The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

09.01.2016 23:28  Новая атака SLOTH, затрагивающая протоколы TLS 1.2, SSH и IKE/IPsec с MD5 и SHA-1

В то время как цифровые подписи на основе MD5 уже практически не используются в серверных сертификатах, MD5 по-прежнему продолжает применяться в системах аутентификации клиента, в том числе при использовании протоколов TLS 1.2, SSH и IKE/IPsec, в которых до сих пор считалось невозможным практическое применение методов, связанных с поиском коллизий. Исследователи из французского института INRIA разработали пригодную для практического применения серию атак SLOTH, нацеленных на поражение систем аутентификации, использующих подверженные коллизиям алгоритмы хэширования.

Из областей применения атак называются системы аутентификации клиентов, применяемые в некоторых банках и web-сервисах для подтверждения полномочий подключения пользователя к сайту или виртуальной частной сети. Если в процессе аутентификации в таких системах клиент и сервер поддерживают цифровые подписи RSA-MD5, то SLOTH позволяет атакующему выдать себя за аутентифицированного пользователя, предварительно перенаправленного на подконтрольный злоумышленникам сервер (MITM-атака). В процессе совершения атаки инициируется откат TLS-соедиения на использование MD5-хэшей, после чего на исходный сервер и клиенту отправляются специально оформленные подставные сообщения, снабжённые хэшем MD5, совпадающим с хэшем отправленных пользователем сообщений. На подбор коллизии для MD5 требуется выполнить примерно 5.75 миллиардов вычислений, что на 48-ядерном сервере занимает около часа.

Практические сценарии атак предлагаются для RSA-MD5 в TLS 1.2, HMAC-MD5 в IKEv1, RSA-SHA1 или DSA-SHA1 в IKEv2, при этом атаки на MD5 вполне реалистичны, в то время как атаки на SHA-1 пока рассматриваются только в теории из-за значительных затрат на поиск коллизии (подбор коллизии для SHA-1 занимает около трех месяцев на кластере из 512 GPU). Атака может применяться и для SHA-1 в SSH 2, но для инициирования отката на менее защищённые алгоритмы в процессе согласования ключей.

В качестве главного вывода, исследователи указывают на то, что продолжение применения MD5 и SHA1 в находящихся в обиходе криптографических протоколах значительно уменьшает их защищённость и делает потенциально подверженными практически осуществимым атакам на ключевые механизмы протоколов. Кроме того, требуется по возможности избегать использования урезанных хэшей и MAC-ов в протоколах обмена ключами. После публикации результатов исследования, развивающая TLS рабочая группа уже приняла решение удалить из спецификации TLS 1.3 поддержку цифровых подписей RSA-MD5 и урезанных хэшей HMAC. Пользователям TLS 1.2 предлагается в настройках отключить применение MD5 в цифровых подписях.

В соответствии с ноябрьскими результатами сканирования сети, около 30% HTTPS-серверов поддерживают цифровые подписи RSA-MD5. Из клиентского ПО цифровые подписи RSA-MD5 принимаются, отправляются и анонсируются в реализациях TLS в Java (SunJSSE), NSS (до 3.21), BouncyCastle, PolarSSL/mbedTLS (до 2.2.1), GnuTLS (до 3.3.15) и OpenSSL (до 1.0.1f). Обновления пакетов с OpenSSL, NSS и GnuTLS с устранением проблемы (CVE-2015-7575) на днях доставлены пользователям RHEL, CentOS, Ubuntu и Debian. Проблема также устранена в Firefox 43 и GnuTLS 3.3.15.

  1. Главная ссылка к новости (http://arstechnica.com/securit...)
  2. OpenNews: Возможный сценарий успешной атаки АНБ на алгоритм Диффи-Хеллмана
  3. OpenNews: Новая атака на TLS, позволяющая откатиться к уязвимым методам шифрования
  4. OpenNews: Новый вид атаки на HTTPS ставит под вопрос дальнейшее существование SSL 3.0
  5. OpenNews: Новая атака на SSL/TLS, позволяющая организовать перехват HTTPS-трафика
  6. OpenNews: IETF официально вывел из обихода протокол SSLv3
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: crypt, md5
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Линейный вид | Ajax | Показать все | RSS
 
  • 1.1, Black Paladin, 01:11, 10/01/2016 [ответить] [смотреть все]
  • –2 +/
    Про SHA-1: Текущую скорость вычислений (3 месяца) поделим на закон Мура и получим 1,5 месяца через 2 года или 0,75 месяца через 4 года.
    Вопрос: Через какое количество лет скорость подбора SHA-1 будет равна текущей скорости подбора MD5?
     
     
  • 2.2, commiethebeastie, 01:30, 10/01/2016 [^] [ответить] [смотреть все] [показать ветку]
  • +18 +/
    Закон Мура сдох. Как и сдохнут все остальные гуманитарные "законы".
     
     
  • 3.4, all_glory_to_the_hypnotoad, 01:43, 10/01/2016 [^] [ответить] [смотреть все]
  • +3 +/
    он эмпирический на экономической основе.
     
     
  • 4.5, Аноним, 03:48, 10/01/2016 [^] [ответить] [смотреть все]
  • +/
    количество транзисторов, размещаемых на кристалле интегральной схемы, удваивает... весь текст скрыт [показать]
     
     
  • 5.6, Аноним, 07:38, 10/01/2016 [^] [ответить] [смотреть все]  
  • –3 +/
    Значит надо внести какой-то такой корректив эффективность интегральной схемы у... весь текст скрыт [показать]
     
     
  • 6.8, Аноним, 12:31, 10/01/2016 [^] [ответить] [смотреть все]  
  • +1 +/
    Винда медленно? Скачай у нас, чтобы исправить!
     
     
  • 7.15, Sw00p aka Jerom, 01:03, 11/01/2016 [^] [ответить] [смотреть все]  
  • +/
    в мат расчётах не бывает предсказаний - тока ожидания и вероятности.
     
     
  • 8.23, mammuthus, 11:40, 15/01/2016 [^] [ответить] [смотреть все]  
  • +/
    Закон Мура не работает. Сочувствую.
     
  • 5.9, all_glory_to_the_hypnotoad, 14:06, 10/01/2016 [^] [ответить] [смотреть все]  
  • +1 +/
    дебил, эмпирический закон не имеет предсказательной силы.
     
     
  • 6.11, Аноним539, 14:56, 10/01/2016 [^] [ответить] [смотреть все]  
  • +1 +/
    Если только он не является самосбывающимся пророчеством В данном конкретном слу... весь текст скрыт [показать]
     
  • 2.12, ГГ, 16:04, 10/01/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • –3 +/
    А мне вот очень интересно откуда в интернете такое количество идиотов, придумыва... весь текст скрыт [показать] [показать ветку]
     
  • 1.3, Ivan_83, 01:37, 10/01/2016 [ответить] [смотреть все]  
  • +1 +/
    Интересно как они с HMAC-MD5 провернули, там же вроде только полный перебор брутфорсом.
     
  • 1.10, Аноним, 14:08, 10/01/2016 [ответить] [смотреть все]  
  • +/
    Что-то я не понял В какой-то момент у клиента на час должна подвиснуть аутентиф... весь текст скрыт [показать]
     
     
  • 2.13, Ivan_83, 16:10, 10/01/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +2 +/
    Не все же нищеброды с 48-ми ядерным сервером, есть нормальные ребята из АНБ, у н... весь текст скрыт [показать] [показать ветку]
     
  • 2.14, VoDA, 17:01, 10/01/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +2 +/
    Час это максимум, т.е. при не удачном стечении обстоятельств (бит) его подберут за 60 минут. В среднем же будет 30 минут (кому то будут подбирать сразу, кому то через 60 мин.).

    Если поставить 360 серверов, то максимум будет за 10 секунд, среднее 5 сек. Пользователь на старте сайта может подождать и 5 секунд и 10-ть.

    А используя 360 серверов поточным образом злоумышленники смогут маскироваться под ВАЛИТДНЫЙ сайт и проводить MITM. Поточным образом значит MITM-ить до 17 280 сессий в сутки.

     
     
  • 3.17, gnm, 10:21, 11/01/2016 [^] [ответить] [смотреть все]  
  • –2 +/
    10-есять, позорище
     
  • 3.22, Black Paladin, 22:31, 12/01/2016 [^] [ответить] [смотреть все]  
  • +/
    То, что вы описали - это grid-вычисления.
    Основным минусом grid-вычислений, как и тем более SSI
    (https://en.wikipedia.org/wiki/OpenSSI)
    это накладные расходы на синхронизацию действий и
    латентность операций по синхронизации.
    Последний упомянутый проект туда и уперся, судя по всему.
    (Сейчас сам слежу за развитием OpenMP/OpenCL.)
    Так что, на мой взгляд ни о каких 5-15 секундах не может быть и речи.
     
  • 1.18, Okarin, 11:29, 11/01/2016 [ответить] [смотреть все]  
  • –2 +/
    Народ, а поясните, пожалуйста, если использовать MD5 с использованием соли, неизвестной атакующему - разве это не обломает подборы коллизий?
     
     
  • 2.19, maximnik0, 21:22, 11/01/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    > Народ, а поясните, пожалуйста, если использовать MD5 с использованием соли, неизвестной
    > атакующему - разве это не обломает подборы коллизий?

    Соль используют для паролей и т.п  ,чтобы атакующий не смог по заранее подобранным (сгенерированным ) таблицам отыскать пароль (расшифровать ) .Здесь же расшифровывать нечего не надо ,с использованием коллизий генерируется подложный сертификат или ключ чтобы выглидел достоверным .


     
  • 2.20, Аноним, 22:10, 11/01/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Не обломает, особенно если соль известна.
     
  • 2.21, Andrey Mitrofanov, 22:42, 11/01/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Сотрите их, чтоб не мучались??
     
  • 2.25, Павел Самсонов, 09:56, 17/01/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Соль надо выдавать на каждую сессию, тогда клиент будет использовать разные хеши. Это не проблемма, но как и везде что нибудь где нибудь вылезает - в этом случае сервер должен хранить нешифрованные пароли.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2017 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    Hosting by Ihor TopList