一群研究人员公开了传输层安全(TLS)协议中的一个新的时序漏洞,攻击者可利用该漏洞在特定情况下造成加密无效和读取敏感通信。
该漏洞被称为“浣熊攻击(Raccoon Attack)”,该服务器端攻击利用该加密协议(1.2及之前版本)中的一个侧信道提取用于两方安全通信的共享密钥。
“该侧信道的根源在于TLS标准鼓励对DH密钥进行非常数时间操作,”研究人员在一篇论文中解释他们的发现,“如果该服务器再次使用临时密钥,该侧信道可能允许攻击者通过解析Hidden Number Problem的实例恢复预主密钥。”
然而,研究人员指出,该漏洞难以利用,依赖于非常精确的时序测量,并在特定的服务器配置上才可利用。
泄露密钥的时序攻击
使用时间测量入侵密码系统和泄露敏感信息是许多时序攻击的核心,浣熊对一次TLS握手过程中的Diffie-Hellman(DH)密钥交换处理利用了相同的策略,TLS握手对于在公共网络上安全地交换数据至关重要。
在交换过程中生成的共享密钥使用户能够在互联网上安全地浏览,通过保护通信免遭窃听和中间人攻击,让用户安全地访问网站。
为了使该安全机制失效,攻击者记录了客户端和服务器之间的握手消息,利用该消息向同一服务器发起新的握手,接着测量该服务器响应派生共享密钥所涉及的操作需要的时间。
值得指出的是,“包含前导零的DH密钥会使服务器KDF计算更快,因此服务器响应时间更短。”
假设攻击者能够识别这种极端情况,攻击者就能解密初始握手的密钥,最终解密TLS流量,以明文形式恢复该内容。
但是该攻击有其自己的局限性。它需要服务器在会话中重新使用相同的DH临时密钥(一个称为DHE的模式),还需要攻击者尽可能靠近目标服务器以执行高精准的时序测量。
F5,Microsoft,Mozilla和OpenSSL发布安全更新
虽然浣熊可能在真实世界中难以复制,但是数款F5产品被发现容易受到该攻击的某个“特殊”版本(CVE-2020-5929)的影响,而无需采取通过直接观察服务器响应内容的时序测量。
F5,Microsoft,Mozilla和OpenSSL已经通过解决临时密钥重用的问题在发布的补丁中阻止了该攻击。Mozilla在其Firefox浏览器中关闭了DH和DHE加密套件,而Microsoft在公告中建议客户禁用TLS_DHE。
由于临时密钥对确保前向安全性至关重要,该研究是重用加密密钥会破坏安全性的另一个原因。
研究人员总结道,“我们的攻击利用了这样一个事实,即服务器可以在许多会话中重用秘密的DH指数,从而放弃前向安全性。”
“在此情景下,浣熊为协议安全上了一课:对于其中一方可以连续查询某些密码秘密的协议,攻击面变得更广。浣熊攻击表明,当攻击者可访问这样的查询时,我们就应该小心。”
消息来源The Hacker News
来源:freebuf.com 2020-09-14 15:21:30 by: 偶然路过的围观群众
请登录后发表评论
注册