TLS 1.0 взломан
2011-09-20 01:47 pm![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png){kind=small}
waqurhttp://www.theregister.co.uk/2011/09/19/beast_exploits_paypal_ssl/
Готовятся к публикации результаты исследования фундаментальной уязвимости в TSL 0.x-1.0, наиболее широко распространённом способе реализации протокола https на сегодняшний день. Это делает уязвимым Paypal, GMail и тысячи других сайтов, которые используют https.
Атака работает, к примеру, так.
1. Юзер открывает любой HTTP-сайт, например http://google.com/ где-нибудь в Иране.
2. ISP, контролируемый Иранскими службами госбезопасности, подкладывает в HTTP-трафик вредоносный JS-код.
3. Вредоносный JS-код открывает https-AJAX-подключение на https://gmail.com/ и передаёт туда заранее подготовленную ничего не значащую пургу (chosen plaintext attack).
4. Уязвимость в TSL 0.x-1.0 заключается в том, что инициализационный вектор (IV) для https в первый раз вычисляется на основе случайных чисел ; а для последующих соединений с тем же сайтом новые IV рассчитываются на базе старых с помощью детерминированного алгоритма, без использования случайных чисел.
http://eprint.iacr.org/2006/136
Это своеобразная форма непрерывности ключей, направленная на противодействие неполному MitM. Наверное так думали в 1994 в Netscape.
5. Враждебный иранский ISP перехватывает получившийся зашифрованный https-трафик, предназначенный для https://gmail.com/ , и сравнивая заранее известный plaintext с полученным шифртекстом, и вычисляет исходный IV. Сложность — порядка 10 минут на обычной персоналке без GPGPU и без специализированных криптоаналитических FPGA. [В этом новизна работы 2011 года; в 2006 году думали, что эти вычисления потребуют порядка 21000 шагов. *]
6. Юзер заходит на https://gmail.com/ чтобы почитать почту. Браузер выбирает для этой сессии другой, уже новый IV, отличный от предыдущего, но иранский ISP может его независимо рассчитать, т.к. алгоритм его расчёта давно опубликован и не использует случайных чисел.
7. Зная второй IV, иранский ISP расшифровывает весь https-трафик второй сессии (записанный, не в реальном времени) и извлекает из него пользовательские куки для gmail.com .
8. Теперь иранские службы госбезопасности, подкладывая полученные куки, могут заходить на https://gmail.com/ залогиненными от имени пользователя с любого компьютера и читать его почту.
В этом повествовании иранский ISP может быть заменён на вашего соседа по публичному WiFi с улучшенной версией FireSheep.
* Скорее всего это лечится, я думаю имеет место недостаточная энтропия ГПСЧ, см. например историю о том, как в 2001 году был сделан кейген к ASProtect'у, несмотря на использование RSA. [страница 83/89]. Авторы пока не публикуют работу 2011 года, давая возможность разработчикам браузеров ознакомиться с ней в закрытом режиме и сделать патчи.
Готовятся к публикации результаты исследования фундаментальной уязвимости в TSL 0.x-1.0, наиболее широко распространённом способе реализации протокола https на сегодняшний день. Это делает уязвимым Paypal, GMail и тысячи других сайтов, которые используют https.
Атака работает, к примеру, так.
1. Юзер открывает любой HTTP-сайт, например http://google.com/ где-нибудь в Иране.
2. ISP, контролируемый Иранскими службами госбезопасности, подкладывает в HTTP-трафик вредоносный JS-код.
3. Вредоносный JS-код открывает https-AJAX-подключение на https://gmail.com/ и передаёт туда заранее подготовленную ничего не значащую пургу (chosen plaintext attack).
4. Уязвимость в TSL 0.x-1.0 заключается в том, что инициализационный вектор (IV) для https в первый раз вычисляется на основе случайных чисел ; а для последующих соединений с тем же сайтом новые IV рассчитываются на базе старых с помощью детерминированного алгоритма, без использования случайных чисел.
http://eprint.iacr.org/2006/136
Это своеобразная форма непрерывности ключей, направленная на противодействие неполному MitM. Наверное так думали в 1994 в Netscape.
5. Враждебный иранский ISP перехватывает получившийся зашифрованный https-трафик, предназначенный для https://gmail.com/ , и сравнивая заранее известный plaintext с полученным шифртекстом, и вычисляет исходный IV. Сложность — порядка 10 минут на обычной персоналке без GPGPU и без специализированных криптоаналитических FPGA. [В этом новизна работы 2011 года; в 2006 году думали, что эти вычисления потребуют порядка 21000 шагов. *]
6. Юзер заходит на https://gmail.com/ чтобы почитать почту. Браузер выбирает для этой сессии другой, уже новый IV, отличный от предыдущего, но иранский ISP может его независимо рассчитать, т.к. алгоритм его расчёта давно опубликован и не использует случайных чисел.
7. Зная второй IV, иранский ISP расшифровывает весь https-трафик второй сессии (записанный, не в реальном времени) и извлекает из него пользовательские куки для gmail.com .
8. Теперь иранские службы госбезопасности, подкладывая полученные куки, могут заходить на https://gmail.com/ залогиненными от имени пользователя с любого компьютера и читать его почту.
В этом повествовании иранский ISP может быть заменён на вашего соседа по публичному WiFi с улучшенной версией FireSheep.
* Скорее всего это лечится, я думаю имеет место недостаточная энтропия ГПСЧ, см. например историю о том, как в 2001 году был сделан кейген к ASProtect'у, несмотря на использование RSA. [страница 83/89]. Авторы пока не публикуют работу 2011 года, давая возможность разработчикам браузеров ознакомиться с ней в закрытом режиме и сделать патчи.
