Новая техника атаки на TLS и DTLS

Ваш отзыв

attack_on_tlsВ различных реализациях протоколов SSL, TLS и DTLS, в том числе в OpenSSL, GnuTLS, PolarSSL, OpenJDK, CyaSSL, MatrixSSL, yaSSL и NSS (разработчики уже выпустили или готовят патчи), обнаружена возможность совершения атаки, позволяющей в процессе длительного перебора восстановить содержимое предсказуемых отрывков контента, передаваемого внутри отдельных блоков защищённого соединения. В целом атака достаточно труднореализуема, так как требует выполнения ряда специфических условий, например, злоумышленник и сервер должны быть в одной локальной сети, но интересна своим подходом к решению задачи.
Суть метода сводится к тому, что вначале осуществляется перехват зашифрованных блоков, после чего, используя известные проблемы TLS-режима CBC (Cipher Block Chaining), атакующий заменяет несколько последних блоков на подставные блоки, отправляет изменённую перехваченную последовательность и измеряет время реакции сервера. Проблемные реализации SSL отличаются тем, что переданный атакующим зашифрованный блок обрабатывается заметно быстрее, если он заполнен корректно (корректное padding-заполнение, используемое для выравнивания зашифрованного блока по границе 8 или 16 байт, определяется быстрее). TLS после каждой неудачи разрывает соединение и требует создания новой сессии.
Таким образом атакующий может организовать отправку большого числа пробных TLS-сообщений, накапливая статистику о времени ответа сервера на каждый запрос. В конечном счёте с определённой вероятностью можно понять, что попытка подбора оказались успешной. С практической стороны атака может применяться для восстановления содержимого значения аутентификационной Сookie или других небольших предсказуемых данных.
Для успеха подбора аутентификационной Сookie типового сайта требуется отправка колоссального числа пробных запросов (нужно создать порядка 2^23 сессий), что придаёт атаке в основном умозрительный характер. Тем не менее, чем более предсказуемо содержимое, тем меньше попыток требуется, например, если используется BASE64-кодирование, то число попыток уменьшается до 2^19, а если содержимое байта в последних двух позициях блока заранее известно — 2^13. Для увеличения эффективности атаки до 2^13 также предлагается использовать элементы несколько лет назад представленной техники BEAST, основанной на использовании JavaScript-кода в браузере жертвы для генерации блоков с заранее известным содержимым.

Источник http://www.opennet.ru/opennews/art.shtml?num=36056
Описание атаки http://www.isg.rhul.ac.uk/tls/

Possibly Related Posts:


Эксперт сообщества Сергей Фирсов

Рубрика: bugtracking, информационная безопасность, Новости. Вы можете следить за отзывами через RSS 2.0. Вы можете оставить отзыв, или трекбек со своего сайта.

  1. Отзывов нет