研究人员设计出针对SSL攻击的新技术

研究人员设计出针对SSL攻击的新技术

* 来源: * 作者: * 发表时间: 2020-04-24 0:29:44 * 浏览: 7
SSL库的许多开发人员都在发布修补的漏洞,这些漏洞可被利用来恢复纯文本信息,例如浏览器身份验证cookie和加密的通信。在加密块链接(CBC)模式下使用加密来攻击SSL,TLS和DTLS实现的新方法。伦敦皇家霍洛威学院大学的研究人员Nadhem J. Al Fardan和K8203,8203,enneth G. Patterson发现了这种新的攻击方法。周一发表的研究论文以及该网站上新攻击的详细信息,它们称为“幸运十三”。他们与多家TLS库供应商以及IETF(互联网工程任务组)TLS工作组合作,以解决此问题。 TLS(传输层安全性)协议和SSL(安全套接字层)协议是其前身,是用于在网络上进行安全通信的HTTPS(安全超文本传输​​8203、8203,协议)主要方法的核心组件。 DTLS(数据报传输层安全性)协议基于TLS与应用程序UDP之间的通信,而UDP(UserDatagramProtocol,用户数据报协议)用于加密连接。研究人员在他们的网站上说:ldquo,OpenSSL,NSS,GNUTLS,yaSSL,PolarSSL,Opera,BouncyCastle准备了补丁来防御我们的攻击模式CBC-TLS。这一发现意味着,从理论上讲,最终用户在访问HTTPS网站时可能容易受到黑客的攻击,但没有应用补丁。但是,安全专家说,该漏洞很难利用,因此可能会有一些恐慌。他们说:ldquo,从TLS规范的特定实现中的错误而不是有缺陷的攻击开始,该攻击适用于所有符合TLS1.1或1.2或DTLS1.0或1.2规范的TLS和DTLS实现最新版本。它们也适用于以前的PaddingOracle攻击,其中SSL3.0和TLS1.0实现了集成的对策。变体攻击也可能适用于不兼容的实现。这句话的意思是,几乎所有用于实现Internet上一些最重要的安全协议的库都容易受到Lucky XIII攻击。好消息是,在现实世界中,很难解密数据TLS连接以成功执行这些攻击,因为它们需要特定的服务器和客户端情况。例如,攻击者需要非常靠近目标服务器,位于同一局域网(LAN)中。 PaddingOracle攻击已经十多年了。它们涉及攻击者在运输过程中捕获的加密记录,更改了其中的某些部分,以及服务器和监视服务器尝试解密所需的时间。通过适应他的修改并分析许多解密尝试之间的时间差,攻击者最终可以逐字节恢复原始的纯文本。 TLS设计人员试图在TLS规范的1.2版本中防止这种类型的攻击,以减少时序更改,他们认为时序更改太低而无法被利用。但是,AlFardan和Paterson进行的幸运的13项新研究表明,这种假设是错误的,成功进行PaddingOracle攻击仍然是可能的。 ldquo,新的AlFardan和Paterson的新结果表明,确实有可能区分由较小的时间差异(至少从相对较近的距离)引起的无效填充,例如,通过LAN,密码和研究教授Matthew Green马里兰州巴尔的摩市的约翰霍普金斯大学在周一的一篇博客文章中说。 ldquo,这部分是由于计算硬件的进步:大多数新计算机现在都带有方便的CPU周期计数器。但这也要归功于一些聪明的统计技术,这些技术使用许多样本来平滑并克服网络连接的抖动和噪声。除接近目标服务器外,成功的十三次幸运攻击还需要非常高的攻击次数,一百万次尝试收集足够的数据以对时间差进行相关的统计分析,并克服网络噪声可能干扰的过程。为此,攻击者需要一种方法来强制受害者浏览器的HTTPS连接数量很多。这可以通过在受害者访问的网站上放置一段恶意JavaScript代码来完成。对于解密的秘密明文,必须有一个HTTPS数据流中的固定位置。通过身份验证(会话)可以满足此条件-Cookie会存储已登录用户的网站浏览器的随机存储的文本字符串。身份验证cookie可以使攻击者访问用户的帐户及其相应的网站,从而使其成为有价值的信息,值得窃取。但是,潜在攻击者要克服的最大障碍是,TLS终止会议后,每次解密尝试都会失败,因此需要重新协商与服务器的会话。格林说:ldquo,TLS握手不是很快,这种攻击可能是数以万计(甚至数百万)的连接[恢复]字节,因此在实践中,TLS攻击可能需要几天的时间。换句话说,不要惊慌。 Green表示,另一方面,如果服务器由于记录已更改而无法解密记录,则DTLS不会终止会话,幸运的是,该协议有13次攻击实际边缘。 AlFardan和Patterson说,与被攻击机器很近的坚定的攻击者可以产生足够的会话攻击,因此只能进行这些攻击。从这种意义上讲,对于普通用户采用当前形式的TLS,这些攻击不会构成重大危险。但是,事实是,随着时间的流逝,攻击只会随着8203、8203的发展而变得更好,并且我们无法预测是什么会改善我们的攻击,或者无法发现可能尚未发现的全新攻击。 Ivan Ristic安全公司Qualys的工程总监Lucky XIII DTLS,以目前的TLS形式,这种攻击是可行的,但并不实际。不过,他在周二通过电子邮件称,从学术角度来看,这项研究具有重要意义。在首选密码套件的HTTPS实现中,Web服务器管理员将不受这些类型的攻击的影响。对于许多人来说,唯一的选择是RC4流加密算法,其历史可以追溯到1987年。Ristic说:ldquo,由于其已知的缺陷(不适用于或不适用于SSL / TLS),RC4是不受欢迎的,但是我们还没有看到也就是说,尽管RC4并不理想,但它似乎比当前的TLS1.0替代方案更强大。 TLS1.2支持更现代的加密套件AES-GCM(AES Galois Counter Mode),并且不会受到这些类型的攻击。但是,TLS1.2的总体采用率目前较低。根据SSL Pulse的说法,Qualys监视支持在SSL / TLS网络上创建新项目的数据的质量,并且Internet 177,000 HTTPS站点中只有11%支持TLS1.2。 Ristic说:ldquo,我认为此发现将加快TLS1.2部署的另一个原因是。 。此人建议将TLS优先考虑以防止RC4的PaddingOracle攻击,这不是第一次。两年前就宣布了BEAST(浏览器对SSL / TLS的漏洞)攻击时,发生了同样的事情。我们知道,从最近的SSL脉冲(一月)来看,有66.7%的服务器容易受到野兽攻击,这意味着它们不优先考虑RC4,Ristic说:“少数,这些服务器将支持TLS1.2,优先级可以是提供给仅支持此协议版本的非CBC套件。但是,由于几乎没有浏览器支持TLS1.2,我认为我们可以估计大约有66%的服务器协商CBC。