gwybodaeth am y newydd (CVE-2020-1968) yn y protocol TLS, gyda'r enw cod
a chaniatáu, mewn amgylchiadau prin, i bennu allwedd gynradd ragarweiniol (cyn-feistr), y gellir ei ddefnyddio i ddadgryptio cysylltiadau TLS, gan gynnwys HTTPS, wrth ryng-gipio traffig cludo (MITM). Nodir bod yr ymosodiad yn anodd iawn i'w weithredu'n ymarferol ac yn fwy o natur ddamcaniaethol. I gyflawni ymosodiad, mae angen cyfluniad penodol o'r gweinydd TLS a'r gallu i fesur amser prosesu'r gweinydd yn gywir iawn.
Mae'r broblem yn bresennol yn uniongyrchol yn y fanyleb TLS a dim ond yn effeithio ar gysylltiadau sy'n defnyddio seiffrau yn seiliedig ar brotocol cyfnewid allwedd DH (Diffie-Hellman, TLS_DH_*"). Gyda seiffrau ECDH nid yw'r broblem yn digwydd ac maent yn parhau i fod yn ddiogel. Dim ond protocolau TLS hyd at fersiwn 1.2 sy'n agored i niwed; nid yw'r broblem yn effeithio ar TLS 1.3. Mae'r bregusrwydd yn digwydd mewn gweithrediadau TLS sy'n ailddefnyddio'r allwedd gyfrinachol DH ar draws gwahanol gysylltiadau TLS (mae'r ymddygiad hwn yn digwydd ar oddeutu 4.4% o weinyddion Alexa Top 1M).
Mewn OpenSSL 1.0.2e a datganiadau cynharach, mae'r allwedd gynradd DH yn cael ei hailddefnyddio ym mhob cysylltiad gweinydd oni bai bod yr opsiwn SSL_OP_SINGLE_DH_USE wedi'i osod yn benodol. Ers OpenSSL 1.0.2f, dim ond wrth ddefnyddio ciphers DH statig ("DH-*", e.e. "DH-RSA-AES256-SHA") y mae'r allwedd gynradd DH yn cael ei hailddefnyddio. Nid yw'r bregusrwydd yn ymddangos yn OpenSSL 1.1.1, gan nad yw'r gangen hon yn defnyddio allwedd gynradd DH ac nid yw'n defnyddio seiffrau DH statig.
Wrth ddefnyddio'r dull cyfnewid allwedd DH, mae dwy ochr y cysylltiad yn cynhyrchu allweddi preifat ar hap (allwedd “a” ac allwedd “b” o hyn allan), yn seiliedig ar ba allweddi cyhoeddus (ga mod p a gb mod p) sy'n cael eu cyfrifo a'u hanfon. Ar ôl i bob parti dderbyn yr allweddi cyhoeddus, cyfrifir allwedd gynradd gyffredin (gab mod p), a ddefnyddir i gynhyrchu allweddi sesiwn. Mae ymosodiad Raccoon yn caniatáu ichi bennu'r allwedd gynradd trwy ddadansoddi sianel ochr, yn seiliedig ar y ffaith bod manylebau TLS hyd at fersiwn 1.2 yn mynnu bod holl beit nwl arweiniol yr allwedd gynradd yn cael eu taflu cyn cyfrifiadau sy'n ei gynnwys.
Gan gynnwys yr allwedd gynradd cwtogi yn cael ei drosglwyddo i swyddogaeth cenhedlaeth allweddol sesiwn, sy'n seiliedig ar swyddogaethau hash gyda gwahanol oedi wrth brosesu gwahanol ddata. Mae mesur amseriad gweithrediadau allweddol y gweinydd yn gywir yn caniatáu i'r ymosodwr bennu cliwiau (oracl) sy'n ei gwneud hi'n bosibl barnu a yw'r allwedd gynradd yn dechrau o'r dechrau ai peidio. Er enghraifft, gallai ymosodwr ryng-gipio'r allwedd gyhoeddus (ga) a anfonwyd gan y cleient, ei hail-drosglwyddo i'r gweinydd a phennu
a yw'r allwedd gynradd sy'n deillio o hyn yn dechrau o sero.
Ar ei ben ei hun, nid yw diffinio un beit o'r allwedd yn rhoi unrhyw beth, ond trwy ryng-gipio'r gwerth “ga” a drosglwyddir gan y cleient yn ystod negodi cysylltiad, gall yr ymosodwr gynhyrchu set o werthoedd eraill sy'n gysylltiedig â “ga” a'u hanfon at y gweinydd mewn sesiynau trafod cysylltiad ar wahân. Trwy gynhyrchu ac anfon gwerthoedd “gri*ga”, gall ymosodwr, trwy ddadansoddi newidiadau mewn oedi yn ymateb y gweinydd, bennu'r gwerthoedd sy'n arwain at dderbyn allweddi cynradd gan ddechrau o sero. Ar ôl pennu gwerthoedd o'r fath, gall yr ymosodwr greu set o hafaliadau ar gyfer a chyfrifo'r allwedd gynradd wreiddiol.
Gwendidau OpenSSL lefel isel o berygl, a gostyngwyd yr atgyweiriad i symud y seiffrau problemus “TLS_DH_*” yn natganiad 1.0.2w i’r categori seiffrau â lefel annigonol o amddiffyniad (“gwan-ssl-ciphers”), sy’n anabl yn ddiofyn . Gwnaeth datblygwyr Mozilla yr un peth, yn y llyfrgell NSS a ddefnyddir yn Firefox, y switiau cipher DH a DHE. O Firefox 78, mae seiffrau problemus wedi'u hanalluogi. Daeth cefnogaeth Chrome i DH i ben yn ôl yn 2016. Nid yw'r broblem yn effeithio ar lyfrgelloedd BearSSL, BoringSSL, Botan, Mbed TLS ac s2n oherwydd nad ydynt yn cefnogi seiffrau DH nac amrywiadau sefydlog o seiffrau DH.
Nodir problemau ychwanegol ar wahân () yn y pentwr TLS o ddyfeisiau F5 BIG-IP, gan wneud yr ymosodiad yn fwy realistig. Yn benodol, mae gwyriadau yn ymddygiad dyfeisiau ym mhresenoldeb sero beit ar ddechrau'r allwedd gynradd wedi'u nodi, y gellir eu defnyddio yn lle mesur union hwyrni cyfrifiadau.
Ffynhonnell: opennet.ru