Logjam — новая уязвимость HTTPS

Технологии
автор: Андрей Васильков  20 мая 2015

В протоколе HTTPS обнаружена серьёзная уязвимость, которой подвержены почтовые и веб-серверы, платёжные системы и другие онлайн-сервисы, требующие авторизации. По мнению автора исследования Надии Хенинджер (Nadia Heninger) из Университета Пенсильвании, она могла использоваться АНБ для получения доступа к зашифрованным данным, в том числе – передаваемых посредством VPN.

На транспортном уровне безопасность соединения при подключении по HTTPS должна обеспечиваться криптографическим протоколом TLS, который пришёл на смену SSL v.3.0 и последний раз обновлялся в 2008 году. Его уязвимость связана с ограничениями, которые по требованию правительства США ещё в середине девяностых были использованы разработчиками в отношении алгоритма Диффи-Хеллмана. Ирония в том, что в TLS он вводился как дополнительная мера безопасности и применялся для передачи общего секретного ключа по незащищенным от прослушивания каналам связи.

Heartbleed, FREAK, LogJam... HTTPS теряет остатки надёжности.

Heartbleed, FREAK, LogJam… HTTPS теряет остатки надёжности.

Обнаруженная уязвимость получила названием Logjam (затор). Она позволяет злоумышленникам вклиниться между клиентом и сервером с поддержкой обмена секретными ключами по алгоритму Диффи-Хеллмана. Используя модифицированные запросы, возможно заставить сервер использовать во всех соединениях слабый ключ длиной 512 бит.

Атака базируется на алгоритме факторизации больших целых чисел под названием «общий метод решета числового поля» и требует выполнения значительного количества предварительных вычислений. Однако за прошедшие с момента внедрения HTTPS двадцать лет задача перестала быть достаточно сложной для 512-битных ключей. Автор исследования выполнял факторизацию на компьютерах университетского кампуса, и за две недели получил два самых распространённых ключа (их использовали 92% сайтов).

При достаточном объёме предварительных вычислений можно скомпрометировать любой принудительно ослабленный ключ, передающийся по протоколу Диффи-Хеллмана (изображение: David Adrian et al.).

При достаточном объёме предварительных вычислений можно скомпрометировать любой принудительно ослабленный ключ, передающийся по протоколу Диффи-Хеллмана (изображение: David Adrian et al.).

При доступе к специализированным конфигурациям с векторными ускорителями (в том числе на базе топовых видеокарт) или ПЛИС подбор ключа упрощается на порядок. Правительственные агентства имеют доступ к суперкомпьютерам из TOP 500 и могут выполнять эту атаку как рутинную операцию. Заставив сервер использовать слабый ключ и подобрав его, можно использовать классический метод атаки «человек посередине» для перехвата и (опционально) модификации всего «защищённого» трафика.

Просканировав несколько миллионов узлов из адресного пространства IPv4, Хенинджер приходит к выводу, что атака на протокол HTTPS http://arstechnica.com/security/2015/05/https-crippling-attack-threatens-tens-of-thousands-of-web-and-mail-servers/ затрагивает примерно 8,4 процента из первого миллиона самых популярных сайтов и чуть больший процент почтовых серверов. В частности, те из них, которые поддерживают протокол StartTLS, а также безопасную авторизацию POP3 или IMAP. По её оценкам, среди них сейчас уязвимы соответственно 14,8%, 8,9% и 8,4% почтовых серверов.

Особенность атаки в том, что она долго остаётся незаметной и может происходить в режиме реального времени. Хенинджер уверена: в АНБ её использовали годами. Мы знаем, что Сноуден обнародовал свыше 1,7 млн секретных файлов, а лёгкость атаки на одну из популярных реализаций HTTPS проливает свет на то, как именно их могло получить агентство.

Проблема состоит ещё и в том, что схожий метод компрометации ключей может использоваться против любых серверов, которые поддерживают обмен ключами по протоколу Диффи-Хеллмана (DH). В теории он позволяет двум сторонам передать секретный ключ по незащищённому каналу связи, но на практике не должен использоваться как самодостаточный метод. В надёжных системах дополнительно используется двусторонняя аутентификация или реализация DH на эллиптических кривых (ECDHE).

Сайт Фонд а электронных рубежей не подвержен атаке Logjam.

Сайт Фонд а электронных рубежей не подвержен атаке Logjam.

Политика администрации Клинтона позволяла без проблем шпионить за иностранными субъектами, которые были уверены в надёжности шифрования трафика. «Logjam снова показал нам, насколько ужасна идея умышленного ослабления криптографических продуктов, на которой настаивает ФБР и другие правительственные агентства, – комментирует один из авторов исследования Алекс Хальдерман (J. Alex Halderman). – Из-за политики экспортных ограничений эпохи девяностых, сегодня мы сталкиваемся с широко распространёнными бэкдорами. Они делают уязвимой большую часть интернета и подрывают основы обеспечения информационной безопасности».

При использовании ключей с длиной от 2048 бит протокол Диффи-Хеллмана сильно усложняет расшифровку защищённого трафика, поскольку злоумышленникам приходится каждый раз получать новый ключ и факторизовать его. Это существенно повышает безопасность HTTPS по сравнению с другими ассиметричными схемами шифрования, где ключ передаётся только один раз (например, RSA). Однако многие серверы легко принуждаются к использованию слабых ключей, а их клиенты даже не знают об этом.

Слабый ключ в протоколе доступа к облачному хранилищу Яндекс.Диск.

Слабый ключ в протоколе доступа к облачному хранилищу Яндекс.Диск.

По идее, о слабом шифровании на сервере пользователя должен предупреждать браузер. Пока соответствующая функция была добавлена только в Internet Explorer, но Хенинджер уверяет, что производители других популярных браузеров тоже вскоре выпустят обновления. В частности, результаты своих исследований она направила разработчикам Firefox, Chrome и Safari.

По своей сути Logjam похож на другую атаку – FREAK (Factoring attack on RSA-EXPORT Keys), продолжившую список уязвимостей в OpenSSL и также снижающую защищённость HTTPS-подключения за счёт принудительного использования слабого шифрования. Она затронула 36,7% сайтов с поддержкой HTTPS. После выхода обновлений их число снизилось до 6,5%. Не все администраторы оперативно закрывают дыры в безопасности, не говоря уже о пользователях.

Проверить сайт на подверженность атаке FREAK можно на сайте Keycdn. Для проверки на уязвимость к атаке Logjam воспользуйтесь сайтом WeakDH.

Поделиться
Поделиться
Tweet
Google
 
Читайте также
Новый баг в OpenSSL опаснее, чем Heartbleed.
Новый баг в OpenSSL опаснее, чем Heartbleed.
950
Жизнь после Heartbleed: как обезопасить себя в интернете
Жизнь после Heartbleed: как обезопасить себя в интернете
Золотые ключики: ФБР и АНБ настойчиво требуют у крупнейших провайдеров SSL-ключи
Золотые ключики: ФБР и АНБ настойчиво требуют у крупнейших провайдеров SSL-ключи
  • Сепулька

    Обама и Путин слушают нас.

    • IF

      угу. это им такое наказание — заранее, чтоб отпевания не ждать…

    • Ich bin ein Nowgrader

      Оценил :)
      Мемы совка в голове навсегда останутся, он как бульдозером по мозгам проехался.

      • Астсергей

        ?? ни о чём ..

        • Ich bin ein Nowgrader

          Спасибо, Ваше компетентное мнение очень важно, оставайтесь на линии.

          • Михаил Гребенкин

            Есть вообще-то свежачок. Называется термально-ректальный криптоанализ. Паяльник в известное место, пациент сам все расскажет.

    • Aleksandr Konosevich

      ;-) «Чтобы ВСЁ знать, компьютер не нужен — достаточно утюга…»(C)

    • Астсергей

      А при чём здесь Путин?! думайте,когда пишете..

      • Сепулька
        • Михаил Гребенкин

          Ойдаладно, видели мы эти сормы. HTTPS они вскрывать не умют, и не сумеют никогда. Наши спецслужбы — вообще как дети в цифровом мире, по сравнению с США.

          • Сепулька

            У наших «органов» иные таланты.

            Полно «сливов» из подслушки и вскрытия электронных писем так называемых оппозиционеров. Дошло до того, что даже и gmail научились дербанить. Во! высший класс.

            А иначе — вломятся в сапогах, изымут жёсткие диски — и опять то в жёлтой газетёнке типа «Известий» опубликуют, или Хинштейн озвучит.

            И начинают мусолить — кто, когда, с кем и сколько.
            И никто не поднимет вопрос — а кто это осуществил? а по какому праву? а не было ли нарушения законов и Конституции?

            Это такие вещи, за которые на гнилом Западе назначаются парламентские расследования, проходят суды, чуть не садятся в тюрьму президенты.

            Про Никсона что-нибудь слышали?

          • Михаил Гребенкин

            Слышали, слышали. Проблема в том, что эти расследования, и прочая, прочая, выглядят скорее как дымовая завеса над чем-то более интересным. Как со Сноуденом. Он не сказал ничего такого, что любой нормальный сетевик и так не знал. Но шуму-то, шуму! Я в детстве так сделал, сознавался в чем-то мелком, чтобы прикрыть крупное. Уж больно похоже.

          • Сепулька

            Всяк судит по себе.

            Я тоже так думаю.
            Наверняка этот Никсон поджёг детский приют и убил ножом слепого нищего, чтобы воспользоваться его медяками.

            А вони-то, вони от этих Водных Ворот.

          • Alex Nefedov

            про абугрейб с гуантанамой что-нибудь слышали?

          • Сепулька

            Да. Их пытали тяжёлым роком.

            Это рассказывали трое террористов — уроженцев Татарстана, отпущенные из Гуантанамо.

            Вскоре они взялись за старое, один был убит на Кавказе, двое арестованы, и тогда им стало по-настоящему страшно.

            Некоторых пытали и водой, так было раскрыто убежище Бен Ладена.
            Ощущения крайне неприятные, знаю не по наслышке, у меня ХОБЛ — можете посмотреть в Вики, что за зверь. После 100 метров ходьбы удушье, дальше иду на силе воли.
            Но бутылки от кока-колы им никто не запихивал.

            А про Чернокозово что-нибудь слышали?

            Я-то отвечаю на Ваши вопросы, а Вы задаёте следующий.

            Так что Вы знаете про Никсона?

          • Михаил Гребенкин

            Вы про Уотергейт? Ой да ладно! Не сравнивайте прослушку политического оппонента, имеющего примерно такое-же влияние, с прослушкой какого-нить Джона Синклера из Кентукки. К тому же эту прослушку проводили вовсе не спецслужбы. А что вы слышали о Lavabit?

      • Бумбараш
        • Ich bin ein Nowgrader

          Не морочьте голову человеку. В этом новоделе фраза «Сталин и Мао слушают нас» заменена, это не труЪ.

          Оригинальный хардкор http://www.youtube.com/watch?v=oFR_GsEApJo

  • Астсергей

    Всё это из разряда,тех пробелов,которые АНБ -ГОСДЕП заставил ввести в Винеус и системы Эрл , Гугл.. только в России и Китае открытые коды — там ,на самом деле защищено право пользователя на конфиденциальность..

    • Михаил Гребенкин

      Ну как Вам сказать? Нет. Государство всегда хочет поиметь людей, ну то есть информацию о людях. Конфиденциальность в Интернет — миф. Нет ее, и не было, скорее всего, никогда в больших обьемах. Шифропанки и криптоанархисты — как могут ограждают себя, но это действительно сложно. А значит недоступно подавляющему большинству. Так что не понимаю паники. Бояться стоит только бизнесу, про нас и так все всем известно.

  • Fedor Ponomarev

    Мессенджер Telegram тест не прошел

Хостинг "ИТ-ГРАД"
© ООО "Компьютерра-Онлайн", 1997-2017
При цитировании и использовании любых материалов ссылка на "Компьютерру" обязательна.
«Партнер Рамблера» Почта защищена сервером "СПАМОРЕЗ" Хостинг "Fornex"