ភាពងាយរងគ្រោះនៅក្នុង TLS អនុញ្ញាតឱ្យកំណត់គន្លឹះសម្រាប់ការតភ្ជាប់ដោយផ្អែកលើ DH ciphers

បានបង្ហាញ ព័ត៌មានអំពីថ្មី។ ភាពងាយរងគ្រោះ (CVE-2020-1968) ក្នុងពិធីការ TLS ដែលមានឈ្មោះកូដ
Raccoon និងអនុញ្ញាតឱ្យ ក្នុងកាលៈទេសៈដ៏កម្រ ដើម្បីកំណត់សោបឋមបឋម (pre-master) ដែលអាចត្រូវបានប្រើដើម្បីឌិគ្រីបការតភ្ជាប់ TLS រួមទាំង HTTPS នៅពេលស្ទាក់ចាប់ចរាចរណ៍ឆ្លងកាត់ (MITM)។ វាត្រូវបានកត់សម្គាល់ថាការវាយប្រហារគឺពិបាកខ្លាំងណាស់សម្រាប់ការអនុវត្តជាក់ស្តែងហើយមានលក្ខណៈទ្រឹស្តីជាង។ ដើម្បីអនុវត្តការវាយប្រហារ ការកំណត់រចនាសម្ព័ន្ធជាក់លាក់នៃម៉ាស៊ីនមេ TLS និងសមត្ថភាពក្នុងការវាស់វែងពេលវេលាដំណើរការម៉ាស៊ីនមេបានយ៉ាងត្រឹមត្រូវគឺត្រូវបានទាមទារ។

បញ្ហាមានវត្តមានដោយផ្ទាល់នៅក្នុងការបញ្ជាក់ TLS ហើយប៉ះពាល់តែការភ្ជាប់ដោយប្រើអក្សរសម្ងាត់ដោយផ្អែកលើពិធីការប្តូរសោ DH (Diffie-Hellman, TLS_DH_*")។ ជាមួយនឹងលេខកូដ ECDH បញ្ហាមិនកើតឡើងទេ ហើយពួកគេនៅតែមានសុវត្ថិភាព។ មានតែពិធីការ TLS រហូតដល់កំណែ 1.2 ប៉ុណ្ណោះដែលងាយរងគ្រោះ ហើយ TLS 1.3 មិនត្រូវបានប៉ះពាល់ដោយបញ្ហានោះទេ។ ភាពងាយរងគ្រោះកើតឡើងនៅក្នុងការអនុវត្ត TLS ដែលប្រើឡើងវិញនូវសោសម្ងាត់ DH តាមរយៈការតភ្ជាប់ TLS ផ្សេងៗគ្នា (ឥរិយាបថនេះកើតឡើងលើម៉ាស៊ីនមេ Alexa Top 4.4M ប្រមាណ 1%)។

នៅក្នុង OpenSSL 1.0.2e និងការចេញផ្សាយមុននេះ សោចម្បង DH ត្រូវបានប្រើឡើងវិញនៅក្នុងការតភ្ជាប់ម៉ាស៊ីនមេទាំងអស់ លុះត្រាតែជម្រើស SSL_OP_SINGLE_DH_USE ត្រូវបានកំណត់យ៉ាងច្បាស់លាស់។ ចាប់តាំងពី OpenSSL 1.0.2f សោចម្បង DH ត្រូវបានប្រើឡើងវិញតែនៅពេលប្រើអក្សរសម្ងាត់ DH ឋិតិវន្ត ("DH-*" ឧ. "DH-RSA-AES256-SHA")។ ភាពងាយរងគ្រោះមិនបង្ហាញនៅក្នុង OpenSSL 1.1.1 ទេ ដោយសារសាខានេះមិនប្រើសោចម្បង DH និងមិនប្រើអក្សរសម្ងាត់ DH ឋិតិវន្ត។

នៅពេលប្រើវិធីសាស្ត្រផ្លាស់ប្តូរសោ DH ភាគីទាំងពីរនៃការតភ្ជាប់បង្កើតសោឯកជនចៃដន្យ (បន្ទាប់បន្សំ "a" និងកូនសោ "b") ដោយផ្អែកលើសោសាធារណៈ (ga mod p និង gb mod p) ត្រូវបានគណនា និងផ្ញើ។ បន្ទាប់ពីភាគីនីមួយៗទទួលបានសោសាធារណៈ សោចម្បងទូទៅ (gab mod p) ត្រូវបានគណនា ដែលត្រូវបានប្រើដើម្បីបង្កើតសោសម័យ។ ការវាយប្រហាររបស់ Raccoon អនុញ្ញាតឱ្យអ្នកកំណត់គន្លឹះចម្បងតាមរយៈការវិភាគផ្នែកចំហៀង ដោយផ្អែកលើការពិតដែលថាការបញ្ជាក់ TLS រហូតដល់កំណែ 1.2 តម្រូវឱ្យបៃបៃទទេនាំមុខទាំងអស់នៃសោចម្បងត្រូវបានលុបចោលមុនពេលការគណនាពាក់ព័ន្ធនឹងវា។

រួមទាំងសោចម្បងដែលត្រូវបានកាត់ឱ្យខ្លីត្រូវបានបញ្ជូនទៅមុខងារបង្កើតសោសម័យ ដែលផ្អែកលើមុខងារ hash ដែលមានការពន្យាពេលខុសៗគ្នានៅពេលដំណើរការទិន្នន័យផ្សេងៗគ្នា។ ការវាស់វែងបានត្រឹមត្រូវនូវពេលវេលានៃប្រតិបត្តិការសំខាន់ៗដែលធ្វើឡើងដោយម៉ាស៊ីនមេ អនុញ្ញាតឱ្យអ្នកវាយប្រហារកំណត់តម្រុយ (oracle) ដែលធ្វើឱ្យវាអាចវិនិច្ឆ័យថាតើសោចម្បងចាប់ផ្តើមពីដំបូងឬអត់។ ឧទាហរណ៍ អ្នកវាយប្រហារអាចស្ទាក់ចាប់សោសាធារណៈ (ga) ដែលផ្ញើដោយអតិថិជន បញ្ជូនវាឡើងវិញទៅម៉ាស៊ីនមេ និងកំណត់
ថាតើសោចម្បងលទ្ធផលចាប់ផ្តើមពីសូន្យ។

ដោយខ្លួនវាផ្ទាល់ ការកំណត់មួយបៃនៃកូនសោមិនផ្តល់អ្វីនោះទេ ប៉ុន្តែដោយការស្ទាក់ចាប់តម្លៃ "ga" ដែលបញ្ជូនដោយអតិថិជនកំឡុងពេលចរចាការតភ្ជាប់ អ្នកវាយប្រហារអាចបង្កើតសំណុំនៃតម្លៃផ្សេងទៀតដែលទាក់ទងនឹង "ga" ហើយបញ្ជូនពួកគេទៅ ម៉ាស៊ីនមេនៅក្នុងវគ្គចរចាការតភ្ជាប់ដាច់ដោយឡែក។ តាមរយៈការបង្កើត និងផ្ញើតម្លៃ “gri*ga” អ្នកវាយប្រហារអាច តាមរយៈការវិភាគលើការផ្លាស់ប្តូរនៃការពន្យាពេលក្នុងការឆ្លើយតបរបស់ម៉ាស៊ីនមេ កំណត់តម្លៃដែលនាំទៅដល់ការទទួលបានសោចម្បងដោយចាប់ផ្តើមពីសូន្យ។ ដោយបានកំណត់តម្លៃបែបនេះ អ្នកវាយប្រហារអាចបង្កើតសំណុំសមីការសម្រាប់ решения បញ្ហាលេខលាក់ និងគណនាសោចម្បងដើម។

ភាពងាយរងគ្រោះ OpenSSL ចាត់តាំង កម្រិតគ្រោះថ្នាក់ទាប ហើយការជួសជុលត្រូវបានកាត់បន្ថយទៅការផ្លាស់ទីលេខកូដដែលមានបញ្ហា “TLS_DH_*” នៅក្នុងការចេញផ្សាយ 1.0.2w ទៅកាន់ប្រភេទលេខកូដសម្ងាត់ដែលមានកម្រិតការពារមិនគ្រប់គ្រាន់ (“weak-ssl-ciphers”) ដែលត្រូវបានបិទតាមលំនាំដើម . អ្នកអភិវឌ្ឍន៍ Mozilla បានធ្វើដូចគ្នា បិទ នៅក្នុងបណ្ណាល័យ NSS ដែលប្រើក្នុង Firefox, ឈុត Cipher DH និង DHE ។ ចាប់តាំងពី Firefox 78 លេខសម្ងាត់ដែលមានបញ្ហាត្រូវបានបិទ។ ការគាំទ្រ Chrome សម្រាប់ DH ត្រូវបានបញ្ឈប់នៅឆ្នាំ 2016 ។ បណ្ណាល័យ BearSSL, BoringSSL, Botan, Mbed TLS និង s2n មិនត្រូវបានប៉ះពាល់ដោយបញ្ហានោះទេ ព្រោះវាមិនគាំទ្រ DH ciphers ឬបំរែបំរួលឋិតិវន្តនៃ DH ciphers ។

បញ្ហាបន្ថែមត្រូវបានកត់សម្គាល់ដោយឡែកពីគ្នា (CVE-2020-5929) នៅក្នុងជង់ TLS នៃឧបករណ៍ F5 BIG-IP ដែលធ្វើឱ្យការវាយប្រហារកាន់តែប្រាកដនិយម។ ជាពិសេស គម្លាតនៅក្នុងឥរិយាបថរបស់ឧបករណ៍នៅក្នុងវត្តមាននៃសូន្យបៃនៅដើមនៃសោចម្បងត្រូវបានកំណត់អត្តសញ្ញាណ ដែលអាចត្រូវបានប្រើជំនួសឱ្យការវាស់ស្ទង់ភាពយឺតយ៉ាវនៃការគណនា។

ប្រភព: opennet.ru