Новая техника атаки для выявления содержимого отдельных блоков SSL/TLS-соединений

07.02.2013 20:11

В различных реализациях протоколов SSL, TLS и DTLS, в том числе в OpenSSL, GnuTLS, PolarSSL, OpenJDK, CyaSSL, MatrixSSL, yaSSL и NSS, обнаружена возможность совершения атаки, позволяющей в процессе длительного перебора восстановить содержимое предсказуемых отрывков контента, передаваемого внутри отдельных блоков защищённого соединения. В целом атака достаточно труднореализуема, но интересна своим подходом к решению задачи.

Суть метода сводится к тому, что вначале осуществляется перехват зашифрованных блоков, после чего, используя известные проблемы TLS-режима CBC (Cipher Block Chaining), атакующий заменяет несколько последних блоков на подставные блоки, отправляет изменённую перехваченную последовательность и измеряет время реакции сервера. Проблемные реализации SSL отличаются тем, что переданный атакующим зашифрованный блок обрабатывается заметно быстрее, если он заполнен корректно (корректное padding-заполнение, используемое для выравнивания зашифрованного блока по границе 8 или 16 байт, определяется быстрее). TLS после каждой неудачи разрывает соединение и требует создания новой сессии.

Таким образом атакующий может организовать отправку большого числа пробных TLS-сообщений, накапливая статистику о времени ответа сервера на каждый запрос. В конечном счёте с определённой вероятностью можно понять, что попытка подбора оказались успешной. С практической стороны атака может применяться для восстановления содержимого значения аутентификационной Сookie или других небольших предсказуемых данных.

Для успеха подбора аутентификационной Сookie типового сайта требуется отправка колоссального числа пробных запросов (нужно создать порядка 2²³ сессий), что придаёт атаке в основном умозрительный характер. Тем не менее, чем более предсказуемо содержимое, тем меньше попыток требуется, например, если используется BASE64-кодирование, то число попыток уменьшается до 2¹⁹, а если содержимое байта в последних двух позициях блока заранее известно - 2¹³. Для увеличения эффективности атаки до 2¹³ также предлагается использовать элементы несколько лет назад представленной техники BEAST, основанной на использовании JavaScript-кода в браузере жертвы для генерации блоков с заранее известным содержимым.

В настоящее время проблема уже устранена в OpenSSL (1.0.1d, 1.0.0k и 0.9.8y), GnuTLS (3.1.7, 3.0.28 и 2.12.23), PolarSSL 1.2.5, CyaSSL 2.5.0, MatrixSSL 3.4.1 и в браузере Opera 12.13.

исправить +1 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/36056-ssl

Ключевые слова: ssl, cookie, security, crypt

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (16)

1.2, Аноним (-), 21:46, 07/02/2013 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Угадать нужно значение аутентификационной Сookie, а не размер. Как в этом поможет выравнивание?

2.12, pavlinux (ok), 00:13, 08/02/2013 [^] [^^] [^^^] [ответить]	+1 +/–
Не понятно другое, что время ответа реального сервера, мало зависит от данных, но пропорционально его загруженности. Для российских провайдеров, особенно МТС, это техника ваще бесполезна, ибо искать закономерность в хаосе с задержками - нереально.

3.14, Аноним (-), 17:00, 08/02/2013 [^] [^^] [^^^] [ответить]	+/–
> Не понятно другое, что время ответа реального сервера, > мало зависит от данных, но пропорционально его загруженности. > Для российских провайдеров, особенно МТС, это техника ваще бесполезна, > ибо искать закономерность в хаосе с задержками - нереально. Тащемта, цель МТС - телефония, а не провайдерство тырнета.

4.17, pavlinux (ok), 18:10, 08/02/2013 [^] [^^] [^^^] [ответить]

+/–

> Тащемта, цель МТС - телефония, а не провайдерство тырнета.

Из любопытства хотябы на их сайт зашёл, в услуги посмотрел.

МТС никого не спросив купила МТУ-Информ, а с ним и пару мильонов
юзеров ADSL-,Ethernet-сетей. Подсосала под себя Комстар с юзерами WiMax,
и там же кормится МГТС. Объединилаи всех в один канал, включая старых
мобильных и теперь связь стала полное говно. Потомуша у мобильного
трафика приоритет больше, качают раз в 100 меньше, при этом стоит
в три раза дешевле. (или в 30 раз дороже).

1.3, A.Stahl (?), 21:48, 07/02/2013 [ответить] [﹢﹢﹢] [ · · · ]	+2 +/–
>проблема уже устранена Т.е проблема не существует, но её уже побороли? Одна (практическая) половина моей шизофренической личности говорит, что код был бесполезно усложнён, а другая (параноидальная) половина говорит: "Грр... У-у-у!...Бр-бр-бр..."

2.5, Dron (ok), 22:33, 07/02/2013 [^] [^^] [^^^] [ответить]	+2 +/–
Да, я вот тоже думаю... Если проблема состояла в том, что неправильные данные обрабатываются дольше чем правильные... они ускорили обработку неправильных или замедлили обработку правильных? :)

3.6, A.Stahl (?), 22:41, 07/02/2013 [^] [^^] [^^^] [ответить]	+/–
Мне кажется, что это не так уж и важно. 2^13 это много. Это неимоверно много. Так что эта так называемая "атака" представляет лишь академический интерес. Вряд ли какая-либо сессия будет длиться дольше, чем будет собираться статистика из как минимум 2^13 запросов. Я считаю, что в ответ на подобные изыскания разработчики библиотек должны были бы лишь улыбнуться и заняться чем-то более полезным.

4.7, Dron (ok), 22:56, 07/02/2013 [^] [^^] [^^^] [ответить]	+/–
Я так и знал, они тормознули крутейший memcmp! Теперь он при совпадении и при несовпадении работает с одинаковой скоростью. При запросах через сеть - может быть и много, а перебором - раз плюнуть. Подходы можно разные найти.

4.8, Аноним (-), 22:56, 07/02/2013 [^] [^^] [^^^] [ответить]	+/–
8192 это много ???

5.11, A.Stahl (?), 23:11, 07/02/2013 [^] [^^] [^^^] [ответить]

+/–

>8192

Тьфу ты. Пишу одно, думаю другое...
Я на изначальные 2^23 смотрел.

А так да. 8192 пакетов не так уж и мало, но ничего особенного.

4.10, КЭП (?), 23:06, 07/02/2013 [^] [^^] [^^^] [ответить]	+/–
2^13 это всего лишь 8192. А это очень мало.

3.9, sergey.vfx (?), 23:01, 07/02/2013 [^] [^^] [^^^] [ответить]	–1 +/–
Неправильные данные обрабатывались быстрее, что есть логично :)

1.4, Анонимнез (?), 22:16, 07/02/2013 [ответить] [﹢﹢﹢] [ · · · ]	+/–
md5 тоже когдато был трудноломаем

2.15, Аноним (-), 17:01, 08/02/2013 [^] [^^] [^^^] [ответить]	+/–
> md5 тоже когдато был трудноломаем Это было давно и неправда.

1.13, Аноним (-), 09:34, 08/02/2013 [ответить] [﹢﹢﹢] [ · · · ]	+/–
это известный тип проблем. она сродни взлома кода на смарткартах анализируя ток потребления. Также можно получать информацию смотря на cachemiss, если имееш логин на сайте. поправят

2.16, Аноним (-), 17:01, 08/02/2013 [^] [^^] [^^^] [ответить]	+/–
> это известный тип проблем. она сродни взлома кода на смарткартах анализируя ток > потребления. Также можно получать информацию смотря на cachemiss, если имееш логин > на сайте. > поправят Великий и могучий, о русский языка. А по каковски-это?

игнорирование участников | лог модерирования

Добавить комментарий

Текст: