cipher nga adunay dili igo nga lebel sa proteksyon ("weak-ssl-ciphers"), nga gibabagan pinaagi sa default . Ang mga developer sa Mozilla nagbuhat sa samang butang, sa NSS library nga gigamit sa Firefox, ang DH ug DHE cipher suites. Ingon sa Firefox 78, ang mga problema nga ciphers gi-disable. Ang suporta sa Chrome alang sa DH gihunong sa 2016. Ang BearSSL, BoringSSL, Botan, Mbed TLS ug s2n nga mga librarya wala maapektuhan sa problema tungod kay wala sila nagsuporta sa DH ciphers o static nga mga variant sa DH ciphers.
Ang dugang nga mga problema gilain nga gitala () sa TLS stack sa F5 BIG-IP nga mga himan, nga naghimo sa pag-atake nga mas realistiko. Sa partikular, nahibal-an ang mga pagtipas sa pamatasan sa mga aparato sa presensya sa usa ka zero byte sa sinugdanan sa panguna nga yawe, nga mahimong magamit imbis nga sukdon ang eksaktong latency sa mga kalkulasyon.
Source: opennet.ru