Problema directe adest in specificatione TLS et tantum afficit nexus utentes notis innixum in protocollo commutationis clavis DH (Diffie-Hellman, TLS_DH_*"). Cum notis ECDH problema non occurrit et securae manent. Tantum TLS protocolla usque ad versionem 1.2 vulnerabilia sunt, TLS 1.3 problema non afficitur. Vulnerabilitas occurrit in TLS exsecutionibus quae reuse DH clavem secretam trans diversos TLS nexus (hoc agendi ratio in circiter 4.4% of Alexa Top 1M servientibus occurrit).
In OpenSSL 1.0.2e et ante emissiones, prima clavis DH in omnibus nexibus servo redditur nisi optio SSL_OP_SINGLE_DH_USE explicite posita sit. Cum OpenSSL 1.0.2f, clavis primaria DH tantum reddi potest cum notis statice DH ("DH-*", e.g. "DH-RSA-AES256-SHA"). vulnerabilitas in OpenSSL 1.1.1 non apparet, quia hic ramus DH prima clave non utitur nec static DH cyphris utitur.
Cum DH clavem permutationis methodo utens, utraque nexus claves privatas temere generant (infra clavem "a" et "b") innititur quibus claves publicae (ga mod p et gb mod p) computantur et mittuntur. Postquam utraque pars claves publicas accipit, communis clavis primaria (gab mod p) computatur, quae claves sessionis generandi adhibetur. Impetum Raccoon permittit tibi principalem clavem per analysin lateralem determinare, eo innixus quod specificationes TLS usque ad versionem 1.2 requirunt ut omnes bytes primi clavis nullos ducentes ante calculos implicantes reiciantur.
Clavis prima truncata possidet sessioni clavem generationis munus transitur, quod fundatum est in functionibus Nullam cum diversis moras, cum diversae notitiae dispensando. Leo clavium operationum quae a servo peractae accurate mensurans permittit oppugnatorem ut clues (oraculum) diiudicare possit, utrum primarius clavem a scabere incipiet necne. Exempli gratia, oppugnator clavem publicam a cliente missam intercipere potuit, eam servo retransmittere ac determinare.
num primarius inde a nulla clave incipit.
Per se, definiens unum byte clavem non dat aliquid, sed intercipiendo valorem "ga" traditum a cliente in connexione tractatum, oppugnator potest generare statutum aliorum valorum cum "ga" consociatorum et ad eos mittere. ministrator in nexu separato tractatuum sessionum. Valores "gri*ga" generando et mittens, oppugnator potest, per mutationes morarum in servo responsionis dividendo, valores determinare quae ad primas claves accipiendas a nulla recedunt. Talibus valoribus determinatis, oppugnator potest constituere aequationum rationem
OpenSSL vulnerabilities
Additional problemata separatim notantur (
Source: opennet.ru