攻击者可利用新的浣熊攻击造成SSLTLS加密无效 – 作者:偶然路过的围观群众

一群研究人员公开了传输层安全（TLS）协议中的一个新的时序漏洞，攻击者可利用该漏洞在特定情况下造成加密无效和读取敏感通信。

该漏洞被称为“浣熊攻击（Raccoon Attack）”，该服务器端攻击利用该加密协议（1.2及之前版本）中的一个侧信道提取用于两方安全通信的共享密钥。

“该侧信道的根源在于TLS标准鼓励对DH密钥进行非常数时间操作，”研究人员在一篇论文中解释他们的发现，“如果该服务器再次使用临时密钥，该侧信道可能允许攻击者通过解析Hidden Number Problem的实例恢复预主密钥。”

然而，研究人员指出，该漏洞难以利用，依赖于非常精确的时序测量，并在特定的服务器配置上才可利用。

泄露密钥的时序攻击

使用时间测量入侵密码系统和泄露敏感信息是许多时序攻击的核心，浣熊对一次TLS握手过程中的Diffie-Hellman（DH）密钥交换处理利用了相同的策略，TLS握手对于在公共网络上安全地交换数据至关重要。

在交换过程中生成的共享密钥使用户能够在互联网上安全地浏览，通过保护通信免遭窃听和中间人攻击，让用户安全地访问网站。

为了使该安全机制失效，攻击者记录了客户端和服务器之间的握手消息，利用该消息向同一服务器发起新的握手，接着测量该服务器响应派生共享密钥所涉及的操作需要的时间。

值得指出的是，“包含前导零的DH密钥会使服务器KDF计算更快，因此服务器响应时间更短。”

假设攻击者能够识别这种极端情况，攻击者就能解密初始握手的密钥，最终解密TLS流量，以明文形式恢复该内容。

但是该攻击有其自己的局限性。它需要服务器在会话中重新使用相同的DH临时密钥（一个称为DHE的模式），还需要攻击者尽可能靠近目标服务器以执行高精准的时序测量。

F5，Microsoft，Mozilla和OpenSSL发布安全更新

虽然浣熊可能在真实世界中难以复制，但是数款F5产品被发现容易受到该攻击的某个“特殊”版本（CVE-2020-5929）的影响，而无需采取通过直接观察服务器响应内容的时序测量。

F5，Microsoft，Mozilla和OpenSSL已经通过解决临时密钥重用的问题在发布的补丁中阻止了该攻击。Mozilla在其Firefox浏览器中关闭了DH和DHE加密套件，而Microsoft在公告中建议客户禁用TLS_DHE。

由于临时密钥对确保前向安全性至关重要，该研究是重用加密密钥会破坏安全性的另一个原因。

研究人员总结道，“我们的攻击利用了这样一个事实，即服务器可以在许多会话中重用秘密的DH指数，从而放弃前向安全性。”

“在此情景下，浣熊为协议安全上了一课：对于其中一方可以连续查询某些密码秘密的协议，攻击面变得更广。浣熊攻击表明，当攻击者可访问这样的查询时，我们就应该小心。”

消息来源The Hacker News

来源：freebuf.com 2020-09-14 15:21:30 by: 偶然路过的围观群众