DH 암호화를 기반으로 연결에 대한 키 결정을 허용하는 TLS의 취약성

공개 새로운 것에 대한 정보 취약점 (CVE-2020-1968) TLS 프로토콜, 코드명
너구리 드물지만 전송 트래픽(MITM)을 가로챌 때 HTTPS를 포함한 TLS 연결을 해독하는 데 사용할 수 있는 예비 기본 키(pre-master)를 결정할 수 있습니다. 이 공격은 실제 구현이 매우 어렵고 이론적인 성격에 가깝다는 점에 주목합니다. 공격을 수행하려면 TLS 서버의 특정 구성과 서버 처리 시간을 매우 정확하게 측정하는 기능이 필요합니다.

문제는 TLS 사양에 직접적으로 존재하며 DH 키 교환 프로토콜(Diffie-Hellman, TLS_DH_*") 기반 암호를 사용하는 연결에만 영향을 미칩니다. ECDH 암호화를 사용하면 문제가 발생하지 않으며 보안이 유지됩니다. 버전 1.2까지의 TLS 프로토콜만 취약하며 TLS 1.3은 이 문제의 영향을 받지 않습니다. 이 취약점은 다양한 TLS 연결에서 DH 비밀 키를 재사용하는 TLS 구현에서 발생합니다(이 동작은 Alexa Top 4.4M 서버의 약 1%에서 발생합니다).

OpenSSL 1.0.2e 및 이전 릴리스에서는 SSL_OP_SINGLE_DH_USE 옵션을 명시적으로 설정하지 않는 한 모든 서버 연결에서 DH 기본 키가 재사용됩니다. OpenSSL 1.0.2f부터 DH 기본 키는 정적 DH 암호("DH-*", 예: "DH-RSA-AES256-SHA")를 사용할 때만 재사용됩니다. OpenSSL 1.1.1에서는 이 취약점이 나타나지 않습니다. 이 분기는 DH 기본 키를 사용하지 않고 정적 DH 암호를 사용하지 않기 때문입니다.

DH 키 교환 방법을 사용하는 경우 연결 양쪽에서 임의의 개인 키(이하 키 "a" 및 키 "b")를 생성하고 이를 기반으로 공개 키(ga mod p 및 gb mod p)가 계산되어 전송됩니다. 각 당사자가 공개 키를 받은 후 세션 키를 생성하는 데 사용되는 공통 기본 키(gab mod p)가 계산됩니다. Raccoon 공격을 사용하면 버전 1.2까지의 TLS 사양에서는 기본 키와 관련된 계산 전에 기본 키의 모든 선행 null 바이트를 삭제해야 한다는 사실을 기반으로 부채널 분석을 통해 기본 키를 결정할 수 있습니다.

잘린 기본 키를 포함하면 다른 데이터를 처리할 때 지연 시간이 다른 해시 함수를 기반으로 하는 세션 키 생성 기능으로 전달됩니다. 서버가 수행하는 키 연산의 타이밍을 정확하게 측정하면 공격자는 기본 키가 처음부터 시작되는지 여부를 판단할 수 있는 단서(오라클)를 파악할 수 있습니다. 예를 들어, 공격자는 클라이언트가 보낸 공개 키(ga)를 가로채서 서버로 다시 전송하고
결과 기본 키가 XNUMX부터 시작하는지 여부.

그 자체로는 키의 XNUMX바이트를 정의하는 것만으로는 아무 것도 얻을 수 없지만 연결 협상 중에 클라이언트가 전송한 "ga" 값을 가로채서 공격자가 "ga"와 관련된 다른 값 세트를 생성하여 클라이언트로 보낼 수 있습니다. 별도의 연결 협상 세션에서 서버. 공격자는 "gri*ga" 값을 생성하고 전송함으로써 서버 응답 지연의 변화를 분석하여 XNUMX부터 시작하는 기본 키를 수신하게 되는 값을 결정할 수 있습니다. 이러한 값을 결정한 후 공격자는 다음과 같은 방정식 세트를 만들 수 있습니다. 솔루션 숨겨진 숫자 문제 원래 기본 키를 계산합니다.

OpenSSL 취약점 할당된 위험 수준이 낮으며 릴리스 1.0.2w에서 문제가 있는 암호 "TLS_DH_*"를 보호 수준이 불충분한 암호 범주("약한 SSL 암호")로 이동하도록 수정 사항이 축소되었습니다. 이 암호는 기본적으로 비활성화되어 있습니다. . Mozilla 개발자도 같은 일을 했습니다. 껐다 Firefox에서 사용되는 NSS 라이브러리의 DH 및 DHE 암호화 제품군. Firefox 78부터 문제가 있는 암호는 비활성화됩니다. DH에 대한 Chrome 지원은 2016년에 중단되었습니다. BearSSL, BoringSSL, Botan, Mbed TLS 및 s2n 라이브러리는 DH 암호 또는 DH 암호의 정적 변형을 지원하지 않으므로 문제의 영향을 받지 않습니다.

추가 문제는 별도로 언급됩니다(CVE-2020-5929)를 F5 BIG-IP 장치의 TLS 스택에 추가하여 공격을 더욱 현실적으로 만듭니다. 특히, 기본 키 시작 부분에 XNUMX바이트가 있는 경우 장치 동작의 편차가 식별되었으며, 이는 정확한 계산 대기 시간을 측정하는 대신 사용할 수 있습니다.

출처 : opennet.ru