The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Новая атака SLOTH, затрагивающая протоколы TLS 1.2, SSH и IKE/IPsec с MD5 и SHA-1

09.01.2016 23:28

В то время как цифровые подписи на основе MD5 уже практически не используются в серверных сертификатах, MD5 по-прежнему продолжает применяться в системах аутентификации клиента, в том числе при использовании протоколов TLS 1.2, SSH и IKE/IPsec, в которых до сих пор считалось невозможным практическое применение методов, связанных с поиском коллизий. Исследователи из французского института INRIA разработали пригодную для практического применения серию атак SLOTH, нацеленных на поражение систем аутентификации, использующих подверженные коллизиям алгоритмы хэширования.

Из областей применения атак называются системы аутентификации клиентов, применяемые в некоторых банках и web-сервисах для подтверждения полномочий подключения пользователя к сайту или виртуальной частной сети. Если в процессе аутентификации в таких системах клиент и сервер поддерживают цифровые подписи RSA-MD5, то SLOTH позволяет атакующему выдать себя за аутентифицированного пользователя, предварительно перенаправленного на подконтрольный злоумышленникам сервер (MITM-атака). В процессе совершения атаки инициируется откат TLS-соедиения на использование MD5-хэшей, после чего на исходный сервер и клиенту отправляются специально оформленные подставные сообщения, снабжённые хэшем MD5, совпадающим с хэшем отправленных пользователем сообщений. На подбор коллизии для MD5 требуется выполнить примерно 5.75 миллиардов вычислений, что на 48-ядерном сервере занимает около часа.

Практические сценарии атак предлагаются для RSA-MD5 в TLS 1.2, HMAC-MD5 в IKEv1, RSA-SHA1 или DSA-SHA1 в IKEv2, при этом атаки на MD5 вполне реалистичны, в то время как атаки на SHA-1 пока рассматриваются только в теории из-за значительных затрат на поиск коллизии (подбор коллизии для SHA-1 занимает около трех месяцев на кластере из 512 GPU). Атака может применяться и для SHA-1 в SSH 2, но для инициирования отката на менее защищённые алгоритмы в процессе согласования ключей.

В качестве главного вывода, исследователи указывают на то, что продолжение применения MD5 и SHA1 в находящихся в обиходе криптографических протоколах значительно уменьшает их защищённость и делает потенциально подверженными практически осуществимым атакам на ключевые механизмы протоколов. Кроме того, требуется по возможности избегать использования урезанных хэшей и MAC-ов в протоколах обмена ключами. После публикации результатов исследования, развивающая TLS рабочая группа уже приняла решение удалить из спецификации TLS 1.3 поддержку цифровых подписей RSA-MD5 и урезанных хэшей HMAC. Пользователям TLS 1.2 предлагается в настройках отключить применение MD5 в цифровых подписях.

В соответствии с ноябрьскими результатами сканирования сети, около 30% HTTPS-серверов поддерживают цифровые подписи RSA-MD5. Из клиентского ПО цифровые подписи RSA-MD5 принимаются, отправляются и анонсируются в реализациях TLS в Java (SunJSSE), NSS (до 3.21), BouncyCastle, PolarSSL/mbedTLS (до 2.2.1), GnuTLS (до 3.3.15) и OpenSSL (до 1.0.1f). Обновления пакетов с OpenSSL, NSS и GnuTLS с устранением проблемы (CVE-2015-7575) на днях доставлены пользователям RHEL, CentOS, Ubuntu и Debian. Проблема также устранена в Firefox 43 и GnuTLS 3.3.15.

  1. Главная ссылка к новости (http://arstechnica.com/securit...)
  2. OpenNews: Возможный сценарий успешной атаки АНБ на алгоритм Диффи-Хеллмана
  3. OpenNews: Новая атака на TLS, позволяющая откатиться к уязвимым методам шифрования
  4. OpenNews: Новый вид атаки на HTTPS ставит под вопрос дальнейшее существование SSL 3.0
  5. OpenNews: Новая атака на SSL/TLS, позволяющая организовать перехват HTTPS-трафика
  6. OpenNews: IETF официально вывел из обихода протокол SSLv3
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: crypt, md5
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (18) Ajax | 1 уровень | Линейный | Раскрыть всё | RSS
  • 1.1, Black Paladin (?), 01:11, 10/01/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    Про SHA-1: Текущую скорость вычислений (3 месяца) поделим на закон Мура и получим 1,5 месяца через 2 года или 0,75 месяца через 4 года.
    Вопрос: Через какое количество лет скорость подбора SHA-1 будет равна текущей скорости подбора MD5?
     
     
  • 2.2, commiethebeastie (ok), 01:30, 10/01/2016 [^] [^^] [^^^] [ответить]  
  • +18 +/
    Закон Мура сдох. Как и сдохнут все остальные гуманитарные "законы".
     
     
  • 3.4, all_glory_to_the_hypnotoad (ok), 01:43, 10/01/2016 [^] [^^] [^^^] [ответить]  
  • +3 +/
    он эмпирический на экономической основе.
     
     
  • 4.5, Аноним (-), 03:48, 10/01/2016 [^] [^^] [^^^] [ответить]  
  • +/
    "количество транзисторов, размещаемых на кристалле интегральной схемы, удваивается каждые 24 месяца"
    не работает дядя, айды почини.
     
     
  • 5.6, Аноним (-), 07:38, 10/01/2016 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Значит надо внести какой-то такой корректив: "эффективность интегральной схемы увеличивается эквивалентно удвоению в ней количества транзисторов каждые 24 месяца".
    Или в таком варианте оно тоже работать не будет?
     
     
  • 6.8, Аноним (-), 12:31, 10/01/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Винда медленно? Скачай у нас, чтобы исправить!
     
     
  • 7.15, Sw00p aka Jerom (?), 01:03, 11/01/2016 [^] [^^] [^^^] [ответить]  
  • +/
    в мат расчётах не бывает предсказаний - тока ожидания и вероятности.
     
     
  • 8.23, mammuthus (?), 11:40, 15/01/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Закон Мура не работает Сочувствую ... текст свёрнут, показать
     
  • 5.9, all_glory_to_the_hypnotoad (ok), 14:06, 10/01/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    дебил, эмпирический закон не имеет предсказательной силы.
     
     
  • 6.11, Аноним539 (ok), 14:56, 10/01/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Если только он не является самосбывающимся пророчеством. В данном конкретном случае, Интел форсирует его выполнение уже в контексте производительности, поскольку факт что они выполняют этот "двухлетний план" уже на протяжении 50 лет, является важной составляющей их капитализации.
    TL;DR Акционеры спасибо не скажут, если вдруг производители чипов не будут этот закон выполнять.
     
  • 2.12, ГГ (?), 16:04, 10/01/2016 [^] [^^] [^^^] [ответить]  
  • –3 +/
    А мне вот очень интересно откуда в интернете такое количество идиотов, придумывающих всякую ахинею про закон мура.
    Из педивикии что ли лезете?
     

  • 1.3, Ivan_83 (ok), 01:37, 10/01/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Интересно как они с HMAC-MD5 провернули, там же вроде только полный перебор брутфорсом.
     
  • 1.10, Аноним (-), 14:08, 10/01/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Что-то я не понял. В какой-то момент у клиента на час должна подвиснуть аутентификация, а он должен этого не заметить?
     
     
  • 2.13, Ivan_83 (ok), 16:10, 10/01/2016 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Не все же нищеброды с 48-ми ядерным сервером, есть нормальные ребята из АНБ, у них этого гуталину просто завались, так что за пару секунд переберут.
     
  • 2.14, VoDA (ok), 17:01, 10/01/2016 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Час это максимум, т.е. при не удачном стечении обстоятельств (бит) его подберут за 60 минут. В среднем же будет 30 минут (кому то будут подбирать сразу, кому то через 60 мин.).

    Если поставить 360 серверов, то максимум будет за 10 секунд, среднее 5 сек. Пользователь на старте сайта может подождать и 5 секунд и 10-ть.

    А используя 360 серверов поточным образом злоумышленники смогут маскироваться под ВАЛИТДНЫЙ сайт и проводить MITM. Поточным образом значит MITM-ить до 17 280 сессий в сутки.

     
     
  • 3.17, gnm (?), 10:21, 11/01/2016 [^] [^^] [^^^] [ответить]  
  • –2 +/
    10-есять, позорище
     
  • 3.22, Black Paladin (?), 22:31, 12/01/2016 [^] [^^] [^^^] [ответить]  
  • +/
    То, что вы описали - это grid-вычисления.
    Основным минусом grid-вычислений, как и тем более SSI
    (https://en.wikipedia.org/wiki/OpenSSI)
    это накладные расходы на синхронизацию действий и
    латентность операций по синхронизации.
    Последний упомянутый проект туда и уперся, судя по всему.
    (Сейчас сам слежу за развитием OpenMP/OpenCL.)
    Так что, на мой взгляд ни о каких 5-15 секундах не может быть и речи.
     

  • 1.18, Okarin (ok), 11:29, 11/01/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    Народ, а поясните, пожалуйста, если использовать MD5 с использованием соли, неизвестной атакующему - разве это не обломает подборы коллизий?
     
     
  • 2.19, maximnik0 (?), 21:22, 11/01/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > Народ, а поясните, пожалуйста, если использовать MD5 с использованием соли, неизвестной
    > атакующему - разве это не обломает подборы коллизий?

    Соль используют для паролей и т.п  ,чтобы атакующий не смог по заранее подобранным (сгенерированным ) таблицам отыскать пароль (расшифровать ) .Здесь же расшифровывать нечего не надо ,с использованием коллизий генерируется подложный сертификат или ключ чтобы выглидел достоверным .


     
  • 2.20, Аноним (-), 22:10, 11/01/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Не обломает, особенно если соль известна.
     
  • 2.21, Andrey Mitrofanov (?), 22:42, 11/01/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Сотрите их, чтоб не мучались??
     
  • 2.25, Павел Самсонов (?), 09:56, 17/01/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Соль надо выдавать на каждую сессию, тогда клиент будет использовать разные хеши. Это не проблемма, но как и везде что нибудь где нибудь вылезает - в этом случае сервер должен хранить нешифрованные пароли.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Слёрм
    Inferno Solutions
    Hosting by Ihor
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2019 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру