Logjam - нова уразливість HTTPS

У протоколі HTTPS виявлена серйозна уразливість, до якої схильні поштові та веб-сервери, платіжні системи та інші онлайн-сервіси, що вимагають авторизації. На думку автора дослідження Надії Хенінджер (Nadia Heninger) з Університету Пенсільванії, вона могла використовуватися АНБ для отримання доступу до зашифрованих даних, в тому числі - переданих за допомогою VPN.

На транспортному рівні безпеки комунікацій при підключенні по HTTPS повинна забезпечуватися криптографічним протоколом TLS, який прийшов на зміну SSL v.3.0 і останній раз оновлювався в 2008 році. Його вразливість пов'язана з обмеженнями, які на вимогу уряду США ще в середині дев'яностих були використані розробниками щодо алгоритму Діффі-Хеллмана. Іронія в тому, що в TLS він вводився як додатковий захід безпеки і застосовувався для передачі загального секретного ключа по незахищеним від прослуховування каналів зв'язку.

Іронія в тому, що в TLS він вводився як додатковий захід безпеки і застосовувався для передачі загального секретного ключа по незахищеним від прослуховування каналів зв'язку

Heartbleed, FREAK, LogJam ... HTTPS втрачає залишки надійності.

Виявлена ​​уразливість отримала назвою Logjam (затор). Вона дозволяє зловмисникам вклинитися між клієнтом і сервером з підтримкою обміну секретними ключами по алгоритму Діффі-Хеллмана. Використовуючи модифіковані запити, можливо змусити сервер використовувати у всіх з'єднаннях слабкий ключ довжиною 512 біт.

Атака базується на алгоритмі факторизації великих цілих чисел під назвою «загальний метод решета числового поля» і вимагає виконання значної кількості попередніх обчислень. Однак за минулі з моменту впровадження HTTPS двадцять років завдання перестала бути досить складною для 512-бітних ключів. Автор дослідження виконував факторизацию на комп'ютерах університетського кампусу, і за два тижні отримав два найпоширеніших ключа (їх використовували 92% сайтів).

Автор дослідження виконував факторизацию на комп'ютерах університетського кампусу, і за два тижні отримав два найпоширеніших ключа (їх використовували 92% сайтів)

При достатньому обсязі попередніх обчислень можна скомпрометувати будь-примусово ослаблений ключ, що передається по протоколу Діффі-Хеллмана (зображення: David Adrian et al.).

При доступі до спеціалізованих конфігурацій з векторними прискорювачами (в тому числі на базі топових відеокарт) або ПЛІС підбір ключа спрощується на порядок. Урядові агентства мають доступ до суперкомп'ютерів з TOP 500 та можуть виконувати цю атаку як рутинну операцію. Змусивши сервер використовувати слабкий ключ і підібравши його, можна використовувати класичний метод атаки «людина посередині» для перехоплення і (опціонально) модифікації всього «захищеного» трафіку.

Просканувавши кілька мільйонів вузлів з адресного простору IPv4, Хенінджер приходить до висновку, що атака на протокол HTTPS http://arstechnica.com/security/2015/05/https-crippling-attack-threatens-tens-of-thousands-of-web -and-mail-servers / зачіпає приблизно 8,4 відсотка з першого мільйона найпопулярніших сайтів і трохи більший відсоток поштових серверів. Зокрема, ті з них, які підтримують протокол StartTLS, а також безпечну авторизацію POP3 або IMAP. За її оцінками, серед них зараз уразливі відповідно 14,8%, 8,9% і 8,4% поштових серверів.

Особливість атаки в тому, що вона довго залишається непомітною і може відбуватися в режимі реального часу. Хенінджер впевнена: в АНБ її використовували роками. Ми знаємо, що Сноуден оприлюднив понад 1,7 млн ​​секретних файлів, а легкість атаки на одну з популярних реалізацій HTTPS проливає світло на те, як саме їх могло отримати агентство.

Проблема полягає ще і в тому, що подібний спосіб компрометації ключів може використовуватися проти будь-яких серверів, які підтримують обмін ключами по протоколу Діффі-Хеллмана (DH). У теорії він дозволяє двом сторонам передати секретний ключ по незахищених каналу зв'язку, але на практиці не повинен використовуватися як самодостатній метод. В надійних системах додатково використовується двостороння аутентифікація або реалізація DH на еліптичних кривих (ECDHE).

В надійних системах додатково використовується двостороння аутентифікація або реалізація DH на еліптичних кривих (ECDHE)

Сайт Фонд а електронних рубежів не схильний до атаки Logjam.

Політика адміністрації Клінтона дозволяла без проблем шпигувати за іноземними суб'єктами, які були впевнені в надійності шифрування трафіку. «Logjam знову показав нам, наскільки жахлива ідея навмисного ослаблення криптографічних продуктів, на якій наполягає ФБР і інші урядові агентства, - коментує один з авторів дослідження Алекс Хальдерман (J. Alex Halderman). - Через політику експортних обмежень епохи дев'яностих, сьогодні ми стикаємося з широко поширеними бекдор. Вони роблять уразливою більшу частину інтернету і підривають основи забезпечення інформаційної безпеки ».

При використанні ключів з довжиною від 2048 біт протокол Діффі-Хеллмана сильно ускладнює розшифровку захищеного трафіку, оскільки зловмисникам доводиться кожен раз отримувати новий ключ і факторізовать його. Це істотно підвищує безпеку HTTPS в порівнянні з іншими асиметричними схемами шифрування, де ключ передається тільки один раз (наприклад, RSA). Однак багато серверів легко примушують до використання слабких ключів, а їхні клієнти навіть не знають про це.

Однак багато серверів легко примушують до використання слабких ключів, а їхні клієнти навіть не знають про це

Слабкий ключ в протоколі доступу до хмарного сховища Яндекс.Діск.

За ідеєю, про слабкий шифруванні на сервері користувача повинен попереджати браузер. Поки відповідна функція була додана тільки в Internet Explorer, але Хенінджер запевняє, що виробники інших популярних браузерів теж незабаром випустять оновлення. Зокрема, результати своїх досліджень вона направила розробникам Firefox, Chrome і Safari.

За своєю суттю Logjam схожий на іншу атаку - FREAK (Factoring attack on RSA-EXPORT Keys), що продовжила список вразливостей в OpenSSL і також знижує захищеність HTTPS-підключення за рахунок примусового використання слабкого шифрування. Вона торкнулася 36,7% сайтів з підтримкою HTTPS. Після виходу оновлень їх число знизилося до 6,5%. Не всі адміністратори оперативно закривають дірки в безпеці, не кажучи вже про користувачів.

Перевірити сайт на схильність атаці FREAK можна на сайті Keycdn . Для перевірки на вразливість до атаки Logjam скористайтеся сайтом WeakDH .