V SSL ďalšia vážna chyba, kvôli jeho oslabeniu USA

Značky: SSL / TLSbezpečnosťUSA

DSL.sk, 21.5.2015

V protokole SSL / TLS používanom na ochranu prenášaných dát ich zašifrovaním napríklad pri prístupe k zabezpečeným HTTPS stránkam bola objavená ďalšia vážna bezpečnostná zraniteľnosť, ktorá umožňuje aktívnemu útočníkovi dešifrovať a meniť prenášané dáta.

Zraniteľnosť a útok, ktorý ju dokáže zneužiť, nesie označenie Logjam a objavená bola skupinou kryptológov.

V tomto článku prinášame základný aj technickejší popis zraniteľnosti, popis útoku aj odporúčania pre bežných užívateľov aj administrátorov serverov.

Zraniteľnosť Logjam

Logjam je priamo zraniteľnosťou v návrhu samotného protokolu TLS a umožňuje útočníkovi aktivovať na TLS spojení relatívne slabú šifru.

Protokol TLS podporuje viacero algoritmov pre vytvorenie symetrických kľúčov použitých následne k šifrovaniu spojenia symetrickou šifrou, pričom na použitom algoritme sa dohodnú pri vytvorení spojenia TLS klient so serverom.

Z historických dôvodov je v protokole TLS podporovaná aj sada tzv. exportných šifier, ktoré používajú slabšie kľúče respektíve parametre ako štandardné algoritmy. Exportné šifry začali byť v SSL / TLS podporované po tom, ako vláda USA v 90-tych rokoch minulého storočia zakázala export silnejších kryptografických technológií.

Popri jednom takomto algoritme pre dohadovanie kľúčov Diffie-Hellman Ephemeral, DHE, je tak podporovaná aj jeho verzia DHE_EXPORT s použitým maximálne 512-bitovým prvočíslom ako základným parametrom. Práve jej podporu využíva útok Logjam.

Dnešní TLS klienti vrátane najpoužívanejších webových prehliadačov pri nadviazaní spojenia neuvádzajú tieto exportné slabšie šifry ako podporované a štandardne tak nie sú používané.

Zraniteľnosť Logjam ale umožňuje aktívnemu útočníkovi schopnému manipulovať dáta prenášané medzi užívateľom a serverom modifikovať komunikáciu pri vytváraní spojenia tak, že spojenie sa vytvorí s použitím algoritmu DHE / DHE_EXPORT so slabým základným prvočíslom.

Útočník následne dokáže v reálnom čase zistiť dohodnutý symetrický kľúč, vydávať sa za dôveryhodný server a dešifrovať a modifikovať dáta prenášané TLS spojením.

Technické detaily zraniteľnosti

Útočník realizujúci MITM, Man-In-The-Middle, útok dokáže na spojení vynútiť šifru DHE_EXPORT priamo vďaka chybe v návrhu TLS.

Schéma útoku na zraniteľnosť Logjam, pri ktorom sa útočník vydáva za dôveryhodný server. Útočníkom modifikované dáta, vypočítané dáta, dešifrované a menené dáta vyznačené červenou farbou, kliknite pre zväčšenie

Konkrétne útočník najskôr zmení správu, ktorou klient oznamuje podporované algoritmy, a uvedie v správe zasielanej serveru ako jediný podporovaný DHE_EXPORT. Server tak zvolí algoritmus DHE_EXPORT a oznámi to klientovi spolu s použitím a poslaním 512-bitového prvočísla.

Klient by štandardne takéto spojenie uzatvoril, keďže algoritmus DHE_EXPORT neuviedol ako podporovaný. Útočník ale môže zmeniť v správe odosielanej klientovi jednoducho meno zvoleného algoritmu z DHE_EXPORT na DHE. Správy pre DHE_EXPORT a DHE sa totiž nijako inak neodlišujú.

Klient následne vyhodnocuje zvolený algoritmus ako DHE, nijako nekontroluje použité parametre DHE a dĺžku prvočísla a pokračuje vo vytváraní spojenia.

Klient je tak vo finále v domnení, že bol zvolený ním originálne vyžiadaný algoritmus DHE, a server v domnení zvolenia algoritmu DHE_EXPORT.

Logjam je tak len miernou modifikáciou tento rok zverejneného útoku FREAK, ktorý podobným MITM útokom dokázal na TLS spojení zvoliť exportnú RSA šifru. FREAK ale nezneužíval chybu priamo v návrhu TLS ale chybu v implementáciách, ktoré akceptovali algoritmus RSA_EXPORT aj keď si ho nevyžiadali.

Útok

Útok na popísanú zraniteľnosť Logjam ale nie je priamočiary. Pre úspešné zrealizovanie útoku totiž musí útočník kľúč dešifrovať ešte počas vytvárania TLS spojenia, aby vedel modifikovať záverečné správy pri dohadovaní parametrov.

Vypočítať potrebný tzv. diskrétny logaritmus na zlomenie DHE aj s 512-bitovým kľúčom ale trvá priamo stále veľmi dlho, podľa dostupného hardvéru v rádoch hodín až dní. Pomôcť si je ale možné predpočítaním potrebných dát pre konkrétne prvočíslo, čo objaviteľom zraniteľnosti trvalo cca týždeň.

Napriek tomu, že jednotlivé servery môžu voliť ľubovoľné 512-bitové prvočíslo, všetky inštalácie množstva verzií serveru Apache používajú jedno a to isté prvočíslo, podobne mod_ssl používa jedno iné prvočíslo. Spolu až 92% webových serverov so zapnutou podporou DHE_EXPORT spomedzi milióna najpopulárnejších HTTPS webov používa tieto dve prvočísla, Apache je zodpovedný 82% prípadov a mod_ssl za 10%.

Kryptológovia predpočítali potrebné dáta pre prvočíslo použité v Apache a následne dokázali riešiť diskrétny logaritmus pre konkrétne hodnoty posielané po danom TLS spojení za 38 až 260 sekúnd. To je stále dlhý čas a napríklad webové prehliadače zatvoria spojenie skôr, pomocou zasielania TLS upozornení sa dá ale zabrániť zatvoreniu spojenia u Firefoxu neobmedzene dlho a u ostatných prehliadačov na 60 sekúnd. Takýto dlhý čas načítania môže prerušiť aj užívateľ, útok môže byť ale napríklad realizovaný na spojenia nadväzované v pozadí.

Útok tiež môže byť samozrejme využitý pri iných neinteraktívnych TLS spojeniach ako sú pripojenia na mailové servery.

Rozšírenosť

Podpora algoritmu DHE_EXPORT v súčasnosti nie je zapnutá na všetkých serveroch s podporou TLS, je ale pomerne rozšírená.

Podľa štatistiky objaviteľov zraniteľnosti je konkrétne zapnutá na 8.4% webových HTTPS serverov z milióna najnavštevovanejších HTTPS domén a celkovo na 3.4% všetkých HTTPS serverov. Zapnutá je tiež na 14.8% mailových SMTP serverov s podporou StartTLS a na 8.4% IMAPS serverov.

Kryptológovia popri informovaní o Logjam tiež upozornili na praktickú realizovateľnosť zlomenia 1024-bitového DHE vládami. Zlomenie štandardne používaného 1024-bitového DHE, na ktoré nie je potrebné TLS spojenie prinútiť útokom, by umožnilo pasívne odpočúvanie spojení. Maximálne 1024-bitové prvočíslo u DHE ale používa až 17.9% z milióna najpopulárnejších HTTPS webov.

Takýto pasívny útok by bol ale možný aj voči SSH a prípadne ďalším protokolom používajúcim DH.

Čo robiť

Zraniteľné na zraniteľnosť a útok Logjam sú všetky najpoužívanejšie webové prehliadače, Internet Explorer, Chrome, Firefox, Safari aj Android Browser. Autori všetkých týchto prehliadačov ale už vydali respektíve pripravujú aktualizácie.

Koncoví užívatelia by si tak mali nainštalovať aktualizované verzie hneď ako budú k dispozícii respektíve mali začať používať aktualizovaný prehliadač, ak aktualizácia napríklad pre Android Browser nie je k dispozícii.

Otestovať si zraniteľnosť prehliadača je možné priamo na stránke informujúcej o zraniteľnosti.

Administrátorom serverov kryptológovia odporúčajú prejsť na 2048-bitový DHE a použiť vlastné vygenerované prvočíslo, podľa tohto návodu. U SSH je odporúčané prejsť na najnovšiu verziu OpenSSH využívajúcu algoritmus ECDH.




Najnovšie články:



Diskusia:

arch linux Od: zlobik ten stredny | Pridané: 21.5.2015 11:25 esteze mam Arch linux a som v bezpeci. chudaci Windowsaci, do pol roka to mate fixnute. mozno Odpovedať Známka: -2.3 Hodnotiť:

Re: arch linux Od: Pochybovač | Pridané: 21.5.2015 11:38 Si si istý že to záleží od OS a nie od prehliadača? Odpovedať Známka: 5.4 Hodnotiť:

Re: arch linux Od: kuprezak | Pridané: 21.5.2015 11:51 Citaj pozorne...netyka sa to len webovych prehliadacov. Odpovedať Známka: 7.3 Hodnotiť:

Re: arch linux Od: Pochybovač | Pridané: 21.5.2015 12:09 Buť som slepí alebo tam vidím menované iba 'webové servery" a "emailové servery". V tom prípade to neznamená nutne OS ale len program čo beží pod OS. Odpovedať Známka: 2.9 Hodnotiť:

Re: arch linux Od: Sancho | Pridané: 21.5.2015 14:15 Tak potom si slepy, pretoze zranitelnost je aj v prehliadacoch. Na mojom domacom linuxe je Firefox zranitelny, Epiphany je OK. V praci je IE ok, Firefox nie. Odpovedať Známka: -5.4 Hodnotiť:

Re: arch linux Od: Pochybovač | Pridané: 21.5.2015 15:19 Vobec som prehliadače nespomínal v predošlom komentáre. Odpovedať Známka: 5.6 Hodnotiť:

Re: arch linux Od: az na to | Pridané: 21.5.2015 12:05 az na to ze chyba je v SSL, nie v konkretnom OS... Odpovedať Známka: 7.4 Hodnotiť:

Re: arch linux Od: Boh1 | Pridané: 21.5.2015 14:36 Nechaj ho, on má linux, takže prešťal všetkých hackerov Odpovedať Známka: 4.8 Hodnotiť:

Re: arch linux Od: loko | Pridané: 21.5.2015 18:44 som si isty, ze v jeho pripade to nema s OS ani pocitacom vobec nic spolocne Odpovedať Známka: 10.0 Hodnotiť:

USA = fašisti Od: jenja | Pridané: 21.5.2015 11:38 je na čase USA přestat podporovat v takové míře, ti fašisti jednou vytvoří takovou botu, že to nějaký hacker (či sama fašistická USA) zneužije a zemřou milióny lidí Odpovedať Známka: -0.6 Hodnotiť:

Re: USA = fašisti Od reg.: NikhajZzz | Pridané: 21.5.2015 11:49 No vdaka roznym aktivitam USA mozu umierat miliony denne a nie je to len chybou SSL. Odpovedať Známka: 7.3 Hodnotiť:

Re: USA = fašisti Od: opkl | Pridané: 21.5.2015 12:08 najviac sa mi paci nadpis: "kvôli jeho oslabeniu USA" o))))))) Odpovedať Známka: 8.3 Hodnotiť:

Re: USA = fašisti Od reg.: Jaa 1 | Pridané: 21.5.2015 12:53 Nadpisy a memy na dsl.sk sú nehynúca legenda.Už len čakám kedy sa nejaký začne predávať na tričkách a šiltovkách :) Odpovedať Známka: 8.0 Hodnotiť:

Re: USA = fašisti Od: karolkooooo | Pridané: 21.5.2015 14:50 mne sa zas paci "zranitelne na zranitelnost a utok" :) Odpovedať Známka: 10.0 Hodnotiť:

Re: USA = fašisti Od reg.: gringo | Pridané: 21.5.2015 15:27 good idea..idem do toho :) Odpovedať Známka: 10.0 Hodnotiť:

Re: USA = fašisti Od: lolo21 | Pridané: 21.5.2015 15:44 "tu, tu a tu" by na tričku bolo celkom pekné Odpovedať Známka: 8.6 Hodnotiť:

Re: USA = fašisti Od: Ferikuš | Pridané: 21.5.2015 19:48 ano, ale muselo by tam byť :" viacej info tu, tu a tu ..." my by sme sa spoznali ihned, ostatní by dumali što eto ?? Odpovedať Známka: 10.0 Hodnotiť:

Zranitelne prehliadace Od: Oriny | Pridané: 21.5.2015 12:56 Som to skusal mam win10 ip Chrome ma stale problem s tym ale ze vraj na tom pracuju IE a Project spartan pise ze nemaju tuto zranitelnost :) Odpovedať Známka: -3.3 Hodnotiť:

Re: Zranitelne prehliadace Od: Oriny | Pridané: 21.5.2015 13:01 FireFox tak isto zranitelny..teda aspon zatial Odpovedať Hodnotiť:

Re: Zranitelne prehliadace Od: fff56 | Pridané: 22.5.2015 11:11 FF29.0 Good News! Your browser is safe against the Logjam attack. Odpovedať Hodnotiť:

Re: Zranitelne prehliadace Od: Emeric | Pridané: 22.5.2015 12:24 Neviem či kecáš alebo hovoríš o FF pre Android, ale ja mám FF40.0a2 cez Aurora channel a stále je zraniteľný :( Odpovedať Hodnotiť:

Re: Zranitelne prehliadace Od: taktiez | Pridané: 21.5.2015 13:01 tiez IE11 na win8.1 pise, ze nema zranitelnost Odpovedať Známka: 6.0 Hodnotiť:

Re: Zranitelne prehliadace Od: Emeric | Pridané: 22.5.2015 12:29 Potvrdzujem že IE11 je bezpečný voči danej zraniteľnosti aj na WIN 7 SP1. Odpovedať Hodnotiť:

Re: Zranitelne prehliadace Od: ujo Tomas | Pridané: 21.5.2015 13:44 Android - chrome je zranitelny zatial Odpovedať Hodnotiť:

Re: Zranitelne prehliadace Od: Oprak | Pridané: 21.5.2015 13:47 Opera 12.16 ta upozorni a spyta sa, co stym (prijat, odmietnut). do upozornenia napise, ze kluc je kratky a nie je to bezpecne Odpovedať Známka: 10.0 Hodnotiť:

Re: Zranitelne prehliadace Od: Oprak | Pridané: 21.5.2015 13:48 *Operak, *s tym Odpovedať Známka: -6.0 Hodnotiť:

exportne sifry Od: dfghdff | Pridané: 21.5.2015 14:32 ked to dakto necha na serveri zapnute.... ruky nohy... Odpovedať Známka: 5.0 Hodnotiť:

Som v bezpeci :) Od: joskoo | Pridané: 21.5.2015 22:34 Mam zapnutu kontrolu SSL protokolu v produkte ESET Smart Security a som v bezpeci aj s nechranenym browserom. Odpovedať Známka: -10.0 Hodnotiť:

Re: Som v bezpeci :) Od: zlobik ten stredny | Pridané: 21.5.2015 23:15 to je to iste ako keby si napisal: vystriekal som sa negrovi do papule, teraz ho napustim do riti a preto som v bezpeci. Odpovedať Známka: 5.6 Hodnotiť:

Re: Som v bezpeci :) Od: Emeric | Pridané: 22.5.2015 12:30 Make my day :D Odpovedať Známka: 3.3 Hodnotiť:

dsl.sk Od: Hadimrska | Pridané: 22.5.2015 8:58 Ako je to mozne, ze sa na DSL obcas objavi takyto profesionalne napisany clanok, ktory ma hlavu a patu, s primeranou dlzkou a detailami, ktory je na urovni zahranicnych technologickych webov, ale pritom neposobi ako preklad povodneho clanku cez Google Translate? Mohli by ste prosim tomuto redaktorovi zvysit provizie, aby prispieval castejsie? :) Odpovedať Známka: 10.0 Hodnotiť:

Re: dsl.sk Od: GustikPiestany | Pridané: 22.5.2015 9:02 a vis ako mi je ukradnute, ako pisu, ved aj tak treba cekovat pramene. tod tento portal nie je profesiopnalny, zhe by to bol napr placeny kontent, tak co sa stqazujes. mna skor sere, ze sice som v piane, ale aj tak beham sem a inde, lebo na tych tzv "odbornych" weboch hovno je. hoci su placene. co je este vaecsi skandal. no a samozrejme tiez sranda je, ked SME, tyzden, a dennikN sce od ludi peniaze a nakonec ich zasypava neoliberalnym bullshittovanim a "mudrostami" od Schutza. to sa mozem rovno ist pod najblyzsi most ist opytat nejakeho lokalneho bezdomovca, ten mozno aj lepsie vyzera a viac sa dozvediem, ako od hentoho blazna. to je robenie si prdel z ludi 2.0 Odpovedať Známka: 0.0 Hodnotiť:

Re: dsl.sk Od: Hadimrska | Pridané: 22.5.2015 9:54 Nevidim nikde ze by som sa stazoval, ked sa mi clanok nepaci tak nikdy nepisem ze je nahovno, lebo viem ze DSL je prakticky dobrovolnicky projekt. Ale naopak myslim ze ked sa zadari, tak treba pochvalit. Odpovedať Známka: 10.0 Hodnotiť:

Re: dsl.sk Od: GustikPiestany | Pridané: 22.5.2015 9:07 a este jeden dodatok k placenemu contentu (napr dennikN), tak ja by som si to predstavoval tak, ze ked je tam potom clovek subscriber, tak by nemali valit neoliberalizmus a podobne somariny, ale tvrde data, najlepsie nieco v XML. ke kazdemu clanku by mal byt dump a udane sourcy, aby to clovek mohol verifikovat, to by bolo "internetove" novinarstvo ako sa pasuje do 21. storocia. bohuzial, ale aj alternativa je taka, ze napr Vitkovic sa ohana kopcom papierov na videach, ale nemame tie papiere k stiahnutiu volade, alebo aspon tie jeho folie na webstranke. ak by bola webstranka problem, ja by som bol v stave poskytnut jeden jail+domenu. ale dobre ... ja som clenom (odoberatelom) na http://www.flassbeck-economics.de/ to je este OK. tam sa drzia aj toho, ze su tam sourcy, ked si subscriber a konkretne podlozene, aj ked ziaden dump (tie data na verifikaciu by si clovek mosel sam dohladat). Odpovedať Známka: 10.0 Hodnotiť:

Re: dsl.sk Od: Díky | Pridané: 25.5.2015 8:18 Akurát tie nadpisy by mohli byť menej dementne písané Odpovedať Hodnotiť:

ja sa porat smejem Od: GustikPiestany | Pridané: 22.5.2015 8:59 ja sa porat smejem, ked vyde nejaka chyba v SSL. Ja som vzdy hovoril, ze by sa ludie nemali na kryptografiu samotnu spoliehat, ale este furt su mailservery, kere akceptuju AUTH PLAIN, a to niekedy dokonca aj bez STARTTLS. cize takto sa to vedie, to plati samozrejme aj pre HTTP, ale tam by sa mala pouzivat digest authentifikacia, cize tam je to relativne bezpecne, pokial funguje generator nahodnych cisiel, aj v pripade, ze niekdo nabura SSL. a tie data, co sa prehadzuju z jednej strany na druhu, tak s tym by sa mali ludie rozlucit, ze to bolo VOLAKEDY bezpecne prenasane. tam treba zabezpecit prenosovu trasu a ked je v ceste T-Com, alebo Frankfurt, tak s'prehral na fleku. Odpovedať Hodnotiť:

dobry clanok Od: Kveri_ | Pridané: 23.5.2015 17:44 paradny clanok Odpovedať Hodnotiť:

Pridať komentár