The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Представлен Sweet32, новый вид атаки на HTTPS и OpenVPN

24.08.2016 23:35

Исследователи из французского института INRIA разработали новый метод атак на системы шифрования, применяющие 64-битные блочные шифры 3DES и Blowfish, получивший кодовое имя Sweet32. Метод позволяет в ходе MITM-атаки, подразумевающей наличие контроля за транзитным трафиком (например, через прослушивание публичного Wi-Fi), восстановить значение небольших идентификаторов, передаваемых внутри шифрованного сеанса, например сессионных Cookie в HTTPS-соединениях с 3DES. Метод также применим для восстановления аутентификационных токенов OpenVPN (используется Blowfish). Для защиты от выявленного метода атаки рекомендуется использовать шифры с размером блока, превышающим 64 бита, например, AES.

Для успешного совершения атаки сайт должен поддерживать создание защищённых соединений с использованием симметричного блочного шифра 3DES, а также допускать передачу большого числа запросов через одно установленное соединение. По оценке исследователей данному условию соответствуют 0.6% от 100 тысяч самых популярных сайтов в рейтинге Alexa. Для применения атаки также требуется чтобы клиент подключился с использованием 3DES (используется примерно 1.2% клиентских запросов), после чего атакующему необходимо добиться выполнения JavaScript-кода в браузере клиента.

Так как атака подразумевает наличие возможности перехвата трафика клиента, для выполнения JavaSсript-кода атакующий может подставить его при запросе клиентом незащищённого ресурса. JavaSсript-код нужен для отправки проверочных запросов на целевой сайт, которые отслеживаются в перехваченном трафике. Для успешной расшифровки Cookie в HTTPS в ходе эксперимента потребовалось 38 часов и отправка 785 Гб проверочных данных. Для восстановления 16-байтного аутентификационного токена в OpenVPN потребовалось 18 часов и генерация 705 Гб данных.

Метод основан на применении описанного в теории вероятности парадокса дней рождений. Генерируя большую последовательность запросов, атакующие оценивают появление двух одинаковых результирующих зашифрованных блоков, свидетельствующих об обнаружении коллизии. Учитывая то, что вызвавший коллизию запрос изначально известен, а в режиме CBC применяется XOR-наложение двух различных блоков, для воссоздания ключа шифрования требуется выявление нескольких коллизий.

Несмотря на то, что атака требует достаточно специфичных условий и мало применима на практике, выявление проблемы уже подтолкнуло разработчиков средств шифрования для перевода 64-битных шифров в разряд устаревших. В частности, уже выпущен OpenVPN 2.3.12, в котором прекращено применение 64-битных шифров. В ожидаемом на днях релизе OpenSSL 1.1.0 проблему планируется решить путём отключения 3DES. В ветках OpenSSL 1.0.2 и 1.0.1 для сохранения совместимости 3DES будет оставлен, но переведён в менее приоритетную группу (из high в medium).

  1. Главная ссылка к новости (http://arstechnica.com/securit...)
  2. OpenNews: IETF официально вывел из обихода протокол SSLv3
  3. OpenNews: Уязвимость в SSLv3 может использоваться и для атаки на некоторые сайты с TLS
  4. OpenNews: Новый вид атаки на HTTPS ставит под вопрос дальнейшее существование SSL 3.0
  5. OpenNews: Представлен новый вид атаки по перехвату данных, передаваемых через HTTPS-соединения
  6. OpenNews: Новая техника атаки для выявления содержимого отдельных блоков SSL/TLS-соединений
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/45023-ssl
Ключевые слова: ssl, tls
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (22) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, adminlocalhost (ok), 00:11, 25/08/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +17 +/
    >Для успешной расшифровки Cookie в HTTPS в ходе эксперимента потребовалось 38 часов и отправка 785 Гб проверочных данных. Для восстановления 16-байтного аутентификационного токена в OpenVPN потребовалось 18 часов и генерация 705 Гб данных

    НЕЗАМЕТНЕНЬКО!

     
     
  • 2.5, Онаним (?), 00:52, 25/08/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    18 часов - реально не проблема. Припарковался где-нибудь рядом с офисом жертвы или хороший смартфон с хорошим powerbank-ом в заныкал и на следующий день готово. Траффик для современных локальных сетей тоже не проблема.
     
     
  • 3.15, adminlocalhost (ok), 12:20, 25/08/2016 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Да. Совсем не проблема.  

    700 гигабайт за 18 часов. это около 90 мегабит в секунду.  

    никто не заметит.

     
     
  • 4.16, . (?), 13:07, 25/08/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > 700 гигабайт за 18 часов. это около 90 мегабит в секунду.  

    мое 4G железо дает 150. При этом, если бы мы не были связаны всякими идиотскими ограничениями - оно бы было реально доступно обычным владельцам обычных китайских мабил.
    Инфраструктура выдержит, она под такое строилась, китайская мабила - вполне осилит (правда, сядет наверное, за 18 часов, но это лечится павербанкой).

    и это - серийное оборудование, устаревшее уже лет на пять. Китайцам доступны скорости и в 300 мегабит (правда, в виду их количества, вряд ли оно все не упирается в магистрали).

    Но я бы больше боялся не китайской мобилы, а человечка засланного, внутри корпоративной вафли. Опять же, современное железо да, вполне может обеспечить те самые 300 мегабит, и да, "никто не заметит", если специально не контролирует аномалии в сети.
    А заметит, так пожмет плечами "наверное, это бэкап"(c).

     
  • 4.21, Аноним (-), 08:00, 27/08/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > 700 гигабайт за 18 часов. это около 90 мегабит в секунду.

    Машины не торопятся - у них времени много.

     

  • 1.2, IZh. (?), 00:17, 25/08/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +5 +/
    Слить семьсот-восемьсот гигов трафика, чтобы выковырять 16 байт... :-) Провайдер раньше позвонит узнать, как дела. ;-)
     
  • 1.3, Аноним (-), 00:27, 25/08/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > 3DES будет оставлен, но переведён в менее приоритетную группу (из high в medium)

    Почему не low?

    Не прогнулись перед рабами и клиентами.

     
     
  • 2.11, Васякот (?), 08:07, 25/08/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Не стоит прогибаться ПОД изменчивый мир...
    Сорь, не удержался.
     

  • 1.4, Alukardd (ok), 00:42, 25/08/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +5 +/
    Ну, вместо BlowFish уже давно рекомендован TwoFish.
     
  • 1.6, Аноним (-), 00:53, 25/08/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +7 +/
    > атака требует достаточно специфичных условий и мало применима на практике

    Ну и что, зато у этой атаки есть красивое название, домен и логотип — все как положено.

     
     
  • 2.7, nonamed anon (?), 01:04, 25/08/2016 [^] [^^] [^^^] [ответить]  
  • +11 +/
    ага, не хватает только выхода на IPO
     
     
  • 3.24, Michael Shigorin (ok), 12:57, 30/08/2016 [^] [^^] [^^^] [ответить]  
  • +/
    >>> атака требует достаточно специфичных условий и мало применима на практике
    >> Ну и что, зато у этой атаки есть красивое название, домен и логотип — все как положено.
    > ага, не хватает только выхода на IPO

    Кстати, да -- надо ж вВВП хоть так подымать.

     

  • 1.8, Ivan_83 (ok), 01:10, 25/08/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    гост89 тоже имеет блоки по 64 бита.
     
     
  • 2.13, Your mama (?), 08:37, 25/08/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Ты говоришь про Магму, но уже давно нужно использовать Кузнечик: https://ru.wikipedia.org/wiki/%D0%9A%D1%83%D0%B7
     
     
  • 3.14, yekm (ok), 09:36, 25/08/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Да, с кузнечиком будет проблематично отправить полтерабайта, он же тормозной как мой трактор.
     
     
  • 4.19, Ivan_83 (ok), 16:59, 25/08/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > Да, с кузнечиком будет проблематично отправить полтерабайта, он же тормозной как мой
    > трактор.

    Хз, не пробовал его имплементировать.
    Может на sse/axv он будет вполне сносно пахать.

     
     
  • 5.20, yekm (ok), 17:45, 25/08/2016 [^] [^^] [^^^] [ответить]  
  • +/
    >> Да, с кузнечиком будет проблематично отправить полтерабайта, он же тормозной как мой
    >> трактор.
    > Хз, не пробовал его имплементировать.
    > Может на sse/axv он будет вполне сносно пахать.

    Да точно также как старый гост -- никак. Там каждое следующие вычисление зависит от результата предидущего, нечего там параллелить. Разве что несколько отдельных потоков шифрования, как это делали для старого госта.

     
  • 3.18, Ivan_83 (ok), 16:58, 25/08/2016 [^] [^^] [^^^] [ответить]  
  • +/
    магма от гост89 отличается только порядком следования байт в блоке 64 бита.
    Нахера это было делать я не понимаю, авторы ничего объяснить не могут или не хотят, мучал их ещё этой зимой, после НГ.
     

  • 1.9, h31 (ok), 01:21, 25/08/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    > метод атак на системы шифрования, применяющие 64-битные блочные шифры 3DES и Blowfish

    Вау, какие новости. Ребятки взяли топовые и самые актуальные алгоритмы шифрования. Может ещё шифр Цезаря попробуют взломать, в 2016-ом году-то?
    Хотя не, сарказм тут не к месту. Передаю привет всем цисководам, у которых для IPsec-а до сих пор стоит 3DES с MD5. Судя по новости, атака их не затрагивает, но им в любом случае стоит обновить настройки шифрования.

     
     
  • 2.10, Аноним (-), 05:11, 25/08/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Это они так забивали ентепрайзеров, из-за обратной совместимости
     
     
  • 3.12, evkogan (?), 08:35, 25/08/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Кто сказал, что Cisco не затрагивает? Может просто пока не экспериментировали со взломом конкретно их.
     

  • 1.25, Аноним (-), 10:42, 02/06/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Да. Цисковкие должны уже давно призадуматься о смене шифрования!
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру