upplýsingar um hið nýja (CVE-2020-1968) í TLS-samskiptareglunni, með kóðaheiti
og leyfa, í mjög sjaldgæfum tilfellum, að ákvarða bráðabirgðaaðallykil (for-master), sem hægt er að nota til að afkóða TLS tengingar, þar á meðal HTTPS, þegar hlerað er flutningsumferð (MITM). Tekið er fram að árásin er mjög erfið til framkvæmda og er frekar fræðilegs eðlis. Til að framkvæma árás þarf sérstaka uppsetningu á TLS netþjóninum og getu til að mæla vinnslutíma netþjónsins mjög nákvæmlega.
Vandamálið er til staðar beint í TLS forskriftinni og hefur aðeins áhrif á tengingar sem nota dulmál byggðar á DH lyklaskiptasamskiptareglum (Diffie-Hellman, TLS_DH_*"). Með ECDH dulmáli kemur vandamálið ekki upp og þeir eru áfram öruggir. Aðeins TLS samskiptareglur upp að útgáfu 1.2 eru viðkvæmar; TLS 1.3 hefur ekki áhrif á vandamálið. Varnarleysið á sér stað í TLS útfærslum sem endurnota DH leynilykilinn yfir mismunandi TLS tengingar (þessi hegðun á sér stað á um það bil 4.4% af Alexa Top 1M netþjónum).
Í OpenSSL 1.0.2e og eldri útgáfum er DH aðallykillinn endurnotaður í öllum netþjónatengingum nema SSL_OP_SINGLE_DH_USE valkosturinn sé sérstaklega stilltur. Frá OpenSSL 1.0.2f er DH aðallykillinn aðeins endurnotaður þegar kyrrstæður DH dulmál eru notaðar ("DH-*", t.d. "DH-RSA-AES256-SHA"). Varnarleysið birtist ekki í OpenSSL 1.1.1, þar sem þessi útibú notar ekki DH aðallykil og notar ekki kyrrstæða DH dulmál.
Þegar DH lyklaskiptaaðferðin er notuð mynda báðar hliðar tengingarinnar tilviljanakennda einkalykla (hér eftir lykill „a“ og lykill „b“), byggt á þeim opinberum lyklum (ga mod p og gb mod p) eru reiknaðir og sendir. Eftir að hver aðili hefur fengið almenningslyklana er reiknaður út sameiginlegur aðallykill (gab mod p) sem er notaður til að búa til lotulykla. Raccoon árásin gerir þér kleift að ákvarða aðallykilinn með hliðarrásargreiningu, byggt á því að TLS forskriftirnar upp að útgáfu 1.2 krefjast þess að öllum fremstu núllbætum aðallykilsins sé hent fyrir útreikninga sem tengjast honum.
Að meðtöldum stytta aðallyklinum er sent til lotulykilsmyndunaraðgerðarinnar, sem byggir á kjötkássaaðgerðum með mismunandi töfum við vinnslu mismunandi gagna. Nákvæm mæling á tímasetningu lykilaðgerða sem þjónninn framkvæmir gerir árásarmanninum kleift að ákvarða vísbendingar (véfrétt) sem gera það mögulegt að dæma hvort aðallykillinn byrjar frá grunni eða ekki. Til dæmis gæti árásarmaður stöðvað opinbera lykilinn (ga) sem viðskiptavinurinn sendir, sent hann aftur á netþjóninn og ákvarðað
hvort frumlykillinn sem myndast byrjar á núlli.
Út af fyrir sig gefur það ekki neitt að skilgreina eitt bæti af lyklinum, en með því að stöðva „ga“ gildið sem viðskiptavinurinn sendir meðan á tengingarviðræðum stendur, getur árásarmaðurinn búið til safn af öðrum gildum sem tengjast „ga“ og sent þau til þjóninn í aðskildum tengingarviðræðum. Með því að búa til og senda „gri*ga“ gildi getur árásarmaður, með því að greina breytingar á töfum á svörun netþjónsins, ákvarðað gildin sem leiða til móttöku aðallykla frá núlli. Eftir að hafa ákvarðað slík gildi getur árásarmaðurinn búið til sett af jöfnum fyrir og reiknaðu upprunalega aðallykilinn.
OpenSSL varnarleysi lágt hættustig og leiðréttingin var minnkað í að færa vandræðalegu dulmálin „TLS_DH_*“ í útgáfu 1.0.2w í flokk dulmáls með ófullnægjandi verndarstigi („veik-ssl-dulkóðun“), sem er sjálfgefið óvirkt . Mozilla verktaki gerðu það sama, í NSS bókasafninu sem notað er í Firefox, DH og DHE dulmálssvítunum. Frá og með Firefox 78 eru erfiðar dulmál óvirkar. Chrome stuðningi fyrir DH var hætt aftur árið 2016. BearSSL, BoringSSL, Botan, Mbed TLS og s2n bókasöfnin verða ekki fyrir áhrifum af vandamálinu vegna þess að þau styðja ekki DH dulmál eða kyrrstæð afbrigði af DH dulmáli.
Önnur vandamál eru tekin sérstaklega fram () í TLS stafla F5 BIG-IP tækja, sem gerir árásina raunhæfari. Einkum hafa greinst frávik í hegðun tækja í viðurvist núllbæta í upphafi aðallykils sem hægt er að nota í stað þess að mæla nákvæma leynd útreikninga.
Heimild: opennet.ru