Mae'r broblem yn bresennol yn uniongyrchol yn y fanyleb TLS a dim ond yn effeithio ar gysylltiadau sy'n defnyddio seiffrau yn seiliedig ar brotocol cyfnewid allwedd DH (Diffie-Hellman, TLS_DH_*"). Gyda seiffrau ECDH nid yw'r broblem yn digwydd ac maent yn parhau i fod yn ddiogel. Dim ond protocolau TLS hyd at fersiwn 1.2 sy'n agored i niwed; nid yw'r broblem yn effeithio ar TLS 1.3. Mae'r bregusrwydd yn digwydd mewn gweithrediadau TLS sy'n ailddefnyddio'r allwedd gyfrinachol DH ar draws gwahanol gysylltiadau TLS (mae'r ymddygiad hwn yn digwydd ar oddeutu 4.4% o weinyddion Alexa Top 1M).
Mewn OpenSSL 1.0.2e a datganiadau cynharach, mae'r allwedd gynradd DH yn cael ei hailddefnyddio ym mhob cysylltiad gweinydd oni bai bod yr opsiwn SSL_OP_SINGLE_DH_USE wedi'i osod yn benodol. Ers OpenSSL 1.0.2f, dim ond wrth ddefnyddio ciphers DH statig ("DH-*", e.e. "DH-RSA-AES256-SHA") y mae'r allwedd gynradd DH yn cael ei hailddefnyddio. Nid yw'r bregusrwydd yn ymddangos yn OpenSSL 1.1.1, gan nad yw'r gangen hon yn defnyddio allwedd gynradd DH ac nid yw'n defnyddio seiffrau DH statig.
Wrth ddefnyddio'r dull cyfnewid allwedd DH, mae dwy ochr y cysylltiad yn cynhyrchu allweddi preifat ar hap (allwedd “a” ac allwedd “b” o hyn allan), yn seiliedig ar ba allweddi cyhoeddus (ga mod p a gb mod p) sy'n cael eu cyfrifo a'u hanfon. Ar ôl i bob parti dderbyn yr allweddi cyhoeddus, cyfrifir allwedd gynradd gyffredin (gab mod p), a ddefnyddir i gynhyrchu allweddi sesiwn. Mae ymosodiad Raccoon yn caniatáu ichi bennu'r allwedd gynradd trwy ddadansoddi sianel ochr, yn seiliedig ar y ffaith bod manylebau TLS hyd at fersiwn 1.2 yn mynnu bod holl beit nwl arweiniol yr allwedd gynradd yn cael eu taflu cyn cyfrifiadau sy'n ei gynnwys.
Gan gynnwys yr allwedd gynradd cwtogi yn cael ei drosglwyddo i swyddogaeth cenhedlaeth allweddol sesiwn, sy'n seiliedig ar swyddogaethau hash gyda gwahanol oedi wrth brosesu gwahanol ddata. Mae mesur amseriad gweithrediadau allweddol y gweinydd yn gywir yn caniatáu i'r ymosodwr bennu cliwiau (oracl) sy'n ei gwneud hi'n bosibl barnu a yw'r allwedd gynradd yn dechrau o'r dechrau ai peidio. Er enghraifft, gallai ymosodwr ryng-gipio'r allwedd gyhoeddus (ga) a anfonwyd gan y cleient, ei hail-drosglwyddo i'r gweinydd a phennu
a yw'r allwedd gynradd sy'n deillio o hyn yn dechrau o sero.
Ar ei ben ei hun, nid yw diffinio un beit o'r allwedd yn rhoi unrhyw beth, ond trwy ryng-gipio'r gwerth “ga” a drosglwyddir gan y cleient yn ystod negodi cysylltiad, gall yr ymosodwr gynhyrchu set o werthoedd eraill sy'n gysylltiedig â “ga” a'u hanfon at y gweinydd mewn sesiynau trafod cysylltiad ar wahân. Trwy gynhyrchu ac anfon gwerthoedd “gri*ga”, gall ymosodwr, trwy ddadansoddi newidiadau mewn oedi yn ymateb y gweinydd, bennu'r gwerthoedd sy'n arwain at dderbyn allweddi cynradd gan ddechrau o sero. Ar ôl pennu gwerthoedd o'r fath, gall yr ymosodwr greu set o hafaliadau ar gyfer
Gwendidau OpenSSL
Nodir problemau ychwanegol ar wahân (
Ffynhonnell: opennet.ru