Tatizo liko moja kwa moja katika vipimo vya TLS na huathiri tu miunganisho kwa kutumia misimbo kulingana na itifaki ya kubadilishana vitufe vya DH (Diffie-Hellman, TLS_DH_*"). Kwa misimbo ya ECDH shida haitokei na hubaki salama. Itifaki za TLS pekee hadi toleo la 1.2 ndizo zinaweza kuathirika; TLS 1.3 haiathiriwi na tatizo. Athari hii hutokea katika utekelezaji wa TLS ambao hutumia tena ufunguo wa siri wa DH kwenye miunganisho tofauti ya TLS (tabia hii hutokea kwa takriban 4.4% ya seva za Alexa Top 1M).
Katika OpenSSL 1.0.2e na matoleo ya awali, ufunguo msingi wa DH unatumiwa tena katika miunganisho yote ya seva isipokuwa chaguo la SSL_OP_SINGLE_DH_USE limewekwa bayana. Tangu OpenSSL 1.0.2f, ufunguo msingi wa DH unatumiwa tena wakati wa kutumia misimbo tuli ya DH ("DH-*", k.m. "DH-RSA-AES256-SHA"). Athari hii haionekani katika OpenSSL 1.1.1, kwa kuwa tawi hili halitumii ufunguo msingi wa DH na halitumii misimbo tuli ya DH.
Unapotumia njia ya kubadilishana ufunguo wa DH, pande zote mbili za uunganisho huzalisha funguo za kibinafsi za random (hapa ufunguo "a" na ufunguo "b"), kulingana na ambayo funguo za umma (ga mod p na gb mod p) zinahesabiwa na kutumwa. Baada ya kila mhusika kupokea funguo za umma, ufunguo wa msingi wa kawaida (gab mod p) huhesabiwa, ambayo hutumiwa kuzalisha funguo za kikao. Mashambulizi ya Raccoon hukuruhusu kubainisha ufunguo msingi kupitia uchanganuzi wa idhaa ya kando, kwa kuzingatia ukweli kwamba vipimo vya TLS hadi toleo la 1.2 vinahitaji kwamba baiti zote kuu zisizo na maana za ufunguo msingi zitupwe kabla ya hesabu zinazoihusisha.
Ikiwa ni pamoja na ufunguo msingi uliopunguzwa, hupitishwa kwenye chaguo za kukokotoa za uundaji wa ufunguo wa kipindi, ambao unatokana na vitendakazi vya heshi na ucheleweshaji tofauti wakati wa kuchakata data tofauti. Kupima kwa usahihi muda wa utendakazi muhimu unaofanywa na seva humruhusu mshambulizi kubainisha vidokezo (chombo la ndani) vinavyowezesha kutathmini ikiwa ufunguo msingi unaanza kutoka mwanzo au la. Kwa mfano, mshambulizi anaweza kukatiza ufunguo wa umma (ga) uliotumwa na mteja, kuusambaza tena kwa seva na kuamua.
ikiwa ufunguo msingi unaotokana unaanza kutoka sifuri.
Kwa yenyewe, kufafanua byte moja ya ufunguo haitoi chochote, lakini kwa kukataza thamani ya "ga" iliyopitishwa na mteja wakati wa mazungumzo ya unganisho, mshambuliaji anaweza kutoa seti ya maadili mengine yanayohusiana na "ga" na kuwatuma kwa seva katika vikao tofauti vya mazungumzo ya unganisho. Kwa kuzalisha na kutuma thamani za "gri*ga", mshambulizi anaweza, kupitia kuchanganua mabadiliko ya ucheleweshaji wa jibu la seva, kubainisha thamani zinazopelekea kupokea funguo msingi kuanzia sufuri. Baada ya kuamua maadili kama haya, mshambuliaji anaweza kuunda seti ya milinganyo ya
Athari za OpenSSL
Shida za ziada zinazingatiwa tofauti (
Chanzo: opennet.ru