Qhov teeb meem yog tam sim no ncaj qha nyob rau hauv TLS specification thiab tsuas yog cuam tshuam rau kev sib txuas siv ciphers raws li DH tus yuam sij pauv raws tu qauv (Diffie-Hellman, TLS_DH_*"). Nrog ECDH ciphers qhov teeb meem tsis tshwm sim thiab lawv nyob ruaj ntseg. Tsuas yog TLS raws tu qauv mus txog version 1.2 yog qhov yooj yim; TLS 1.3 tsis cuam tshuam los ntawm qhov teeb meem. Qhov tsis zoo no tshwm sim hauv TLS qhov kev siv uas rov siv DH zais zais yuam kev hla kev sib txuas TLS sib txawv (tus cwj pwm no tshwm sim ntawm kwv yees li 4.4% ntawm Alexa Top 1M servers).
Hauv OpenSSL 1.0.2e thiab tshaj tawm ua ntej, DH thawj qhov tseem ceeb yog rov qab siv rau hauv txhua qhov kev sib txuas ntawm server tshwj tsis yog qhov kev xaiv SSL_OP_SINGLE_DH_USE tau teeb tsa. Txij li thaum OpenSSL 1.0.2f, DH thawj tus yuam sij tsuas yog rov qab siv dua thaum siv DH ciphers zoo li qub ("DH-*", piv txwv li "DH-RSA-AES256-SHA"). Qhov teeb meem tsis tshwm sim hauv OpenSSL 1.1.1, vim tias ceg no tsis siv DH thawj tus yuam sij thiab tsis siv DH ciphers zoo li qub.
Thaum siv DH tseem ceeb pauv txoj kev, ob sab ntawm kev sib txuas tsim random ntiag tug yuam sij (tom qab no tus yuam sij "a" thiab qhov tseem ceeb "b"), raws li cov yuam sij pej xeem (ga mod p thiab gb mod p) raug xam thiab xa. Tom qab txhua tus neeg tau txais cov yuam sij rau pej xeem, ib qho tseem ceeb tseem ceeb (gab mod p) raug xam, uas yog siv los tsim cov yuam sij kev sib tham. Kev tawm tsam Raccoon tso cai rau koj los txiav txim qhov tseem ceeb los ntawm kev tshuaj xyuas sab-channel, raws li qhov tseeb tias TLS specifications mus txog rau version 1.2 xav kom tag nrho cov ua null bytes ntawm tus yuam sij tseem ceeb raug muab pov tseg ua ntej suav nrog nws.
Xws li tus yuam sij truncated yog dhau mus rau qhov kev sib kho qhov tseem ceeb tiam muaj nuj nqi, uas yog raws li hash functions nrog txawv qeeb thaum ua cov ntaub ntawv sib txawv. Qhov tseeb ntsuas lub sijhawm ntawm cov haujlwm tseem ceeb uas ua los ntawm cov neeg rau zaub mov tso cai rau tus neeg tawm tsam los txiav txim siab cov ntsiab lus (oracle) uas ua rau nws tuaj yeem txiav txim siab seb tus yuam sij tseem ceeb pib los ntawm kos lossis tsis. Piv txwv li, tus neeg tawm tsam tuaj yeem cuam tshuam cov yuam sij pej xeem (ga) xa los ntawm tus neeg siv khoom, rov xa rov qab mus rau lub server thiab txiav txim siab.
seb qhov tshwm sim thawj qhov tseem ceeb pib ntawm xoom.
Los ntawm nws tus kheej, txhais ib byte ntawm tus yuam sij tsis muab dab tsi, tab sis los ntawm kev cuam tshuam qhov "ga" tus nqi xa los ntawm tus neeg siv khoom thaum lub sij hawm sib txuas lus, tus neeg tawm tsam tuaj yeem tsim cov txheej txheem ntawm lwm cov txiaj ntsig cuam tshuam nrog "ga" thiab xa lawv mus rau tus neeg rau zaub mov hauv kev sib tham sib tham sib cais. Los ntawm kev tsim thiab xa "gri * ga" qhov tseem ceeb, tus neeg tawm tsam tuaj yeem, los ntawm kev txheeb xyuas cov kev hloov pauv hauv kev qeeb hauv cov lus teb rau cov neeg rau zaub mov, txiav txim siab qhov tseem ceeb uas ua rau tau txais cov yuam sij tseem ceeb pib ntawm xoom. Thaum txiav txim siab qhov txiaj ntsig zoo li no, tus neeg tawm tsam tuaj yeem tsim cov kab sib npaug rau
OpenSSL vulnerabilities
Cov teeb meem ntxiv raug sau tseg nyias (
Tau qhov twg los: opennet.ru