The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Новая атака SLOTH, затрагивающая протоколы TLS 1.2, SSH и IK..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Новая атака SLOTH, затрагивающая протоколы TLS 1.2, SSH и IK..."  +/
Сообщение от opennews on 10-Янв-16, 01:11 
В то время как цифровые подписи на основе MD5 уже практически не используются в серверных сертификатах, MD5 по-прежнему продолжает применяться в системах аутентификации клиента, в том числе при использовании протоколов TLS 1.2, SSH и IKE/IPsec, в которых до сих пор считалось невозможным практическое применение методов, связанных с поиском коллизий. Исследователи из французского института INRIA (https://ru.wikipedia.org/wiki/INRIA) разработали пригодную для практического применения серию атак SLOTH (http://www.mitls.org/pages/attacks/SLOTH), нацеленных на поражение систем аутентификации, использующих подверженные коллизиям алгоритмы хэширования.

Из областей применения атак называются системы аутентификации клиентов, применяемые в некоторых банках и web-сервисах для подтверждения полномочий подключения пользователя к сайту или виртуальной частной сети. Если в процессе аутентификации в таких системах клиент и сервер поддерживают цифровые подписи RSA-MD5, то   SLOTH позволяет атакующему  выдать себя за аутентифицированного пользователя, предварительно перенаправленного на подконтрольный злоумышленникам сервер (MITM-атака). В процессе совершения атаки инициируется откат TLS-соедиения на использование MD5-хэшей, после чего на исходный сервер и клиенту отправляются специально оформленные подставные сообщения, снабжённые хэшем MD5, совпадающим с хэшем отправленных пользователем сообщений. На подбор коллизии для MD5 требуется выполнить примерно 5.75 миллиардов вычислений, что на 48-ядерном сервере занимают около часа.


<center><a href="http://www.mitls.org/i/tls-client-auth-mitm.png"><... src="https://www.opennet.ru/opennews/pics_base/0_1452373904.png&q... style="border-style: solid; border-color: #606060; border-width: 1px;max-width:100%;" title="" border=0></a></center>


Практические сценарии атак предлагаются для RSA-MD5 в TLS 1.2, HMAC-MD5 в IKEv1, RSA-SHA1 или DSA-SHA1 в IKEv2, при этом  атаки на MD5 вполне реалистичны, в то время как атаки на SHA-1 пока рассматриваются только в теории из-за значительных затрат на поиск коллизии (подбор коллизии для  SHA-1 занимает (https://www.opennet.ru/opennews/art.shtml?num=43124) около трех месяцев на кластере из 512 GPU). Атака может применяться и для SHA-1 в SSH 2, но для инициирования отката на менее защищённые алгоритмы в процессе согласования ключей.


В качестве главного вывода, исследователи указывают на то, что продолжение применения MD5 и SHA1  в находящихся в обиходе криптографических протоколах значительно уменьшает их защищённость и делает потенциально подверженными практически осуществимым атакам на ключевые механизмы протоколов. Кроме того, требуется по возможности избегать использования урезанных хэшей и MAC-ов в протоколах обмена ключами. После публикации результатов исследования, развивающая TLS рабочая группа уже приняла решение удалить из спецификации TLS 1.3 поддержку цифровых подписей RSA-MD5 и  урезанных хэшей HMAC. Пользователям TLS 1.2 предлагается в настройках отключить применение MD5 в цифровых подписях.


В соответствии с ноябрьскими результатами (https://securitypitfalls.wordpress.com/2015/12/07/november-2.../) сканирования сети, около 30% HTTPS-серверов поддерживают цифровые подписи RSA-MD5. Из клиентского ПО цифровые подписи RSA-MD5 принимаются, отправляются и анонсируются в реализациях TLS в Java (SunJSSE), NSS (до 3.21), BouncyCastle, PolarSSL/mbedTLS (до 2.2.1), GnuTLS (до 3.3.15) и OpenSSL (до 1.0.1f).
Обновления пакетов с OpenSSL, NSS и GnuTLS с устранением проблемы (CVE-2015-7575) на днях доставлены пользователям RHEL (https://rhn.redhat.com/errata/RHSA-2016-0008.html),  CentOS (https://lists.centos.org/pipermail/centos-announce/2016-Janu...), Ubuntu (http://www.ubuntu.com/usn/) и Debian (https://lists.debian.org/debian-security-announce/2016/msg00...). Проблема также устранена в Firefox 43 и GnuTLS 3.3.15 (http://www.gnutls.org/security.html).


URL: http://arstechnica.com/security/2016/01/fatally-weak-md5-fun.../
Новость: https://www.opennet.ru/opennews/art.shtml?num=43649

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Новая атака SLOTH, затрагивающая протоколы TLS 1.2, SSH и IK..."  –2 +/
Сообщение от Black Paladin on 10-Янв-16, 01:11 
Про SHA-1: Текущую скорость вычислений (3 месяца) поделим на закон Мура и получим 1,5 месяца через 2 года или 0,75 месяца через 4 года.
Вопрос: Через какое количество лет скорость подбора SHA-1 будет равна текущей скорости подбора MD5?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Новая атака SLOTH, затрагивающая протоколы TLS 1.2, SSH и IK..."  +18 +/
Сообщение от commiethebeastie (ok) on 10-Янв-16, 01:30 
Закон Мура сдох. Как и сдохнут все остальные гуманитарные "законы".
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

4. "Новая атака SLOTH, затрагивающая протоколы TLS 1.2, SSH и IK..."  +3 +/
Сообщение от all_glory_to_the_hypnotoad (ok) on 10-Янв-16, 01:43 
он эмпирический на экономической основе.
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

5. "Новая атака SLOTH, затрагивающая протоколы TLS 1.2, SSH и IK..."  +/
Сообщение от Аноним (??) on 10-Янв-16, 03:48 
"количество транзисторов, размещаемых на кристалле интегральной схемы, удваивается каждые 24 месяца"
не работает дядя, айды почини.
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "Новая атака SLOTH, затрагивающая протоколы TLS 1.2, SSH и IK..."  –3 +/
Сообщение от Аноним (??) on 10-Янв-16, 07:38 
Значит надо внести какой-то такой корректив: "эффективность интегральной схемы увеличивается эквивалентно удвоению в ней количества транзисторов каждые 24 месяца".
Или в таком варианте оно тоже работать не будет?
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

8. "Новая атака SLOTH, затрагивающая протоколы TLS 1.2, SSH и IK..."  +1 +/
Сообщение от Аноним (??) on 10-Янв-16, 12:31 
Винда медленно? Скачай у нас, чтобы исправить!
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

15. "Новая атака SLOTH, затрагивающая протоколы TLS 1.2, SSH и IK..."  +/
Сообщение от Sw00p aka Jerom on 11-Янв-16, 01:03 
в мат расчётах не бывает предсказаний - тока ожидания и вероятности.
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

23. "Новая атака SLOTH, затрагивающая протоколы TLS 1.2, SSH и IK..."  +/
Сообщение от mammuthus on 15-Янв-16, 11:40 
Закон Мура не работает. Сочувствую.
Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

9. "Новая атака SLOTH, затрагивающая протоколы TLS 1.2, SSH и IK..."  +1 +/
Сообщение от all_glory_to_the_hypnotoad (ok) on 10-Янв-16, 14:06 
дебил, эмпирический закон не имеет предсказательной силы.
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

11. "Новая атака SLOTH, затрагивающая протоколы TLS 1.2, SSH и IK..."  +1 +/
Сообщение от Аноним539 (ok) on 10-Янв-16, 14:56 
Если только он не является самосбывающимся пророчеством. В данном конкретном случае, Интел форсирует его выполнение уже в контексте производительности, поскольку факт что они выполняют этот "двухлетний план" уже на протяжении 50 лет, является важной составляющей их капитализации.
TL;DR Акционеры спасибо не скажут, если вдруг производители чипов не будут этот закон выполнять.
Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

12. "Новая атака SLOTH, затрагивающая протоколы TLS 1.2, SSH и IK..."  –3 +/
Сообщение от ГГ on 10-Янв-16, 16:04 
А мне вот очень интересно откуда в интернете такое количество идиотов, придумывающих всякую ахинею про закон мура.
Из педивикии что ли лезете?
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Новая атака SLOTH, затрагивающая протоколы TLS 1.2, SSH и IK..."  +1 +/
Сообщение от Ivan_83 email(ok) on 10-Янв-16, 01:37 
Интересно как они с HMAC-MD5 провернули, там же вроде только полный перебор брутфорсом.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

10. "Новая атака SLOTH, затрагивающая протоколы TLS 1.2, SSH и IK..."  +/
Сообщение от Аноним (??) on 10-Янв-16, 14:08 
Что-то я не понял. В какой-то момент у клиента на час должна подвиснуть аутентификация, а он должен этого не заметить?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

13. "Новая атака SLOTH, затрагивающая протоколы TLS 1.2, SSH и IK..."  +2 +/
Сообщение от Ivan_83 email(ok) on 10-Янв-16, 16:10 
Не все же нищеброды с 48-ми ядерным сервером, есть нормальные ребята из АНБ, у них этого гуталину просто завались, так что за пару секунд переберут.
Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

14. "Новая атака SLOTH, затрагивающая протоколы TLS 1.2, SSH и IK..."  +2 +/
Сообщение от VoDA (ok) on 10-Янв-16, 17:01 
Час это максимум, т.е. при не удачном стечении обстоятельств (бит) его подберут за 60 минут. В среднем же будет 30 минут (кому то будут подбирать сразу, кому то через 60 мин.).

Если поставить 360 серверов, то максимум будет за 10 секунд, среднее 5 сек. Пользователь на старте сайта может подождать и 5 секунд и 10-ть.

А используя 360 серверов поточным образом злоумышленники смогут маскироваться под ВАЛИТДНЫЙ сайт и проводить MITM. Поточным образом значит MITM-ить до 17 280 сессий в сутки.

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

17. "Новая атака SLOTH, затрагивающая протоколы TLS 1.2, SSH и IK..."  –2 +/
Сообщение от gnm on 11-Янв-16, 10:21 
10-есять, позорище
Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

22. "Новая атака SLOTH, затрагивающая протоколы TLS 1.2, SSH и IK..."  +/
Сообщение от Black Paladin on 12-Янв-16, 22:31 
То, что вы описали - это grid-вычисления.
Основным минусом grid-вычислений, как и тем более SSI
(https://en.wikipedia.org/wiki/OpenSSI)
это накладные расходы на синхронизацию действий и
латентность операций по синхронизации.
Последний упомянутый проект туда и уперся, судя по всему.
(Сейчас сам слежу за развитием OpenMP/OpenCL.)
Так что, на мой взгляд ни о каких 5-15 секундах не может быть и речи.
Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

18. "Новая атака SLOTH, затрагивающая протоколы TLS 1.2, SSH и IK..."  –2 +/
Сообщение от Okarin (ok) on 11-Янв-16, 11:29 
Народ, а поясните, пожалуйста, если использовать MD5 с использованием соли, неизвестной атакующему - разве это не обломает подборы коллизий?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

19. "Новая атака SLOTH, затрагивающая протоколы TLS 1.2, SSH и IK..."  +/
Сообщение от maximnik0 on 11-Янв-16, 21:22 
> Народ, а поясните, пожалуйста, если использовать MD5 с использованием соли, неизвестной
> атакующему - разве это не обломает подборы коллизий?

Соль используют для паролей и т.п  ,чтобы атакующий не смог по заранее подобранным (сгенерированным ) таблицам отыскать пароль (расшифровать ) .Здесь же расшифровывать нечего не надо ,с использованием коллизий генерируется подложный сертификат или ключ чтобы выглидел достоверным .


Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

20. "Новая атака SLOTH, затрагивающая протоколы TLS 1.2, SSH и IK..."  +/
Сообщение от Аноним (??) on 11-Янв-16, 22:10 
Не обломает, особенно если соль известна.
Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

21. "Модератоы!!!? Форумная криптография == геноцид"  +/
Сообщение от Andrey Mitrofanov on 11-Янв-16, 22:42 
Сотрите их, чтоб не мучались??
Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

25. "Новая атака SLOTH, затрагивающая протоколы TLS 1.2, SSH и IK..."  +/
Сообщение от Павел Самсонов email on 17-Янв-16, 09:56 
Соль надо выдавать на каждую сессию, тогда клиент будет использовать разные хеши. Это не проблемма, но как и везде что нибудь где нибудь вылезает - в этом случае сервер должен хранить нешифрованные пароли.
Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
Слёрм
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2020 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру