פגיעות ב-TLS המאפשרת קביעת מפתח עבור חיבורים המבוססים על צפני DH

גילה מידע על החדש פגיעות (CVE-2020-1968) בפרוטוקול TLS, עם שם קוד
דביבון ומאפשר, בנסיבות נדירות, לקבוע מפתח ראשי ראשוני (קדם-מאסטר), שניתן להשתמש בו כדי לפענח חיבורי TLS, כולל HTTPS, בעת יירוט תעבורת מעבר (MITM). יצוין כי המתקפה קשה מאוד ליישום מעשי והיא בעלת אופי תיאורטי יותר. כדי לבצע תקיפה, נדרשת תצורה ספציפית של שרת ה-TLS ויכולת למדוד בצורה מדויקת מאוד את זמן העיבוד של השרת.

הבעיה קיימת ישירות במפרט TLS ומשפיעה רק על חיבורים באמצעות צפנים המבוססים על פרוטוקול חילופי מפתחות DH (Diffie-Hellman, TLS_DH_*"). עם צפני ECDH הבעיה לא מתרחשת והם נשארים מאובטחים. רק פרוטוקולי TLS עד גרסה 1.2 פגיעים; TLS 1.3 אינו מושפע מהבעיה. הפגיעות מתרחשת ביישומי TLS העושים שימוש חוזר במפתח הסודי של DH על פני חיבורי TLS שונים (התנהגות זו מתרחשת בכ-4.4% משרתי Alexa Top 1M).

ב-OpenSSL 1.0.2e ובגרסאות קודמות, נעשה שימוש חוזר במפתח הראשי של DH בכל חיבורי השרת, אלא אם כן האפשרות SSL_OP_SINGLE_DH_USE מוגדרת במפורש. מאז OpenSSL 1.0.2f, נעשה שימוש חוזר במפתח הראשי של DH רק בעת שימוש בצפני DH סטטיים ("DH-*", למשל "DH-RSA-AES256-SHA"). הפגיעות אינה מופיעה ב-OpenSSL 1.1.1, מכיוון שהענף הזה אינו משתמש במפתח ראשי של DH ואינו משתמש בצפני DH סטטיים.

בעת שימוש בשיטת החלפת מפתחות DH, שני הצדדים של החיבור יוצרים מפתחות פרטיים אקראיים (להלן מפתח "a" ומפתח "b"), על בסיסם מחושבים ונשלחים מפתחות ציבוריים (ga mod p ו-gb mod p). לאחר שכל צד מקבל את המפתחות הציבוריים, מחושב מפתח ראשי משותף (gab mod p), המשמש ליצירת מפתחות הפעלה. מתקפת הדביבון מאפשרת לך לקבוע את המפתח הראשי באמצעות ניתוח ערוץ צדדי, בהתבסס על העובדה שמפרטי ה-TLS עד גרסה 1.2 מחייבים לבטל את כל הבייטים האפסים המובילים של המפתח הראשי לפני חישובים הקשורים בו.

הכללת המפתח הראשי הקטוע מועברת לפונקציית יצירת מפתח ההפעלה, המבוססת על פונקציות גיבוב עם עיכובים שונים בעת עיבוד נתונים שונים. מדידה מדויקת של תזמון פעולות המפתח שמבצע השרת מאפשרת לתוקף לקבוע רמזים (אורקל) המאפשרים לשפוט האם המפתח הראשי מתחיל מאפס או לא. לדוגמה, תוקף יכול ליירט את המפתח הציבורי (ga) שנשלח על ידי הלקוח, לשדר אותו מחדש לשרת ולקבוע
האם המפתח הראשי שנוצר מתחיל מאפס.

כשלעצמה, הגדרת בת אחד של המפתח אינה נותנת דבר, אך על ידי יירוט ערך ה-"ga" המשודר על ידי הלקוח במהלך משא ומתן על החיבור, התוקף יכול ליצור קבוצה של ערכים אחרים הקשורים ל-"ga" ולשלוח אותם אל השרת בהפעלות נפרדות של משא ומתן על חיבור. על ידי יצירה ושליחה של ערכי "gri*ga", התוקף יכול, באמצעות ניתוח שינויים בעיכובים בתגובת השרת, לקבוע את הערכים המובילים לקבלת מפתחות ראשיים החל מאפס. לאחר שקבע ערכים כאלה, התוקף יכול ליצור קבוצה של משוואות עבור פתרונות בעיות במספרים נסתרים וחשב את המפתח הראשי המקורי.

נקודות תורפה של OpenSSL שהוקצה רמת סכנה נמוכה, והתיקון צומצם להעברת הצפנים הבעייתיים "TLS_DH_*" במהדורה 1.0.2w לקטגוריית הצפנים עם רמת הגנה לא מספקת ("חלשים-ssl-ciphers"), המושבתת כברירת מחדל. . מפתחי מוזילה עשו את אותו הדבר, כבוי בספריית NSS המשמשת בפיירפוקס, חבילות הצופן DH ו-DHE. החל מ-Firefox 78, צפנים בעייתיים מושבתים. Chrome הפסיק את התמיכה ב-DH ב-2016. הספריות BearSSL, BoringSSL, Botan, Mbed TLS ו-s2n אינן מושפעות מהבעיה מכיוון שהן אינן תומכות בצפני DH או בגרסאות סטטיות של צפני DH.

בעיות נוספות מצוינות בנפרד (CVE-2020-5929) בערימת TLS של התקני F5 BIG-IP, מה שהופך את ההתקפה למציאותית יותר. בפרט, זוהו סטיות בהתנהגות של מכשירים בנוכחות אפס בתים בתחילת המפתח הראשי, שניתן להשתמש בהם במקום למדוד את ההשהיה המדויקת של חישובים.

מקור: OpenNet.ru