berriari buruzko informazioa (CVE-2020-1968) TLS protokoloan, kode izenarekin
eta, kasu bakanetan, aurretiazko lehen gako bat (aurre-master) zehaztea ahalbidetzen du, TLS konexioak deszifratzeko erabil daitekeena, HTTPS barne, garraio-trafikoa atzematean (MITM). Kontuan izan da erasoa gauzatze praktikorako oso zaila dela eta izaera teorikoagoa dela. Eraso bat egiteko, TLS zerbitzariaren konfigurazio zehatz bat eta zerbitzariaren prozesatzeko denbora oso zehatz neurtzeko gaitasuna behar dira.
Arazoa TLS zehaztapenean dago zuzenean eta DH gakoen truke protokoloan oinarritutako zifraketak erabiltzen dituzten konexioei soilik eragiten die (Diffie-Hellman, TLS_DH_*"). ECDH zifraketekin ez da arazoa gertatzen eta seguru geratzen dira. 1.2 bertsiora arteko TLS protokoloak bakarrik dira zaurgarriak; TLS 1.3-k ez du arazoaren eraginik. Ahultasuna TLS konexio desberdinetan DH gako sekretua berrerabiltzen duten TLS inplementazioetan gertatzen da (portaera hau Alexa Top 4.4M zerbitzarien %1tan gertatzen da gutxi gorabehera).
OpenSSL 1.0.2e eta aurreko bertsioetan, DH gako nagusia berrerabiltzen da zerbitzariaren konexio guztietan, SSL_OP_SINGLE_DH_USE aukera esplizituki ezarri ezean. OpenSSL 1.0.2f geroztik, DH gako nagusia DH zifraketa estatikoak erabiltzen direnean soilik berrerabiltzen da ("DH-*", adibidez, "DH-RSA-AES256-SHA"). Ahultasuna ez da OpenSSL 1.1.1-en agertzen, adar honek ez baitu DH gako nagusirik erabiltzen eta ez baitu DH zifraketa estatikorik erabiltzen.
DH gakoen truke-metodoa erabiltzean, konexioaren bi aldeek ausazko gako pribatuak sortzen dituzte (aurrerantzean "a" gakoa eta "b" gakoa), zeinetan oinarrituta gako publikoak (ga mod p eta gb mod p) kalkulatu eta bidaltzen diren. Alderdi bakoitzak gako publikoak jaso ondoren, lehen gako komun bat (gab mod p) kalkulatzen da, saio-gakoak sortzeko erabiltzen dena. Raccoon-en erasoak gako nagusia zehaztea ahalbidetzen du alboko kanalen analisiaren bidez, 1.2 bertsiora arteko TLS zehaztapenek gako nagusiaren byte nulu nagusi guztiak baztertu behar dituztelako kalkuluen aurretik.
Moztutako gako nagusia barne, saio-gakoak sortzeko funtziora pasatzen da, datu desberdinak prozesatzen direnean atzerapen desberdinak dituzten hash funtzioetan oinarritzen dena. Zerbitzariak egiten dituen gako-eragiketen denbora zehatz-mehatz neurtzeak, erasotzaileak gako nagusia hutsetik hasten den ala ez epaitzen duten arrastoak (orakulua) zehaztea ahalbidetzen du. Adibidez, erasotzaile batek bezeroak bidalitako gako publikoa (ga) atzeman dezake, zerbitzariari birtransmititu eta zehaztu
ea sortzen den gako nagusia zerotik hasten den.
Berez, gakoaren byte bat definitzeak ez du ezer ematen, baina bezeroak konexioaren negoziazioan igorritako "ga" balioa atzemanez, erasotzaileak "ga"-ri lotutako beste balio multzo bat sor dezake eta bidali zerbitzaria konexioa negoziatzeko saio bereizietan. "gri*ga" balioak sortuz eta bidaliz, erasotzaileak zerbitzariaren erantzunean izandako atzerapenen aldaketak aztertuz, zerotik hasita lehen gakoak jasotzera eramaten duten balioak zehaztu ditzake. Horrelako balioak zehaztuta, erasotzaileak ekuazio multzo bat sor dezake eta kalkulatu jatorrizko gako nagusia.
OpenSSL ahultasunak arrisku-maila baxua, eta konponketa 1.0.2w bertsioko "TLS_DH_*" zifraketa problematikoak babes maila ez duten zifraketen kategoriara mugitzera murriztu zen ("weak-ssl-ciphers"), lehenespenez desgaituta dagoena. . Mozillako garatzaileek gauza bera egin zuten, Firefox-en erabiltzen den NSS liburutegian, DH eta DHE zifratze suiteetan. Firefox 78-tik aurrera, zifraketa problematikoak desgaituta daude. DH-rako Chrome-ren laguntza 2016an eten zen. BearSSL, BoringSSL, Botan, Mbed TLS eta s2n liburutegiek ez dute arazoaren eraginik, ez baitute onartzen DH zifraketak edo DH zifraketen aldaera estatikoak.
Arazo gehigarriak bereizita adierazten dira () F5 BIG-IP gailuen TLS pilan, erasoa errealistagoa bihurtuz. Bereziki, lehen gakoaren hasieran zero byte baten aurrean dauden gailuen portaeraren desbideratzeak identifikatu dira, kalkuluen latentzia zehatza neurtu beharrean erabil daitezkeenak.
Iturria: opennet.ru