Arazoa TLS zehaztapenean dago zuzenean eta DH gakoen truke protokoloan oinarritutako zifraketak erabiltzen dituzten konexioei soilik eragiten die (Diffie-Hellman, TLS_DH_*"). ECDH zifraketekin ez da arazoa gertatzen eta seguru geratzen dira. 1.2 bertsiora arteko TLS protokoloak bakarrik dira zaurgarriak; TLS 1.3-k ez du arazoaren eraginik. Ahultasuna TLS konexio desberdinetan DH gako sekretua berrerabiltzen duten TLS inplementazioetan gertatzen da (portaera hau Alexa Top 4.4M zerbitzarien %1tan gertatzen da gutxi gorabehera).
OpenSSL 1.0.2e eta aurreko bertsioetan, DH gako nagusia berrerabiltzen da zerbitzariaren konexio guztietan, SSL_OP_SINGLE_DH_USE aukera esplizituki ezarri ezean. OpenSSL 1.0.2f geroztik, DH gako nagusia DH zifraketa estatikoak erabiltzen direnean soilik berrerabiltzen da ("DH-*", adibidez, "DH-RSA-AES256-SHA"). Ahultasuna ez da OpenSSL 1.1.1-en agertzen, adar honek ez baitu DH gako nagusirik erabiltzen eta ez baitu DH zifraketa estatikorik erabiltzen.
DH gakoen truke-metodoa erabiltzean, konexioaren bi aldeek ausazko gako pribatuak sortzen dituzte (aurrerantzean "a" gakoa eta "b" gakoa), zeinetan oinarrituta gako publikoak (ga mod p eta gb mod p) kalkulatu eta bidaltzen diren. Alderdi bakoitzak gako publikoak jaso ondoren, lehen gako komun bat (gab mod p) kalkulatzen da, saio-gakoak sortzeko erabiltzen dena. Raccoon-en erasoak gako nagusia zehaztea ahalbidetzen du alboko kanalen analisiaren bidez, 1.2 bertsiora arteko TLS zehaztapenek gako nagusiaren byte nulu nagusi guztiak baztertu behar dituztelako kalkuluen aurretik.
Moztutako gako nagusia barne, saio-gakoak sortzeko funtziora pasatzen da, datu desberdinak prozesatzen direnean atzerapen desberdinak dituzten hash funtzioetan oinarritzen dena. Zerbitzariak egiten dituen gako-eragiketen denbora zehatz-mehatz neurtzeak, erasotzaileak gako nagusia hutsetik hasten den ala ez epaitzen duten arrastoak (orakulua) zehaztea ahalbidetzen du. Adibidez, erasotzaile batek bezeroak bidalitako gako publikoa (ga) atzeman dezake, zerbitzariari birtransmititu eta zehaztu
ea sortzen den gako nagusia zerotik hasten den.
Berez, gakoaren byte bat definitzeak ez du ezer ematen, baina bezeroak konexioaren negoziazioan igorritako "ga" balioa atzemanez, erasotzaileak "ga"-ri lotutako beste balio multzo bat sor dezake eta bidali zerbitzaria konexioa negoziatzeko saio bereizietan. "gri*ga" balioak sortuz eta bidaliz, erasotzaileak zerbitzariaren erantzunean izandako atzerapenen aldaketak aztertuz, zerotik hasita lehen gakoak jasotzera eramaten duten balioak zehaztu ditzake. Horrelako balioak zehaztuta, erasotzaileak ekuazio multzo bat sor dezake
OpenSSL ahultasunak
Arazo gehigarriak bereizita adierazten dira (
Iturria: opennet.ru