habari kuhusu mpya (CVE-2020-1968) katika itifaki ya TLS, iliyopewa jina la msimbo
na kuruhusu, katika hali nadra, kubainisha ufunguo msingi tangulizi (bwana-mbele), unaoweza kutumiwa kusimbua miunganisho ya TLS, ikiwa ni pamoja na HTTPS, wakati wa kuingilia trafiki ya usafiri wa umma (MITM). Imebainishwa kuwa shambulio hilo ni gumu sana kwa utekelezaji wa vitendo na ni zaidi ya asili ya kinadharia. Ili kutekeleza shambulio, usanidi maalum wa seva ya TLS na uwezo wa kupima kwa usahihi sana wakati wa usindikaji wa seva unahitajika.
Tatizo liko moja kwa moja katika vipimo vya TLS na huathiri tu miunganisho kwa kutumia misimbo kulingana na itifaki ya kubadilishana vitufe vya DH (Diffie-Hellman, TLS_DH_*"). Kwa misimbo ya ECDH shida haitokei na hubaki salama. Itifaki za TLS pekee hadi toleo la 1.2 ndizo zinaweza kuathirika; TLS 1.3 haiathiriwi na tatizo. Athari hii hutokea katika utekelezaji wa TLS ambao hutumia tena ufunguo wa siri wa DH kwenye miunganisho tofauti ya TLS (tabia hii hutokea kwa takriban 4.4% ya seva za Alexa Top 1M).
Katika OpenSSL 1.0.2e na matoleo ya awali, ufunguo msingi wa DH unatumiwa tena katika miunganisho yote ya seva isipokuwa chaguo la SSL_OP_SINGLE_DH_USE limewekwa bayana. Tangu OpenSSL 1.0.2f, ufunguo msingi wa DH unatumiwa tena wakati wa kutumia misimbo tuli ya DH ("DH-*", k.m. "DH-RSA-AES256-SHA"). Athari hii haionekani katika OpenSSL 1.1.1, kwa kuwa tawi hili halitumii ufunguo msingi wa DH na halitumii misimbo tuli ya DH.
Unapotumia njia ya kubadilishana ufunguo wa DH, pande zote mbili za uunganisho huzalisha funguo za kibinafsi za random (hapa ufunguo "a" na ufunguo "b"), kulingana na ambayo funguo za umma (ga mod p na gb mod p) zinahesabiwa na kutumwa. Baada ya kila mhusika kupokea funguo za umma, ufunguo wa msingi wa kawaida (gab mod p) huhesabiwa, ambayo hutumiwa kuzalisha funguo za kikao. Mashambulizi ya Raccoon hukuruhusu kubainisha ufunguo msingi kupitia uchanganuzi wa idhaa ya kando, kwa kuzingatia ukweli kwamba vipimo vya TLS hadi toleo la 1.2 vinahitaji kwamba baiti zote kuu zisizo na maana za ufunguo msingi zitupwe kabla ya hesabu zinazoihusisha.
Ikiwa ni pamoja na ufunguo msingi uliopunguzwa, hupitishwa kwenye chaguo za kukokotoa za uundaji wa ufunguo wa kipindi, ambao unatokana na vitendakazi vya heshi na ucheleweshaji tofauti wakati wa kuchakata data tofauti. Kupima kwa usahihi muda wa utendakazi muhimu unaofanywa na seva humruhusu mshambulizi kubainisha vidokezo (chombo la ndani) vinavyowezesha kutathmini ikiwa ufunguo msingi unaanza kutoka mwanzo au la. Kwa mfano, mshambulizi anaweza kukatiza ufunguo wa umma (ga) uliotumwa na mteja, kuusambaza tena kwa seva na kuamua.
ikiwa ufunguo msingi unaotokana unaanza kutoka sifuri.
Kwa yenyewe, kufafanua byte moja ya ufunguo haitoi chochote, lakini kwa kukataza thamani ya "ga" iliyopitishwa na mteja wakati wa mazungumzo ya unganisho, mshambuliaji anaweza kutoa seti ya maadili mengine yanayohusiana na "ga" na kuwatuma kwa seva katika vikao tofauti vya mazungumzo ya unganisho. Kwa kuzalisha na kutuma thamani za "gri*ga", mshambulizi anaweza, kupitia kuchanganua mabadiliko ya ucheleweshaji wa jibu la seva, kubainisha thamani zinazopelekea kupokea funguo msingi kuanzia sufuri. Baada ya kuamua maadili kama haya, mshambuliaji anaweza kuunda seti ya milinganyo ya na uhesabu ufunguo wa msingi.
Athari za OpenSSL kiwango cha chini cha hatari, na urekebishaji ulipunguzwa hadi kusogeza misimbo yenye matatizo βTLS_DH_*β katika toleo la 1.0.2w hadi kwenye aina ya sifa zisizo na kiwango cha kutosha cha ulinzi (βweak-ssl-ciphersβ), ambacho kimezimwa kwa chaguomsingi. . Watengenezaji wa Mozilla walifanya vivyo hivyo, katika maktaba ya NSS inayotumika katika Firefox, DH na DHE suti za cipher. Kufikia Firefox 78, misimbo yenye matatizo imezimwa. Usaidizi wa Chrome kwa DH ulikomeshwa mnamo 2016. Maktaba za BearSSL, BoringSSL, Botan, Mbed TLS na s2n haziathiriwi na tatizo kwa sababu hazitumii misimbo ya DH au vibadala tuli vya misimbo ya DH.
Shida za ziada zinazingatiwa tofauti () katika rundo la TLS la vifaa vya F5 BIG-IP, na kufanya shambulio kuwa la kweli zaidi. Hasa, kupotoka kwa tabia ya vifaa mbele ya byte ya sifuri mwanzoni mwa ufunguo wa msingi imetambuliwa, ambayo inaweza kutumika badala ya kupima latency halisi ya mahesabu.
Chanzo: opennet.ru