This article is an automated machine-translation of an article in English. We know the translation isn't perfect, but we hope it's useful for people who don't read English.

"الكراك" HTTPS التشفير في Boffins ثلاثة عشر لاكي الهجوم

Filed Under: Featured, Privacy, Web Browsers

أمن المعاملات على الانترنت هو مرة أخرى في دائرة الضوء وزوج من cryptographers UK يستهدفون TLS.

TLS، أو أمان طبقة النقل، هو وريث لSSL، أو طبقة مآخذ التوصيل الآمنة.

انها النظام الذي يضع S إلى HTTPS (هذا هو القفل تراه على مواقع آمنة)، ويوفر الأمن لبروتوكولات أخرى كثيرة أيضا.

مثل سيئة السمعة 2011 في هجوم BEAST ، فإنه له اسم رائع: ثلاثة عشر لاكي .

اسم يأتي من حقيقة أن مشفرة الحزم TLS يكون رأس بايت التي تستهلك 13 في واحدة من العمليات الحسابية التشفير TLS يعتمد عليه.

→ اسم الصحيفة هو صفيق قليلا - لاحظ بامتعاض الكتاب أن "بمعنى ما، ثلاثة عشر هو محظوظ، ولكن 12 كان أكثر حظا،" منذ 12 بايت من شأنه أن يجعل رؤوس هجومهم أكثر كفاءة.

لإعطائك فكرة عن ما يجعل cryptographers القراد، وكيف تمكنوا من استخراج النظام من الفوضى حتى بعناية متفق عليها، وهنا كيف بدأ كل شيء.

لاحظ مؤلفو الورقة التي الحزم المشفرة في معظم الدورات TLS:

  • يتم تشفير مع والشفرات كتلة آمنة، وعادة AES في وضع CBC، للحفاظ على سرية محتويات.
  • وتشمل التشفير القوي الاختباري، وعادة HMAC-SHA1، لمنع الأخطاء والتزوير.

قد تفترض أن استخدام يست واحدة ولكن اثنين من الأوليات التشفير القوية ستعزز حتما الأمن، ولكن لا أعتقد cryptographers بهذه الطريقة.

أدركت ناظم الفردان وكينيث باترسون من رويال هولواي، ومركز البحوث تشتهر أمن المعلومات التي هي جزء من جامعة لندن، وأنها يمكن أن تستخدم هذه الميزات الأمنية اثنين ضد بعضها البعض بسبب الطريقة التي يتم دمجهما في TLS.

التبسيط إلى حد كبير، الهجوم يعتمد على التفاصيل التالية:

  • والشفرات كتلة AES تشفير 16 بايت في كل مرة. حزم البيانات التي ليست من مضاعفات 16 بايت يجب أن يكون طويل مبطن المغادرة حتى هم.
  • يتم تخزين اختبارية الحزمة TLS داخل طبقة التشفير، بعد البيانات الخام ولكن قبل أي الحشو ضرورية.

عندما خادم TLS يتلقى حزمة هذا هو HMAC-SHA1 checksummed وCBS-AES مشفرة، فإنه يحتاج إلى التحقق من صحة ذلك، مثل هذا:

  • فك تشفير البيانات الواردة، التي ينبغي أن تكون متعددة من 16 بايت في الطول.
  • تحديد أي الحشو في نهاية المخزن المؤقت تم فك تشفيره وقطاع تشغيله.
  • ازالة آخر 20 بايت (على طول اختباري HMAC-SHA1) وتخزينها للرجوع إليها.
  • حساب HMAC-SHA1 ما تبقى من في المخزن المؤقت (أقل الحشو واختباري المرجع).

إذا كان HMAC-SHA1 محسوب الاختباري لا يطابق المجموع الاختباري المرجعية، ثم كان هناك خطأ أو تزوير ل. سيقوم الملقم يرسل إلى الخلف رسالة خطأ وإنهاء الاتصال.

الآن تخيل أن كنت MITM، أو رجل في داخل المتوسطة. لا يمكنك فك تشفير وإعادة تشفير. الحزم لأنها تطير الماضي، ولكن يمكنك التصدي لها، وتقصير منهم، تغييرها بمهارة، وتمر على نسخ معدلة

في كل مرة تقوم بذلك، عليك كسر الدورة TLS كنت مهاجمة، ولكن يمكنك القيام بذلك بطريقة قد تسرب فقط من المعلومات حول ما كان داخل الدورة الآن، مكسورة.

ذلك لن تعطي لك على الفور جواهر التاج، ولكن إذا كنت تستطيع استخراج أي شيء من دفق البيانات مشفر، وكنت قد انتهكت حرمة التشفير TLS التي من المفترض أن تقدم.

الحيلة هي أنه عند اقتطاع حزمة مشفرة، هناك فرصة أن نص عادي في نهاية دفق البيانات المفروم مرة وسوف تبدو وكأنها نوع من بايت الحشو التي TLS من شأنه أن يضيف إذا كانت البيانات الأصلية كانت أقصر لتبدأ .

في هذه الحالة، سيقوم الملقم TLS تجريدها من ما يعتقد هو الحشو، واستخراج ما يعتقد هو اختباري الحزمة، ومن ثم تحقق من أن يطابق المجموع الاختباري.

فإن المجموع الاختباري لا تطابق، بالطبع، ولكن كنت لا يهمني ذلك.

ما الذي يهمك هو كم من الوقت يستغرق خادم TLS للرد على رسالة خطأ مع عندما يدرك الحزمة غير صالح.

بسبب الطريقة التي يعمل HMAC-SHA1، فإنه يأخذ من الوقت أربع وحدات CPU لتدقيق أول 55 بايت من البيانات، بالإضافة إلى وحدة الوقت الاضافي لكل قطعة 64 بايت إضافية (أو جزء منها في النهاية).

أدركت أن الكتاب من خلال جعل اثنين بايت قرص لجزء من حزمة مشفرة واقتطاع ذلك، كان لديهم فرصة لفي واحدة تقريبا 65000 أن الملقم في نهاية المطاف التفكير خطأ ومبطن الرسالة، تجريد الحشو وchecksumming ما كان غادر.

ما لم رمز الملقم TLS مصممة بعناية لتستهلك نفس الكمية من الوقت بغض النظر عن محتوى الحزمة تم فك تشفيره، وسيكون ذلك على أربعة أخماس من الوقت لتجهيز حزمة untweaked.

هذا من شأنه أن يحدث لأن الحزمة قد أنب خداع الملقم في checksumming 55 بايت أو أقل من البيانات، وليس 56 أو أكثر.

إذا كان الباحثون قد قياس موثوق تسريع هذا التوقيت من مدى سرعة استجابة الملقم خطأ عاد، ثم، استنادا إلى القرص، يمكن أن تحسب الآن وحدتي بايت من الحزمة الأصلية.

من خلال محاولة منهجية كل ما يمكن من اثنين بايت القرص (2 16، أو 65536 منهم)، وعلى افتراض الكمال قياس توقيت، فإنها يمكن أن تضمن لاستخراج اثنين من وحدات البايت المشفرة.

مرة واحدة هي تصدع تلك الأولين بايت، يمكن تصدع أخرى 14 بايت، بايت واحد في وقت واحد، من خلال محاولة كل 256 بتعديل المحتملة لكل بايت، ل"تكلفة قرص" مجموعه 2 16 + 14x2 8.

وهذا هو الهجوم الثالث عشر لاكي، في موجز التشغيلية غريب، إن لم يكن نظريا، حيث.

انها ليست عملية هجوم رهيب، لأسباب ليس أقلها القياسات توقيت مثالي من المستحيل:

  • كل قرص محاولة يسبب جلسة TLS لإنهاء، التي قد تكون على حد سواء ملحوظ ومضيعة للوقت.
  • أنب كل دورة يجب أن يكون نفس نص عادي في المكان نفسه لحزمة التغيير والتبديل الذي يتعين القيام به الحصر.
  • في حاجة الى كتاب 2 7 التكرار من مجموعة شاملة من 2 16 القرص (أي البالغ عددهم ثمانية ملايين فشل جلسات TLS!) لإنتاج ما يكفي من البيانات توقيت ذا دلاله إحصائية للحصول على نتيجة موثوق بها.

أوه، وكان ذلك في ظل ظروف مثالية شبكة، مع جهاز الكمبيوتر العميل TLS، والخادم MITM على LAN في نفس مخصصة.

ومع ذلك، انها نتيجة هامة لأنه، كما ذكر أعلاه، فإنه ثقوب بعض حرمة التشفير TLS التي من المفترض أن تقدم.

الحلول والتخفيف، الذي مصممي بروتوكولات المستقبل قد تضع في اعتبارها ما يلي:

  • تصميم وكتابة التعليمات البرمجية حتى لا يكون أسرع أو أبطأ بشكل ملموس عند حدوث أخطاء، حتى لو كان هذا يعني أداء الحسابية زائدة عن الحاجة.
  • استخدام الشفرات تيار، وليس كتلة والشفرات، لتجنب الحاجة إلى الحشو عادي.
  • اختباري بعد تشفير البيانات، بدلا من تشفير الاختباري. وهذا يضمن أن كمية البيانات التي يتم checksummed لا تعتمد على نص عادي.
  • استخدام خوارزمية التشفير المصادقة، مثل AES-GCM ، التي تجمع بين التشفير وchecksumming.

ومن المثير للاهتمام، ويدعم بالفعل التخفيف الأخيرة المذكورة أعلاه (استخدام التشفير مصادقة) في الإصدار TLS 1.2، الذي خرج قبل نحو خمس سنوات .

للأسف، والكتاب من ثلاثة عشر نقطة من أصل لاكي، TLS 1.2 هو لا يزال "لم يؤيد على نطاق واسع في تطبيقات".

وفقا ل SSL بالس المشروع، فإن أقل من 12٪ من المواقع على شبكة الإنترنت أنه تم مسحها في يناير 2013 بدعم TLS 1.2، و معظم المتصفحات (IE على ويندوز 7 و 8 كونها الاستثناء الملحوظ) لا تشمل ذلك، إما.

ربما حان الوقت للانتقال إلى الأمام!

You might like

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

About the author

Paul Ducklin is a passionate security proselytiser. (That's like an evangelist, but more so!) He lives and breathes computer security, and would be happy for you to do so, too. Paul won the inaugural AusCERT Director's Award for Individual Excellence in Computer Security in 2009. Follow him on Twitter: @duckblog