informationem de novo (CVE-2020-1968) in protocollo TLS, codenamed
ac permittens, in rariis circumstantiis, praeviam primariam clavem (prae-dominum) determinare, quae ad decrypt TLS nexus, inter HTTPS, intercipiens, commercii transitus intercipi potest (MITM). Notandum est quod impetus difficillimus est ad exsecutionem et magis theoricam naturam. Ad impetum faciendum, certae figurae servientis TLS et facultas accuratissime metiendi ministri processus temporis requiruntur.
Problema directe adest in specificatione TLS et tantum afficit nexus utentes notis innixum in protocollo commutationis clavis DH (Diffie-Hellman, TLS_DH_*"). Cum notis ECDH problema non occurrit et securae manent. Tantum TLS protocolla usque ad versionem 1.2 vulnerabilia sunt, TLS 1.3 problema non afficitur. Vulnerabilitas occurrit in TLS exsecutionibus quae reuse DH clavem secretam trans diversos TLS nexus (hoc agendi ratio in circiter 4.4% of Alexa Top 1M servientibus occurrit).
In OpenSSL 1.0.2e et ante emissiones, prima clavis DH in omnibus nexibus servo redditur nisi optio SSL_OP_SINGLE_DH_USE explicite posita sit. Cum OpenSSL 1.0.2f, clavis primaria DH tantum reddi potest cum notis statice DH ("DH-*", e.g. "DH-RSA-AES256-SHA"). vulnerabilitas in OpenSSL 1.1.1 non apparet, quia hic ramus DH prima clave non utitur nec static DH cyphris utitur.
Cum DH clavem permutationis methodo utens, utraque nexus claves privatas temere generant (infra clavem "a" et "b") innititur quibus claves publicae (ga mod p et gb mod p) computantur et mittuntur. Postquam utraque pars claves publicas accipit, communis clavis primaria (gab mod p) computatur, quae claves sessionis generandi adhibetur. Impetum Raccoon permittit tibi principalem clavem per analysin lateralem determinare, eo innixus quod specificationes TLS usque ad versionem 1.2 requirunt ut omnes bytes primi clavis nullos ducentes ante calculos implicantes reiciantur.
Clavis prima truncata possidet sessioni clavem generationis munus transitur, quod fundatum est in functionibus Nullam cum diversis moras, cum diversae notitiae dispensando. Leo clavium operationum quae a servo peractae accurate mensurans permittit oppugnatorem ut clues (oraculum) diiudicare possit, utrum primarius clavem a scabere incipiet necne. Exempli gratia, oppugnator clavem publicam a cliente missam intercipere potuit, eam servo retransmittere ac determinare.
num primarius inde a nulla clave incipit.
Per se, definiens unum byte clavem non dat aliquid, sed intercipiendo valorem "ga" traditum a cliente in connexione tractatum, oppugnator potest generare statutum aliorum valorum cum "ga" consociatorum et ad eos mittere. ministrator in nexu separato tractatuum sessionum. Valores "gri*ga" generando et mittens, oppugnator potest, per mutationes morarum in servo responsionis dividendo, valores determinare quae ad primas claves accipiendas a nulla recedunt. Talibus valoribus determinatis, oppugnator potest constituere aequationum rationem et primarium clavem originalis computa.
OpenSSL vulnerabilities humilis periculi gradus et fixa redacta est ad notas difficultates "TLS_DH_*" movendas in emissione 1.0.2w ad categoriam notarum cum insufficiens tutelae gradu ("infirmi-ssl-cipherae"), quae per defaltam debilitata est. . Idem fecit Mozilla tincidunt, in NSS bibliotheca adhibita in Firefox, DH et DHE notis consentaneis. As of Firefox 78, notae difficultates debiles sunt. Chrome subsidium DH in 2016 retractum discontinuatum est. BearSSL, BoringSSL, Botan, Mbed TLS et s2n bibliothecae problemate non afficiuntur quia DH cyphras vel variantes statice cyphris DH non sustinent.
Additional problemata separatim notantur () in TLS acervus F5 BIG-IP machinis, impetum faciens melioris. Praesertim deviationes in moribus machinarum coram nullius byte in initio clavis primariae notae sunt, quae loco accuratam calculi latentiam metiendi adhiberi possunt.
Source: opennet.ru