У протоколі HTTPS виявлена серйозна уразливість, до якої схильні поштові та веб-сервери, платіжні системи та інші онлайн-сервіси, що вимагають авторизації. На думку автора дослідження Надії Хенінджер (Nadia Heninger) з Університету Пенсільванії, вона могла використовуватися АНБ для отримання доступу до зашифрованих даних, в тому числі - переданих за допомогою VPN.
На транспортному рівні безпеки комунікацій при підключенні по HTTPS повинна забезпечуватися криптографічним протоколом TLS, який прийшов на зміну SSL v.3.0 і останній раз оновлювався в 2008 році. Його вразливість пов'язана з обмеженнями, які на вимогу уряду США ще в середині дев'яностих були використані розробниками щодо алгоритму Діффі-Хеллмана. Іронія в тому, що в TLS він вводився як додатковий захід безпеки і застосовувався для передачі загального секретного ключа по незахищеним від прослуховування каналів зв'язку.
Heartbleed, FREAK, LogJam ... HTTPS втрачає залишки надійності.
Виявлена уразливість отримала назвою Logjam (затор). Вона дозволяє зловмисникам вклинитися між клієнтом і сервером з підтримкою обміну секретними ключами по алгоритму Діффі-Хеллмана. Використовуючи модифіковані запити, можливо змусити сервер використовувати у всіх з'єднаннях слабкий ключ довжиною 512 біт.
Атака базується на алгоритмі факторизації великих цілих чисел під назвою «загальний метод решета числового поля» і вимагає виконання значної кількості попередніх обчислень. Однак за минулі з моменту впровадження HTTPS двадцять років завдання перестала бути досить складною для 512-бітних ключів. Автор дослідження виконував факторизацию на комп'ютерах університетського кампусу, і за два тижні отримав два найпоширеніших ключа (їх використовували 92% сайтів).
При достатньому обсязі попередніх обчислень можна скомпрометувати будь-примусово ослаблений ключ, що передається по протоколу Діффі-Хеллмана (зображення: David Adrian et al.).
При доступі до спеціалізованих конфігурацій з векторними прискорювачами (в тому числі на базі топових відеокарт) або ПЛІС підбір ключа спрощується на порядок. Урядові агентства мають доступ до суперкомп'ютерів з TOP 500 та можуть виконувати цю атаку як рутинну операцію. Змусивши сервер використовувати слабкий ключ і підібравши його, можна використовувати класичний метод атаки «людина посередині» для перехоплення і (опціонально) модифікації всього «захищеного» трафіку.
Просканувавши кілька мільйонів вузлів з адресного простору IPv4, Хенінджер приходить до висновку, що атака на протокол HTTPS http://arstechnica.com/security/2015/05/https-crippling-attack-threatens-tens-of-thousands-of-web -and-mail-servers / зачіпає приблизно 8,4 відсотка з першого мільйона найпопулярніших сайтів і трохи більший відсоток поштових серверів. Зокрема, ті з них, які підтримують протокол StartTLS, а також безпечну авторизацію POP3 або IMAP. За її оцінками, серед них зараз уразливі відповідно 14,8%, 8,9% і 8,4% поштових серверів.
Особливість атаки в тому, що вона довго залишається непомітною і може відбуватися в режимі реального часу. Хенінджер впевнена: в АНБ її використовували роками. Ми знаємо, що Сноуден оприлюднив понад 1,7 млн секретних файлів, а легкість атаки на одну з популярних реалізацій HTTPS проливає світло на те, як саме їх могло отримати агентство.
Проблема полягає ще і в тому, що подібний спосіб компрометації ключів може використовуватися проти будь-яких серверів, які підтримують обмін ключами по протоколу Діффі-Хеллмана (DH). У теорії він дозволяє двом сторонам передати секретний ключ по незахищених каналу зв'язку, але на практиці не повинен використовуватися як самодостатній метод. В надійних системах додатково використовується двостороння аутентифікація або реалізація DH на еліптичних кривих (ECDHE).
Сайт Фонд а електронних рубежів не схильний до атаки Logjam.
Політика адміністрації Клінтона дозволяла без проблем шпигувати за іноземними суб'єктами, які були впевнені в надійності шифрування трафіку. «Logjam знову показав нам, наскільки жахлива ідея навмисного ослаблення криптографічних продуктів, на якій наполягає ФБР і інші урядові агентства, - коментує один з авторів дослідження Алекс Хальдерман (J. Alex Halderman). - Через політику експортних обмежень епохи дев'яностих, сьогодні ми стикаємося з широко поширеними бекдор. Вони роблять уразливою більшу частину інтернету і підривають основи забезпечення інформаційної безпеки ».
При використанні ключів з довжиною від 2048 біт протокол Діффі-Хеллмана сильно ускладнює розшифровку захищеного трафіку, оскільки зловмисникам доводиться кожен раз отримувати новий ключ і факторізовать його. Це істотно підвищує безпеку HTTPS в порівнянні з іншими асиметричними схемами шифрування, де ключ передається тільки один раз (наприклад, RSA). Однак багато серверів легко примушують до використання слабких ключів, а їхні клієнти навіть не знають про це.
Слабкий ключ в протоколі доступу до хмарного сховища Яндекс.Діск.
За ідеєю, про слабкий шифруванні на сервері користувача повинен попереджати браузер. Поки відповідна функція була додана тільки в Internet Explorer, але Хенінджер запевняє, що виробники інших популярних браузерів теж незабаром випустять оновлення. Зокрема, результати своїх досліджень вона направила розробникам Firefox, Chrome і Safari.
За своєю суттю Logjam схожий на іншу атаку - FREAK (Factoring attack on RSA-EXPORT Keys), що продовжила список вразливостей в OpenSSL і також знижує захищеність HTTPS-підключення за рахунок примусового використання слабкого шифрування. Вона торкнулася 36,7% сайтів з підтримкою HTTPS. Після виходу оновлень їх число знизилося до 6,5%. Не всі адміністратори оперативно закривають дірки в безпеці, не кажучи вже про користувачів.
Перевірити сайт на схильність атаці FREAK можна на сайті Keycdn . Для перевірки на вразливість до атаки Logjam скористайтеся сайтом WeakDH .
