The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Новая атака на TLS, позволяющая откатиться к уязвимым методам шифрования

20.05.2015 21:03

Под кодовым именем Logjam представлена новая атака на TLS, которой подвержено большое число клиентских и серверных систем, использующих HTTPS, SSH, IPsec, SMTPS и другие протоколы на базе TLS. По своей сути Logjam напоминает представленную в марте атаку FREAK и отличается тем, что вместо инициирования смены шифров RSA на RSA_EXPORT в Logjam производится откат протокола Диффи-Хеллмана (Diffie-Hellman), используемого для получения ключа для дальнейшего шифрования, до слабозащищённого уровня DHE_EXPORT, что в сочетании с использованием не уникальных начальных простых чисел позволяет применить методы подбора ключа.

При успешном проведении MITM-атаки и наличии у атакующего достаточных вычислительных мощностей, возможно чтение и модификация данных, передаваемых в рамках защищённого канала связи. Для серверов поддерживающих DHE_EXPORT и использующих для генерации ключа не уникальные 512-разрядные группы начальных чисел Диффи-Хеллмана, успешность совершения атаки при использовании типового оборудования оценивается в 80%. Обладающие более мощным оборудованием исследователи могут успешно восстановить ключи для соединений с 768-разрядными начальными числами, а спецслужбам по зубам может оказаться подбор ключей для 1024-разрядных чисел. Взлом одного из начальных чисел, которые используются для генерации секретного ключа, позволяет организовать пассивное прослушивания HTTPS-трафика. Взлом второго ключа даёт возможность прослушивания VPN и SSH.

Проблеме подвержены все популярные web-браузеры и значительное число серверов, в настройках которых допускается использование 512-разрядных ключей Диффи-Хеллмана. Для администраторов серверных систем подготовлено специальное руководство по корректной настройке TLS в Apache httpd, nginx, Lighttpd, Postfix, Sendmail, Dovecot, Tomcat, HAProxy. На той же странице доступна форма для проверки своего сервера на подверженность атаке. Пользователям web-браузеров и клиентских систем рекомендуется дождаться выпуска обновлений программ.

В процессе сканирования глобальной сети было выявлено, что из-за использования DHE_EXPORT атаке Logjam подвержено 8.4% доступных по HTTPS сайтов из миллиона самых популярных доменов, 3.4% HTTPS-сайтов, отображаемых в браузере как заслуживающие доверия, 14.8% почтовых серверов со StartTLS, 8.9% почтовых серверов с POP3S и 8.4% почтовых серверов с IMAPS. Для ресурсов, допускающих применение типовых совместно используемых 1024-разрядных групп начальных чисел Диффи-Хеллмана, цифры более внушительные: атаке по организации пассивного прослушивания потенциально подвержены 17.9% HTTPS-сайтов, 25.7% SSH-серверов и 66.1% IPsec VPN.

  1. Главная ссылка к новости (https://isc.sans.edu/diary/Log...)
  2. OpenNews: Новая атака на SSL/TLS, позволяющая организовать перехват HTTPS-трафика
  3. OpenNews: Новый вид атаки на HTTPS ставит под вопрос дальнейшее существование SSL 3.0
  4. OpenNews: Проект Mozilla присоединился к инициативе по отказу от SHA-1 для HTTPS
  5. OpenNews: Новая техника атаки для выявления содержимого отдельных блоков SSL/TLS-соединений
  6. OpenNews: Утечка документов из АНБ свидетельствует о небезопасности SSH, PPTP, IPSec и TLS
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/42270-https
Ключевые слова: https, tls, ssl
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (46) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (-), 21:07, 20/05/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • –18 +/
    Как я все-таки был прав по поводу SSL/TLS.
     
     
  • 2.9, Аноним (-), 23:59, 20/05/2015 [^] [^^] [^^^] [ответить]  
  • +9 +/
    Ты дурак или притворяешься?

    Атака не на сам слой TLS!
    На понижение протокола для совместимости со старым мусором.

     
     
  • 3.25, Аноним (-), 16:43, 21/05/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > На понижение протокола для совместимости со старым мусором.

    При том уже далеко не первая атака такого плана. Что и делает протокол в целом мусором.

    Больно дофига всего умеет и его конфигурирование в секурный вид - рокетсайнс. А поскольку далеко не все являются криптографами, "конец немного предсказуем".

     
     
  • 4.34, XoRe (ok), 00:46, 22/05/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Больно дофига всего умеет и его конфигурирование в секурный вид - рокетсайнс.

    Специально для вас:
    https://mozilla.github.io/server-side-tls/ssl-config-generator/

    Ну и методичка:
    https://wiki.mozilla.org/Security/Server_Side_TLS

     
     
  • 5.44, Аноним (-), 17:32, 30/05/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > Специально для вас:
    > https://mozilla.github.io/server-side-tls/ssl-config-generator/

    Во наглость! Опять это хомячье Xasd меня учит жизни, хотя я в криптографии получше этого ламака разбираюсь. Слышь, ламак, для меня - это http://nacl.cr.yp.to/index.html

    А свое мегаценное мнение можешь засунуть туда где ему самое место. И не забудь перегенерить конфиг в очередной раз, когда через месяц в этом рeшeте SSL очередную дыру найдут. И так, на подумать: браузер в какой-нибудь убунте в два счета открывает тестовый сервак с этим урезком. Ну то-есть MITM-ы могут даунгрейдить соединения толпе народа и вскрывать их, не парясь особо. Иди, перегенери им всем конфиги, чудило на букву м.

     
  • 2.18, Аноним (-), 09:55, 21/05/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Как я все-таки был прав по поводу SSL/TLS.

    Речь не о SSL/TLS. Эти протоколы - только частный случай протоколов, использущих алгоритм Диффи-Хелмана. Автор новости не совсем адекватен.

     
     
  • 3.26, Аноним (-), 16:44, 21/05/2015 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Речь не о SSL/TLS. Эти протоколы - только частный случай протоколов, использущих
    > алгоритм Диффи-Хелмана. Автор новости не совсем адекватен.

    SSL/TLS виноваты тем что позволяют такой даунгрейд. Хотя мимикрируют под якобы секурное шифрование.

     

  • 1.2, Аноним (-), 21:21, 20/05/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +10 +/
    Ну вот, а то опубликованным Сноуденом данным про прослушивание SSH спецслужбами никто не верил.
     
     
  • 2.45, Аноним (-), 17:33, 30/05/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > Ну вот, а то опубликованным Сноуденом данным про прослушивание SSH спецслужбами никто не верил.

    В ssh такго древнего трэша все-таки поменьше.

     

  • 1.7, Аноним (-), 22:20, 20/05/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    Гребанное мудачье после одной атаки экспорта не дадумалось проверить все остальные. Трукрипт додумался и его зажали
     
     
  • 2.11, Xasd (ok), 02:56, 21/05/2015 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Трукрипт додумался и его зажали

    это вы про тот самый Трукрипт в которым программисты додумались сделать PBKDF2 с нелепо-маленьким числом итераций? хахаха :) .. я смеюсь вам с лицо! :-D

    вот программистом Cryptsetup (LUKS) хватило мозгов сделать автоматический подбор этого значения, в зависимости от мощности процессора. а за "AF stripes" и +дополнительное уважение!

    а Трукрипт по сути просто предлагает "придумывайте 20-ти значный пароль!" -- то же мне выдумщики :-)

     
     
  • 3.16, анон (?), 09:35, 21/05/2015 [^] [^^] [^^^] [ответить]  
  • +/
    идите и покажите как вы сломаете контейнер трукрипта на публике.
    Сразу мировое призание получите.
    А пока - диванным войскам кулхацкеров сидеть жолой гопе ровно.
     
  • 3.27, Аноним (-), 16:47, 21/05/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > вот программистом Cryptsetup (LUKS) хватило мозгов сделать автоматический подбор этого
    > значения, в зависимости от мощности процессора.

    А ничего что если у тебя на машине маломощный проц, а у хаксора мощный, в выигрыше при этом получится хаксор?

     
     
  • 4.33, Xasd (ok), 19:42, 21/05/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >> вот программистом Cryptsetup (LUKS) хватило мозгов сделать автоматический подбор этого
    >> значения, в зависимости от мощности процессора.
    > А ничего что если у тебя на машине маломощный проц, а у хаксора мощный, в выигрыше при этом получится хаксор?

    да. именно так! об этом даже написано в официальном FAQ от Cryptsetup (чем слабее процессор, тем меньше безопасности).

    можно вручную задавать число итераций.. но *поумолчанию* в выигрыше будет хакер-с-БОЛЕЕ-мощным-компом.

    а вот в Трукрипте (в отличии от Cryptsetup\LUKS) -- *даже* если у тебя мощный комп -- всё равно характеристика шифрования пароля такая, будто бы комп у тебя совсем слабый :-) .

    то есть хакер (с мощным компом) будет в выигрыше *всегда*, в случае Трукрипта, не зависимо от мощности твоего компьютера :-)

     
  • 2.36, ГГ (?), 09:21, 22/05/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Мудачьё тут ты, а безопасники додумались и проверяют сейчас.
    Вот дошли руки до этого Диффи.
     

  • 1.8, й (?), 22:35, 20/05/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    совсем запутали эти криптографы.

    Diffie-Hellman обозначается в конфигах по ссылке на примеры как ECDHE, а Diffie-Hellman Export -- как ECDH.

    нет, я в курсе, что E=Ephemeral, но это лишняя путаница на пустом месте.

    ровно так же, как и маньяки, которые в конфигах для openssl (как с ссылки на примеры) как одновременно вайтлистят и блэклистят шифры. как будто одного вайтлиста недостаточно.

     
     
  • 2.10, Аноним (-), 01:05, 21/05/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    ECDHE - Elliptic Curve Diffie-Hellman Exchange
     

  • 1.12, cmp (ok), 04:57, 21/05/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > http://nginx.org/ru/docs/http/configuring_https_servers.html
    > С помощью директив ssl_protocols и ssl_ciphers можно ограничить соединения использованием только “сильных” версий и шифров SSL/TLS. Начиная с версии 1.0.5 nginx по умолчанию использует “ssl_protocols SSLv3 TLSv1” и “ssl_ciphers HIGH:!aNULL:!MD5”, поэтому явная их настройка имеет смысл только для более ранних версий nginx.
     
     
  • 2.13, DeadLoco (ok), 08:55, 21/05/2015 [^] [^^] [^^^] [ответить]  
  • +/
    После пудля настройка SSLv3 вообще не имеет смысла.
     
  • 2.15, Ктото гдето (?), 09:27, 21/05/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Для форвард секреси все равно ручками надо править.
     
     
  • 3.21, Аноним (-), 14:47, 21/05/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > Для форвард секреси все равно ручками надо править.

    для НОРМАЛЬНО работающего FS - поддержку добавили лишь в TLS 1.3 стандартизация которого - закончится через месяц ~
    там-же убрали антикварные и несекьюрные методы(не полностью. но самые жгучие а анекдотичные).
    соотв - надо лоббировать ускорение отказа от TLS 1.0, TLS 1.1, TLS 1.2 и требовать от проиводителей интернет-софта и устройств - скорее внедрять поддержку TLS 1.3(и дропать прежние)

     
     
  • 4.24, Аноним (-), 16:43, 21/05/2015 [^] [^^] [^^^] [ответить]  
  • +/
    для nginx:
    ssl_protocols TLSv1.2;
    ssl_ciphers 'ECDHE-ECDSA-AES256-GCM-SHA384:CAMELLIA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA';

    Но что сделаешь со старыми клиентскими бровзерами? Посетителей сайты тереять то не хотят...

     
     
  • 5.29, Аноним (-), 16:51, 21/05/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > ssl_protocols TLSv1.2;

    ...который не 1.3 :)

    > ssl_ciphers 'ECDHE-ECDSA-AES256-GCM-SHA384:CAMELLIA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA';

    Ога, круто придумали.
    1) Прикрутили малопопулярную CAMELLIA, которую никто из-за патентованости даже особо и не смотрел.
    2) Заюзали NISTовские эллиптические кривые, которые предположительно могут быть сконструированы с бэкдором, стараниями NSA, т.к. NISTовские кривые как оказалось очень активно проталкивало АНБ.
    3) Поюзали ECDSA который у многих криптографов вызывает сомнения.
    4) AES работает не за постоянное время, если недруг может запускать процессы на том же проце - это залёт.

    ...а так все хорошо, прекрасная маркиза :)

     
     
  • 6.39, Аноним (-), 17:45, 22/05/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Камелия - не хреновое крипто, просто афинно преобразование, несмотря на ЧУДОВИЩНЫЕ затраты для работы с ним - некие вопросы по стойкости вызывает. а в целом - очень органичное крипто.
    хотя я бы что-нить поросшее мхом бы взял. вроде blowfish или serpent.
    в EAX, IAPM, OCB режимах - довольно прикольно работают. правда с ними дружат - не все софтины, пока. но для анабиозного - хотя бы GCM режим обычно есть.
    все хлеб.
     
     
  • 7.46, Аноним (-), 17:42, 30/05/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > Камелия - не хреновое крипто,

    Оно патентованное и поэтому им никто в здравом уме не пользовался. Ну и аудит стойкости поэтому в районе плинтуса.

    > хотя я бы что-нить поросшее мхом бы взял. вроде blowfish или serpent.

    BF имеет проблемы как минимум в том что время выполнения зависит от ключа. Это плохо - если атакующий может доступиться к кэшу так или иначе, он потенциально может слямзить ключ. В хучшем случае - вражеский яваскрипт на вон той паге однажды таки угадает ваш ключ по флуктуациям времен выполнения, с чем не поздравляют. Т.к. целый класс малоочевидных но грабельных атак.

    Поэтому сейчас криптографы забили на все эти s-box и изрядно напирают на схемы где все отрабатывает за фиксированное время, независимо от ключа и cache hit/cache miss. А это как правило означает что алгоритм не использует таблиц, только регистровая математика.

    > все хлеб.

    Больше похоже на грабли замаскированные в пшенице.

     
  • 6.40, Аноним (-), 19:19, 22/05/2015 [^] [^^] [^^^] [ответить]  
  • +/
    gt оверквотинг удален Давай тыкни мне пальцем в надёжные ключи openssl cipher... большой текст свёрнут, показать
     
     
  • 7.41, Аноним (-), 12:37, 23/05/2015 [^] [^^] [^^^] [ответить]  
  • +/
    $ openssl ciphers -v -V | grep TLSv1.2 |grep -v \(128\) |grep -v RSA |grep -v 'DSS'

    0xC0,0x2C - ECDHE-ECDSA-AES256-GCM-SHA384 TLSv1.2 Kx=ECDH     Au=ECDSA Enc=AESGCM(256) Mac=AEAD
    0xC0,0x24 - ECDHE-ECDSA-AES256-SHA384 TLSv1.2 Kx=ECDH     Au=ECDSA Enc=AES(256)  Mac=SHA384
    0xC0,0x2E - ECDH-ECDSA-AES256-GCM-SHA384 TLSv1.2 Kx=ECDH/ECDSA Au=ECDH Enc=AESGCM(256) Mac=AEAD
    0xC0,0x26 - ECDH-ECDSA-AES256-SHA384 TLSv1.2 Kx=ECDH/ECDSA Au=ECDH Enc=AES(256)  Mac=SHA384

     
  • 7.47, Аноним (-), 17:44, 30/05/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > Давай тыкни мне пальцем в надёжные ключи:

    Тыкаю: http://nacl.cr.yp.to/index.html - там алгоритмы надежные. Без 200 вариантов экспортного булшита, 150 вариантов легаси и еще over 9000 турбограбель с автоматическим приводом рукояти. Облажаться становится намного сложнее.

     
     
  • 8.50, arisu (ok), 23:53, 30/05/2015 [^] [^^] [^^^] [ответить]  
  • +/
    ага а для совсем ленивых tweetnacl сделали ... текст свёрнут, показать
     
  • 5.37, ГГ (?), 09:23, 22/05/2015 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Сайты, которые не хотят терять посетителей, в https не умеют до сих пор.
     

  • 1.14, Аноним (-), 09:00, 21/05/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    IPSec не основан на TLS. Кривой перевод. Вероятно, что и оригинальная статья так себе тоже.
     
     
  • 2.17, Аноним (-), 09:42, 21/05/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Только перевод кривой. Два первых предложения оригинала можно было и осилить:

    "Diffie-Hellman key exchange is a popular cryptographic algorithm that allows Internet protocols to agree on a shared key and negotiate a secure connection. It is fundamental to many protocols including HTTPS, SSH, IPsec, SMTPS, and protocols that rely on TLS."

     
     
  • 3.19, Онаним (?), 10:19, 21/05/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Так чего с IPSEC-ом? С strongswan-ом к примеру?
     
     
  • 4.30, Аноним (-), 16:52, 21/05/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > Так чего с IPSEC-ом? С strongswan-ом к примеру?

    А ничего, переусложненная буита, надизайненая по заявкам NSA. Чтобы не дай боже секурно и без багов не получилось. Кушайте, не обляпайтесь. "Зато стандарт!!!1111"

     
  • 2.22, Аноним (-), 14:49, 21/05/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > IPSec не основан на TLS. Кривой перевод. Вероятно, что и оригинальная статья
    > так себе тоже.

    вы статью-то вообще - читали?
    вртяли, ибо заметили бы что там сразу под "uncovered several weaknesses in how Diffie-Hellman key exchange has been deployed..."
    двух основных реализаций атаки на DHE описано:
    1. Logjam Attack against the TLS Protocol
    2. Threats from state-level adversaries
    и вторая - затрагивает IPSEC тоже(помимо SSH, VPN-ов и тп)

     
     
  • 3.23, Аноним (-), 14:53, 21/05/2015 [^] [^^] [^^^] [ответить]  
  • +/
    https://isc.sans.edu/diary/Logjam+-+vulnerabilities+in+Diffie-Hellman+key+exch

     

  • 1.20, Онаним (?), 11:01, 21/05/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Фигня все это.
    В дефолтных конфигурациях libreswan, strongswan и openswan, что для IKEv1, что для IKEv2 не применяется MODP ниже 1536.
    Только как клиент позволяется MODP1024 в IKEv1 и MODP1536 в IKEv2.
     
  • 1.28, Аноним (-), 16:51, 21/05/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    http://www.opennet.dev/tips/2877_ssh_crypt_setup_security_nsa.shtml
     
     
  • 2.31, Аноним (-), 16:55, 21/05/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > http://www.opennet.dev/tips/2877_ssh_crypt_setup_security_nsa.shtml

    В SSL/TLS нет 25519. Небольшая такая фига в рыло то NSA. Почему-то творчество Бернштейна и его шайки криптографов - стандартизируют с большим скрипом. Наверное NSA не одобряет такие стандарты.

     
     
  • 3.32, Аноним (-), 19:12, 21/05/2015 [^] [^^] [^^^] [ответить]  
  • +/
    >> http://www.opennet.dev/tips/2877_ssh_crypt_setup_security_nsa.shtml
    > В SSL/TLS нет 25519. Небольшая такая фига в рыло то NSA. Почему-то
    > творчество Бернштейна и его шайки криптографов - стандартизируют с большим скрипом.
    > Наверное NSA не одобряет такие стандарты.

    ну вестимо, Бернштейн - забыл "занести" бабла АНБ, старый идеалист =)
    за что ему - отдельный респект и уважуха :)


     
     
  • 4.35, XoRe (ok), 00:56, 22/05/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > ну вестимо, Бернштейн - забыл "занести" бабла АНБ, старый идеалист =)
    > за что ему - отдельный респект и уважуха :)

    У NSA с баблом все в порядке.
    Бернштейн забыл занести "волшебный ключик".

     

  • 1.38, arisu (ok), 12:07, 22/05/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    я протестую! logjam — это весьма удобный минималистичный клиент для движка livejournal!
     
     
  • 2.42, Аноним (-), 16:31, 24/05/2015 [^] [^^] [^^^] [ответить]  
  • +/
    А как насчёт этого?
    http://www.urbandictionary.com/define.php?term=logjam
     
     
  • 3.43, arisu (ok), 16:52, 24/05/2015 [^] [^^] [^^^] [ответить]  
  • –1 +/
    да без разницы. брать названия, которые до тебя уже взяли, и далеко не самые неизвестные проекты — моветон.
     
     
  • 4.48, Аноним (-), 17:46, 30/05/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > да без разницы. брать названия, которые до тебя уже взяли, и далеко
    > не самые неизвестные проекты — моветон.

    Хм... уязвимость как проект... "treason uncloaked!"

     
     
  • 5.49, arisu (ok), 23:52, 30/05/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > Хм... уязвимость как проект...

    уязвимость как уязвимость. а её описание и демонстрашка — проект.

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру