Azərbaycanca
Беларускі
Dansk
Deutsch
Española
Français
Indonesia
Italiana
日本語
Қазақ
Lietuvos
Nederlands
Português
Русский
සිංහල
แบบไทย
Türkçe
Українська
中國人
United State
Afrikaans
Logjam — атака на TLS / SSL. Дана атака здатна повністю розшифрувати або зламати будь-яке TLS з'єднання, встановлене з недобросовісно сконфігурованими вебсервісами або поштовими серверами. Також як і FREAK, Logjam заснована на зниженні рівня шифрування до експортного рівня, де довжина ключа становить 512 біт. Відмінність полягає в тому, що Logjam атакує Протокол Діффі-Геллмана.
Загальна характеристика
Найкращий спосіб зрозуміти результат Logjam — прочитати технічну документацію:
Схоже, що протокол англ. Diffie-Hellman, який в даний час розгорнуто в SSL/TLS, може бути уразливий для серйозної атаки з пониженням, яка відновлює її до рівня «експорту» в 1990-х роках і пропонує практичний «розрив» протоколу TLS проти погано налаштованих серверів. Гірше того, екстраполяція вимог до атаки — в поєднанні з доказами з документів Snowden — дає привід припустити, що аналогічна атака може бути використана проти протоколів (включаючи TLS, IPSec /IKE і SSH) з використанням 768- і 1024-розрядних англ. Diffie-Hellman
.
Такі ключі, як показали дослідники FREAK, можна зламати протягом декількох годин.
Вчені зробили попередній розрахунок для двох популярних експортних DH-груп: перша група використовується в Apache в версіях 2.1.5-2.4.7 і зустрічається на 7 % сайтів з TOP 1M за версією Alexa, а другий захист в OpenSSL, ще коли він називався SSLeay, в 1995 році. Розрахунок зайняв тиждень для кожної групи, й проводився він з використанням модифікованої версії CADO-NFS. Дослідники з'ясували, що попередній розрахунок цих двох груп дозволяє зламувати до 80 % зашифрованих з'єднань на серверах, які підтримують експортні DH-ключі. Були запропоновані і продемонстровані на відео три способи проведення атаки:
- Офлайн-дешифрування слабких підключень для серверів, що використовують 512-бітові DH-ключі за замовчуванням, при пасивній подачі трафіку;
- Зниження стійкості ключів до 512-бітних з використанням TLS False Start, шляхом MiTM-підміни відправляються на сервер даних про тип DH;
- Зниження стійкості ключів до 512-бітних шляхом MiTM-підміни відправляються на сервер даних про тип DH, і призупинення з'єднання до моменту злому ключів.
Атака на алгоритм Діффі — Геллмана
Найбільш відомий та розповсюджений спосіб атакувати Диффі — це означає: перехоплення повідомлень та вилучення величини ga, потім знаходиться «секрет» a. Задача знаходження цього «секрету» називається дискретно-логарифмічною задачею, яка вважається математично невирішеною, якщо Діффі — Геллман був застосований з простого числа p розміром 2048 біт або більше.
Коли просте число p має розмір 512 біт або менше, то стає можливим отримати значення a з g a mod p і прочитати трафік з'єднання. Знайти а можна, використовуючи Метод решета числового поля (Number Field Sieve)).
Робота Logjam
Існує декілька сучасних серверів TLS/SSL, які використовують 512-бітний ключ Діффі — Геллмана, більшою мірою такі сервера використовуються в маршрутизаторах або у відеоконференційних шлюзах. Тем не менше, існує другий клас серверів, які здатні підтримувати 512-бітний Діффі — Геллмана на прохання клієнта, використовуючи спеціальний режим EXPORT_DHE. За даними Alexa, з мільйонів найбільш популярних сайтів 8,4 % є вразливими до Logjam.
Хоча більшість привілейованих клієнтів (популярних браузерів) не підтримують EXPORT_DHE, тому існує уразливість, що дозволяє їм приймати ослаблений ключ. [[Файл: Tlsserverparams.png|thumb |ServerKeyExchange [Архівовано 27 травня 2016 у Wayback Machine.] повідомлення (RFC 5246)]]
До того, як клієнти й сервер розпочне процес шифрування, їм потрібно вирішити, який із шифрів використовувати. Це відбувається в процесі «переговорів», коли клієнт пропонує деякі параметри (RSA, DHE, DHE_EXPORT, RSA_EXPORT і т. д.) і сервер вибирає один з них. Однак існує вразливість, яка полягає в тому, що в SSL/TLS протоколах погано продумана аутентифікація «переговорних» повідомлень. У більш ранніх версіях протоколу SSL не було автентифікації, тільки в TLS і в SSL 3.0 введено аутентифікацію, але вона відбувається в кінці процесу «рукотиснення». Слабкість реалізації TLS полягає в тому, що TLS сервера можуть підписувати свої повідомлення цифровою підпискою, але в реалізації цього протоколу це не використовується. Під час процесу «переговорів», якщо був вибраний Діффі — Геллман, то параметри, які присилає сервер, знаходяться в підписаному повідомленні ServerKeyExchange. Підписана частина повідомлення містить тільки параметри, але не містить інформації про те, який шифр використовувати.
Таким чином, якщо сервер підтримує , то зловнисник може скористатися атакою «людина посередині» та перехоплювати повідомлення між клієнтом і сервером, змінювати список підтримуючих шифрів, залишаючи тільки підтримку DHE_EXPORT (навіть якщо клієнт його не підтримує). Сервер у відповідь відправляє своє повідомлення, підписане 512-бітним ключем Диффі — Геллмана. Клієнт, нічого не підозріваючи, приймає цю інформацію. Зловмисннику залишилось знайти «секрет» Діффі — Геллмана, але він повинен це зробити до того, як завершиться процес «рукопотиснення» і створити своє повідомлення про закінчення даного процесу.
Див. також
Примітки
- Attack of the week: Logjam. Архів оригіналу за 27 травня 2016. Процитовано 9 квітня 2018.
- Уязвимость TLS Logjam — FREAK с DH. Архів оригіналу за 2 липня 2017. Процитовано 9 квітня 2018.
- Разработана новая атака Logjam на алгоритм Диффи — Хеллмана [Архівовано 27 травня 2016 у Wayback Machine.]
Посилання
- Attack of the week: Logjam [Архівовано 27 травня 2016 у Wayback Machine.]
- Уязвимость TLS Logjam — FREAK с DH [Архівовано 2 липня 2017 у Wayback Machine.]
- Разработана новая атака Logjam на алгоритм Диффи — Хеллмана [Архівовано 20 листопада 2015 у Wayback Machine.]
Вікіпедія, Українська, Україна, книга, книги, бібліотека, стаття, читати, завантажити, безкоштовно, безкоштовно завантажити, mp3, відео, mp4, 3gp, jpg, jpeg, gif, png, малюнок, музика, пісня, фільм, книга, гра, ігри, мобільний, телефон, android, ios, apple, мобільний телефон, samsung, iphone, xiomi, xiaomi, redmi, honor, oppo, nokia, sonya, mi, ПК, web, Інтернет
Logjam ataka na TLS SSL Dana ataka zdatna povnistyu rozshifruvati abo zlamati bud yake TLS z yednannya vstanovlene z nedobrosovisno skonfigurovanimi vebservisami abo poshtovimi serverami Takozh yak i FREAK Logjam zasnovana na znizhenni rivnya shifruvannya do eksportnogo rivnya de dovzhina klyucha stanovit 512 bit Vidminnist polyagaye v tomu sho Logjam atakuye Protokol Diffi Gellmana Zagalna harakteristikaNajkrashij sposib zrozumiti rezultat Logjam prochitati tehnichnu dokumentaciyu Shozhe sho protokol angl Diffie Hellman yakij v danij chas rozgornuto v SSL TLS mozhe buti urazlivij dlya serjoznoyi ataki z ponizhennyam yaka vidnovlyuye yiyi do rivnya eksportu v 1990 h rokah i proponuye praktichnij rozriv protokolu TLS proti pogano nalashtovanih serveriv Girshe togo ekstrapolyaciya vimog do ataki v poyednanni z dokazami z dokumentiv Snowden daye privid pripustiti sho analogichna ataka mozhe buti vikoristana proti protokoliv vklyuchayuchi TLS IPSec IKE i SSH z vikoristannyam 768 i 1024 rozryadnih angl Diffie Hellman Taki klyuchi yak pokazali doslidniki FREAK mozhna zlamati protyagom dekilkoh godin Vcheni zrobili poperednij rozrahunok dlya dvoh populyarnih eksportnih DH grup persha grupa vikoristovuyetsya v Apache v versiyah 2 1 5 2 4 7 i zustrichayetsya na 7 sajtiv z TOP 1M za versiyeyu Alexa a drugij zahist v OpenSSL she koli vin nazivavsya SSLeay v 1995 roci Rozrahunok zajnyav tizhden dlya kozhnoyi grupi j provodivsya vin z vikoristannyam modifikovanoyi versiyi CADO NFS Doslidniki z yasuvali sho poperednij rozrahunok cih dvoh grup dozvolyaye zlamuvati do 80 zashifrovanih z yednan na serverah yaki pidtrimuyut eksportni DH klyuchi Buli zaproponovani i prodemonstrovani na video tri sposobi provedennya ataki Oflajn deshifruvannya slabkih pidklyuchen dlya serveriv sho vikoristovuyut 512 bitovi DH klyuchi za zamovchuvannyam pri pasivnij podachi trafiku Znizhennya stijkosti klyuchiv do 512 bitnih z vikoristannyam TLS False Start shlyahom MiTM pidmini vidpravlyayutsya na server danih pro tip DH Znizhennya stijkosti klyuchiv do 512 bitnih shlyahom MiTM pidmini vidpravlyayutsya na server danih pro tip DH i prizupinennya z yednannya do momentu zlomu klyuchiv Ataka na algoritm Diffi GellmanaNajbilsh vidomij ta rozpovsyudzhenij sposib atakuvati Diffi ce oznachaye perehoplennya povidomlen ta viluchennya velichini ga potim znahoditsya sekret a Zadacha znahodzhennya cogo sekretu nazivayetsya diskretno logarifmichnoyu zadacheyu yaka vvazhayetsya matematichno nevirishenoyu yaksho Diffi Gellman buv zastosovanij z prostogo chisla p rozmirom 2048 bit abo bilshe Koli proste chislo p maye rozmir 512 bit abo menshe to staye mozhlivim otrimati znachennya a z g a mod p i prochitati trafik z yednannya Znajti a mozhna vikoristovuyuchi Metod resheta chislovogo polya Number Field Sieve Robota LogjamIsnuye dekilka suchasnih serveriv TLS SSL yaki vikoristovuyut 512 bitnij klyuch Diffi Gellmana bilshoyu miroyu taki servera vikoristovuyutsya v marshrutizatorah abo u videokonferencijnih shlyuzah Tem ne menshe isnuye drugij klas serveriv yaki zdatni pidtrimuvati 512 bitnij Diffi Gellmana na prohannya kliyenta vikoristovuyuchi specialnij rezhim EXPORT DHE Za danimi Alexa z miljoniv najbilsh populyarnih sajtiv 8 4 ye vrazlivimi do Logjam Hocha bilshist privilejovanih kliyentiv populyarnih brauzeriv ne pidtrimuyut EXPORT DHE tomu isnuye urazlivist sho dozvolyaye yim prijmati oslablenij klyuch Fajl Tlsserverparams png thumb ServerKeyExchange Arhivovano 27 travnya 2016 u Wayback Machine povidomlennya RFC 5246 Do togo yak kliyenti j server rozpochne proces shifruvannya yim potribno virishiti yakij iz shifriv vikoristovuvati Ce vidbuvayetsya v procesi peregovoriv koli kliyent proponuye deyaki parametri RSA DHE DHE EXPORT RSA EXPORT i t d i server vibiraye odin z nih Odnak isnuye vrazlivist yaka polyagaye v tomu sho v SSL TLS protokolah pogano produmana autentifikaciya peregovornih povidomlen U bilsh rannih versiyah protokolu SSL ne bulo avtentifikaciyi tilki v TLS i v SSL 3 0 vvedeno autentifikaciyu ale vona vidbuvayetsya v kinci procesu rukotisnennya Slabkist realizaciyi TLS polyagaye v tomu sho TLS servera mozhut pidpisuvati svoyi povidomlennya cifrovoyu pidpiskoyu ale v realizaciyi cogo protokolu ce ne vikoristovuyetsya Pid chas procesu peregovoriv yaksho buv vibranij Diffi Gellman to parametri yaki prisilaye server znahodyatsya v pidpisanomu povidomlenni ServerKeyExchange Pidpisana chastina povidomlennya mistit tilki parametri ale ne mistit informaciyi pro te yakij shifr vikoristovuvati Ataka Logjam Takim chinom yaksho server pidtrimuye to zlovnisnik mozhe skoristatisya atakoyu lyudina poseredini ta perehoplyuvati povidomlennya mizh kliyentom i serverom zminyuvati spisok pidtrimuyuchih shifriv zalishayuchi tilki pidtrimku DHE EXPORT navit yaksho kliyent jogo ne pidtrimuye Server u vidpovid vidpravlyaye svoye povidomlennya pidpisane 512 bitnim klyuchem Diffi Gellmana Kliyent nichogo ne pidozrivayuchi prijmaye cyu informaciyu Zlovmisnniku zalishilos znajti sekret Diffi Gellmana ale vin povinen ce zrobiti do togo yak zavershitsya proces rukopotisnennya i stvoriti svoye povidomlennya pro zakinchennya danogo procesu Div takozhFREAKPrimitkiAttack of the week Logjam Arhiv originalu za 27 travnya 2016 Procitovano 9 kvitnya 2018 Uyazvimost TLS Logjam FREAK s DH Arhiv originalu za 2 lipnya 2017 Procitovano 9 kvitnya 2018 Razrabotana novaya ataka Logjam na algoritm Diffi Hellmana Arhivovano 27 travnya 2016 u Wayback Machine PosilannyaAttack of the week Logjam Arhivovano 27 travnya 2016 u Wayback Machine Uyazvimost TLS Logjam FREAK s DH Arhivovano 2 lipnya 2017 u Wayback Machine Razrabotana novaya ataka Logjam na algoritm Diffi Hellmana Arhivovano 20 listopada 2015 u Wayback Machine