研究人員設(shè)計(jì)了針對SSL的新攻擊技術(shù)

許多SSL庫的開發(fā)人員正在為一個漏洞發(fā)布補(bǔ)丁，該漏洞可能被用來從加密通信中恢復(fù)明文信息，例如瀏覽器身份驗(yàn)證cookie。

修補(bǔ)工作之前，發(fā)現(xiàn)了新的方法來攻擊SSL，TLS和DTLS實(shí)現(xiàn)，使用密碼塊鏈（CBC）模式加密。這些新的攻擊方法是由倫敦大學(xué)皇家霍洛韋學(xué)院的研究人員納赫姆·阿爾法丹和肯尼斯·G·帕特森開發(fā)的。

這些人周一發(fā)表了一篇研究論文和一個網(wǎng)站，詳細(xì)介紹了他們的新攻擊，他們稱之為“幸運(yùn)十三”。他們已經(jīng)與幾個TLS圖書館供應(yīng)商以及IE TF（互聯(lián)網(wǎng)工程工作隊(duì)）的TLS工作組合作解決了這個問題。

HPE贊助的Brand Post

下一章資訊科技業(yè)的定義：資訊科技服務(wù)的現(xiàn)場運(yùn)作

“作為服務(wù)”模式提供的是服務(wù)，而不是產(chǎn)品；靈活性而不是剛性；以及與業(yè)務(wù)結(jié)果相一致的成本。

傳輸層安全（T LS）協(xié)議及其前身SSL（Secure SocketsLayer）協(xié)議是HTTPS（HypertextTransfer Protocol Secure）的核心部分，是在Web上保護(hù)通信的主要方法。數(shù)據(jù)報(bào)傳輸層安全（D TL S）協(xié)議基于TLS，用于加密在UDP（用戶數(shù)據(jù)報(bào)協(xié)議）上通信的應(yīng)用程序之間的連接。

研究人員在他們的網(wǎng)站上說：“OpenSSL、NSS、GnuTLS、yaSSL、PolarSSL、Opera和Bounty Castle正在準(zhǔn)備補(bǔ)丁，以保護(hù)CBC模式下的TLS免受我們的攻擊?！?/p>

這一發(fā)現(xiàn)意味著，最終用戶在訪問沒有應(yīng)用補(bǔ)丁的HTTPS網(wǎng)站時，理論上可能會受到黑客的攻擊。不過，安全專家表示，這種漏洞很難利用，因此可能沒有什么值得警惕的理由。

他們說：“攻擊來自TLS規(guī)范的缺陷，而不是特定實(shí)現(xiàn)中的bug?！惫暨m用于符合TLS1.1或1.2或DTLS1.0或1.2[兩種規(guī)范的最新版本]的所有TLS和DTLS實(shí)現(xiàn)。它們還適用于SSL3.0和TLS1.0的實(shí)現(xiàn)，其中包含了對以前的填充Oracle攻擊的反措施。不同的攻擊也可能適用于不符合要求的實(shí)現(xiàn)。

這意味著幾乎所有用于實(shí)現(xiàn)互聯(lián)網(wǎng)上一些最重要的安全協(xié)議的庫都可能容易受到Lucky13攻擊。

好消息是，在現(xiàn)實(shí)世界中成功地執(zhí)行這些攻擊從TLS連接中解密數(shù)據(jù)是困難的，因?yàn)樗鼈冃枰囟ǖ姆?wù)器端和客戶端條件。例如，攻擊者需要非常接近目標(biāo)服務(wù)器-在同一個局域網(wǎng)（LAN）上。

padingoracle攻擊已經(jīng)有十多年的歷史了。它們涉及攻擊者在傳輸過程中捕獲加密記錄，改變其某些部分，將其提交給服務(wù)器，并監(jiān)視服務(wù)器需要多長時間才能使解密嘗試失敗。通過適應(yīng)他的修改和分析許多解密嘗試之間的時間差異，攻擊者最終可以通過字節(jié)恢復(fù)原始明文字節(jié)。

在TLS規(guī)范的1.2版本中，TLS設(shè)計(jì)人員試圖阻止這樣的攻擊，將時間變化降低到他們認(rèn)為太低而無法開發(fā)的水平。然而，來自阿爾法丹和帕特森的幸運(yùn)十三號研究表明，這一假設(shè)是不正確的，成功的填充甲骨文攻擊仍然是可能的。

馬里蘭州巴爾的摩約翰·霍普金斯大學(xué)密碼學(xué)家、研究教授馬修·格林星期一在博客上說：“新的Al Fardan和Paterson的研究結(jié)果表明，至少從相對較近的距離上可以分辨出由填充物無效所造成的微小的時間差異。“這在一定程度上是由于計(jì)算機(jī)硬件的進(jìn)步：大多數(shù)新計(jì)算機(jī)現(xiàn)在都配備了易于訪問的CPU周期計(jì)數(shù)器。但這也要感謝一些巧妙的統(tǒng)計(jì)技術(shù)，這些技術(shù)使用許多樣本來平滑和克服網(wǎng)絡(luò)連接的抖動和噪音?！?/p>

除了接近目標(biāo)服務(wù)器外，成功的Lucky13攻擊還需要大量----數(shù)百萬次----的嘗試，以便收集足夠的數(shù)據(jù)，對時間差異進(jìn)行相關(guān)統(tǒng)計(jì)分析，克服可能干擾進(jìn)程的網(wǎng)絡(luò)噪聲。

為了實(shí)現(xiàn)這一點(diǎn)，攻擊者需要一種方法來迫使受害者的瀏覽器進(jìn)行非常多的HT TPS連接。這可以通過在受害者訪問的網(wǎng)站上放置一段流氓JavaScript代碼來實(shí)現(xiàn)。

針對解密的秘密明文需要在HTTP S流中有固定的位置。這一條件是通過身份驗(yàn)證（會話）cookie來滿足的-由網(wǎng)站在瀏覽器中存儲的用于記住登錄用戶的隨機(jī)文本的小字符串。認(rèn)證cookie可以讓攻擊者訪問其相應(yīng)網(wǎng)站上的用戶帳戶，使其成為值得竊取的寶貴信息。

然而，潛在攻擊者要克服的最大障礙是TLS在每次解密嘗試失敗后殺死會話，因此會話需要與服務(wù)器重新協(xié)商?！癟LS握手并不快，這種攻擊可能需要數(shù)萬（或數(shù)百萬！）每個[恢復(fù)的]字節(jié)的連接，”格林說。“所以實(shí)際上TLS攻擊可能需要數(shù)天。換句話說，不要驚慌?！?/p>

另一方面，如果服務(wù)器未能解密一個記錄，因?yàn)樗桓淖兞?，DTLS不會殺死會話，這使得“幸運(yùn)十三”攻擊與該協(xié)議不符。

阿爾法丹和帕特森說：“攻擊只能由一個堅(jiān)定的攻擊者實(shí)施，他位于被攻擊的機(jī)器附近，能夠?yàn)楣舢a(chǎn)生足夠的會話。”“從這個意義上說，這些攻擊以目前的形式對TLS的普通用戶不構(gòu)成重大危險。然而，這是一個真理，攻擊只有隨著時間的推移才會變得更好，我們無法預(yù)料我們的攻擊或全新的攻擊可能還會有什么改進(jìn)?！?/p>

安全公司Qualys的工程總監(jiān)伊萬·里斯蒂奇（Ivan Ristic）同意，幸運(yùn)十三號攻擊對DTLS來說是實(shí)用的，但對TLS來說，它們目前的形式并不實(shí)用。不過，他周二通過電子郵件表示，從學(xué)術(shù)角度來看，這項(xiàng)研究意義重大。

Web服務(wù)器管理員可以選擇在其HTTPS實(shí)現(xiàn)中對不受這些類型攻擊影響的密碼套件進(jìn)行優(yōu)先排序。對許多人來說，唯一的選擇是RC4，這是一種可以追溯到1987年的流密碼。

Ristic說：“人們普遍不喜歡RC4，因?yàn)樗幸阎娜毕荩]有一個適用于SSL/TLS），但我們還沒有看到TLS中使用的針對RC4的工作攻擊?！睆倪@個意義上說，盡管RC4并不理想，但它似乎比TLS1.0中現(xiàn)有的替代品更強(qiáng)。

TLS1.2支持AES-GCM（AES Galois計(jì)數(shù)器模式），這是一個更現(xiàn)代的密碼套件，也不容易受到這些類型的攻擊。然而，TLS1.2的總體采用率目前較低。

根據(jù)Qualys創(chuàng)建的SSL Pulse項(xiàng)目的數(shù)據(jù)，該項(xiàng)目旨在監(jiān)測SSL/TLS在整個Web上的支持質(zhì)量，在互聯(lián)網(wǎng)排名前17.7萬位的HTTPS網(wǎng)站中，只有11%的網(wǎng)站支持TLS1.2。

“我認(rèn)為這一發(fā)現(xiàn)將是加快TLS1.2部署的又一個原因，”Ristic說。

這不是人們第一次建議在TLS中優(yōu)先使用RC4來防止填充oracle攻擊。同樣的事情發(fā)生在兩年前，當(dāng)時宣布了BEAST（瀏覽器利用SSL/TLS）攻擊。

Ristic說：“從最近的SSL Pulse結(jié)果（1月）來看，我們知道66.7%的服務(wù)器容易受到BEAST攻擊，這意味著它們不會優(yōu)先使用RC4?！捌渲?，一小部分將支持TLS1.2，并可能優(yōu)先考慮僅在此版本的協(xié)議中支持的非CBC套件。然而，由于支持TLS1.2的瀏覽器太少，我認(rèn)為我們可以估計(jì)大約66%的服務(wù)器將談判CBC?！?/p>