The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

24.08.2016 23:35  Представлен Sweet32, новый вид атаки на HTTPS и OpenVPN

Исследователи из французского института INRIA разработали новый метод атак на системы шифрования, применяющие 64-битные блочные шифры 3DES и Blowfish, получивший кодовое имя Sweet32. Метод позволяет в ходе MITM-атаки, подразумевающей наличие контроля за транзитным трафиком (например, через прослушивание публичного Wi-Fi), восстановить значение небольших идентификаторов, передаваемых внутри шифрованного сеанса, например сессионных Cookie в HTTPS-соединениях с 3DES. Метод также применим для восстановления аутентификационных токенов OpenVPN (используется Blowfish). Для защиты от выявленного метода атаки рекомендуется использовать шифры с размером блока, превышающим 64 бита, например, AES.

Для успешного совершения атаки сайт должен поддерживать создание защищённых соединений с использованием симметричного блочного шифра 3DES, а также допускать передачу большого числа запросов через одно установленное соединение. По оценке исследователей данному условию соответствуют 0.6% от 100 тысяч самых популярных сайтов в рейтинге Alexa. Для применения атаки также требуется чтобы клиент подключился с использованием 3DES (используется примерно 1.2% клиентских запросов), после чего атакующему необходимо добиться выполнения JavaScript-кода в браузере клиента.

Так как атака подразумевает наличие возможности перехвата трафика клиента, для выполнения JavaSсript-кода атакующий может подставить его при запросе клиентом незащищённого ресурса. JavaSсript-код нужен для отправки проверочных запросов на целевой сайт, которые отслеживаются в перехваченном трафике. Для успешной расшифровки Cookie в HTTPS в ходе эксперимента потребовалось 38 часов и отправка 785 Гб проверочных данных. Для восстановления 16-байтного аутентификационного токена в OpenVPN потребовалось 18 часов и генерация 705 Гб данных.

Метод основан на применении описанного в теории вероятности парадокса дней рождений. Генерируя большую последовательность запросов, атакующие оценивают появление двух одинаковых результирующих зашифрованных блоков, свидетельствующих об обнаружении коллизии. Учитывая то, что вызвавший коллизию запрос изначально известен, а в режиме CBC применяется XOR-наложение двух различных блоков, для воссоздания ключа шифрования требуется выявление нескольких коллизий.

Несмотря на то, что атака требует достаточно специфичных условий и мало применима на практике, выявление проблемы уже подтолкнуло разработчиков средств шифрования для перевода 64-битных шифров в разряд устаревших. В частности, уже выпущен OpenVPN 2.3.12, в котором прекращено применение 64-битных шифров. В ожидаемом на днях релизе OpenSSL 1.1.0 проблему планируется решить путём отключения 3DES. В ветках OpenSSL 1.0.2 и 1.0.1 для сохранения совместимости 3DES будет оставлен, но переведён в менее приоритетную группу (из high в medium).

  1. Главная ссылка к новости (http://arstechnica.com/securit...)
  2. OpenNews: IETF официально вывел из обихода протокол SSLv3
  3. OpenNews: Уязвимость в SSLv3 может использоваться и для атаки на некоторые сайты с TLS
  4. OpenNews: Новый вид атаки на HTTPS ставит под вопрос дальнейшее существование SSL 3.0
  5. OpenNews: Представлен новый вид атаки по перехвату данных, передаваемых через HTTPS-соединения
  6. OpenNews: Новая техника атаки для выявления содержимого отдельных блоков SSL/TLS-соединений
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: ssl, tls
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Линейный вид | Ajax | Показать все | RSS
 
  • 1.1, adminlocalhost, 00:11, 25/08/2016 [ответить] [смотреть все]
  • +17 +/
    >Для успешной расшифровки Cookie в HTTPS в ходе эксперимента потребовалось 38 часов и отправка 785 Гб проверочных данных. Для восстановления 16-байтного аутентификационного токена в OpenVPN потребовалось 18 часов и генерация 705 Гб данных

    НЕЗАМЕТНЕНЬКО!

     
     
  • 2.5, Онаним, 00:52, 25/08/2016 [^] [ответить] [смотреть все] [показать ветку]
  • +1 +/
    18 часов - реально не проблема Припарковался где-нибудь рядом с офисом жертвы и... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.15, adminlocalhost, 12:20, 25/08/2016 [^] [ответить] [смотреть все]  
  • +4 +/
    Да Совсем не проблема 700 гигабайт за 18 часов это около 90 мегабит в секун... весь текст скрыт [показать]
     
     
  • 4.16, ., 13:07, 25/08/2016 [^] [ответить] [смотреть все]  
  • +1 +/
    мое 4G железо дает 150 При этом, если бы мы не были связаны всякими идиотскими ... весь текст скрыт [показать]
     
  • 4.21, Аноним, 08:00, 27/08/2016 [^] [ответить] [смотреть все]  
  • +1 +/
    Машины не торопятся - у них времени много ... весь текст скрыт [показать]
     
  • 1.2, IZh., 00:17, 25/08/2016 [ответить] [смотреть все]  
  • +5 +/
    Слить семьсот-восемьсот гигов трафика, чтобы выковырять 16 байт... :-) Провайдер раньше позвонит узнать, как дела. ;-)
     
  • 1.3, Аноним, 00:27, 25/08/2016 [ответить] [смотреть все]  
  • +/
    Почему не low Не прогнулись перед рабами и клиентами ... весь текст скрыт [показать]
     
     
  • 2.11, Васякот, 08:07, 25/08/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Не стоит прогибаться ПОД изменчивый мир...
    Сорь, не удержался.
     
  • 1.4, Alukardd, 00:42, 25/08/2016 [ответить] [смотреть все]  
  • +5 +/
    Ну, вместо BlowFish уже давно рекомендован TwoFish.
     
  • 1.6, Аноним, 00:53, 25/08/2016 [ответить] [смотреть все]  
  • +7 +/
    > атака требует достаточно специфичных условий и мало применима на практике

    Ну и что, зато у этой атаки есть красивое название, домен и логотип — все как положено.

     
     
  • 2.7, nonamed anon, 01:04, 25/08/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +11 +/
    ага, не хватает только выхода на IPO
     
     
  • 3.24, Michael Shigorin, 12:57, 30/08/2016 [^] [ответить] [смотреть все]  
  • +/
    Кстати, да -- надо ж вВВП хоть так подымать ... весь текст скрыт [показать]
     
  • 1.8, Ivan_83, 01:10, 25/08/2016 [ответить] [смотреть все]  
  • +/
    гост89 тоже имеет блоки по 64 бита.
     
     
  • 2.13, Your mama, 08:37, 25/08/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Ты говоришь про Магму, но уже давно нужно использовать Кузнечик: https://ru.wikipedia.org/wiki/%D0%9A%D1%83%D0%B7)
     
     
  • 3.14, yekm, 09:36, 25/08/2016 [^] [ответить] [смотреть все]  
  • +1 +/
    Да, с кузнечиком будет проблематично отправить полтерабайта, он же тормозной как мой трактор.
     
     
  • 4.19, Ivan_83, 16:59, 25/08/2016 [^] [ответить] [смотреть все]  
  • +/
    > Да, с кузнечиком будет проблематично отправить полтерабайта, он же тормозной как мой
    > трактор.

    Хз, не пробовал его имплементировать.
    Может на sse/axv он будет вполне сносно пахать.

     
     
  • 5.20, yekm, 17:45, 25/08/2016 [^] [ответить] [смотреть все]  
  • +/
    >> Да, с кузнечиком будет проблематично отправить полтерабайта, он же тормозной как мой
    >> трактор.
    > Хз, не пробовал его имплементировать.
    > Может на sse/axv он будет вполне сносно пахать.

    Да точно также как старый гост -- никак. Там каждое следующие вычисление зависит от результата предидущего, нечего там параллелить. Разве что несколько отдельных потоков шифрования, как это делали для старого госта.

     
  • 3.18, Ivan_83, 16:58, 25/08/2016 [^] [ответить] [смотреть все]  
  • +/
    магма от гост89 отличается только порядком следования байт в блоке 64 бита.
    Нахера это было делать я не понимаю, авторы ничего объяснить не могут или не хотят, мучал их ещё этой зимой, после НГ.
     
  • 1.9, h31, 01:21, 25/08/2016 [ответить] [смотреть все]  
  • +2 +/
    > метод атак на системы шифрования, применяющие 64-битные блочные шифры 3DES и Blowfish

    Вау, какие новости. Ребятки взяли топовые и самые актуальные алгоритмы шифрования. Может ещё шифр Цезаря попробуют взломать, в 2016-ом году-то?
    Хотя не, сарказм тут не к месту. Передаю привет всем цисководам, у которых для IPsec-а до сих пор стоит 3DES с MD5. Судя по новости, атака их не затрагивает, но им в любом случае стоит обновить настройки шифрования.

     
     
  • 2.10, Аноним, 05:11, 25/08/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Это они так забивали ентепрайзеров, из-за обратной совместимости
     
     
  • 3.12, evkogan, 08:35, 25/08/2016 [^] [ответить] [смотреть все]  
  • +1 +/
    Кто сказал, что Cisco не затрагивает? Может просто пока не экспериментировали со взломом конкретно их.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2017 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    Hosting by Ihor TopList