Группа исследователей подробно описала новую уязвимость в протоколе защиты транспортного уровня (TLS), которая потенциально может позволить злоумышленнику взломать шифрование и прочитать конфиденциальные сообщения при определённых условиях.

Атака на стороне сервера, получившая название «Raccoon Attack», использует сторонний канал в криптографическом протоколе (версии 1.2 и ниже) для извлечения секретного ключа, используемого для безопасной связи между двумя сторонами.

«Основная проблема этого стороннего канала заключается в том, что стандарт TLS использует алгоритм шифрования Диффи-Хеллмана (DH)», — объяснили свои выводы исследователи в статье. «Если сервер повторно использует эфемерные ключи, то сторонний канал может дать возможность злоумышленнику восстановить секрет (pre-master secret), в секунды решив Hidden Number Problem».

Однако учёные заявили, что уязвимость трудно эксплуатировать, и её использование зависит от очень точных временных измерений и конкретной конфигурации сервера.

Утечка секретных ключей

Использование измерений времени для компрометации криптосистемы и утечки конфиденциальной информации было сердцем многих «атак по времени», и Raccoon применяет ту же стратегию к процессу обмена ключами в алгоритме Диффи-Хеллмана (DH) во время рукопожатия TLS, что имеет решающее значение при безопасном обмене данными через публичные сети.

Этот общий секретный ключ, сгенерированный во время обмена, обеспечивает безопасный просмотр в Интернете, позволяя пользователям безопасно посещать веб-сайты, защищая коммуникации от подслушивания и атак типа «человек посередине» (MitM).

Чтобы сломать эту стену безопасности, злоумышленник записывает сообщения рукопожатия между клиентом и сервером, используя для инициирования новых рукопожатий на тот же сервер, и впоследствии измеряет время, которое требуется серверу для ответа на операции, связанные с получением общего ключа.

Стоит отметить, что «алгоритм Диффи-Хеллмана с ведущими нулями приведут к более быстрому вычислению KDF (функция формирования ключа) сервера и, следовательно, к более короткому времени ответа сервера».

Предполагая, что злоумышленник может идентифицировать этот пограничный случай, он позволяет мошеннику расшифровать секретный ключ исходного рукопожатия и в конечном итоге расшифровать трафик TLS, чтобы восстановить его содержимое в виде открытого текста.

Но у атаки есть свои ограничения. Во-первых, необходимо, чтобы сервер повторно использовал один и тот же эфемерный ключ (так называемый метод DHE) во всех сеансах. Во-вторых, злоумышленник должен находиться как можно ближе к целевому серверу для выполнения высокоточных измерений времени.

Обновления безопасности в F5, Microsoft, Mozilla и OpenSSL

Хотя Raccoon может быть трудно воспроизвести в реальном мире, несколько продуктов F5 оказались уязвимыми для «специальной» версии атаки (CVE-2020-5929), не прибегая к измерениям времени путём непосредственного наблюдения за содержимым ответов сервера.

F5, Microsoft, Mozilla и OpenSSL выпустили патчи, чтобы предотвратить атаку, решив проблему повторного использования эфемерных ключей. Со своей стороны, Mozilla отключила комплекты шифров DH и DHE в своём браузере Firefox, и в рекомендациях Microsoft клиентам рекомендуется отключить TLS_DHE.

Поскольку эфемерные ключи имеют решающее значение для обеспечения прямой секретности, исследование является ещё одной причиной того, почему повторное использование криптографических ключей может подорвать безопасность.

«Эта атака происходит на базе того факта, что серверы могут повторно использовать секретный показатель DH для многих сессий, тем самым отказываясь от прямой секретности», — заключили исследователи.

«В этом контексте Raccoon преподаёт урок по безопасности: для протоколов, в которых одна из сторон может постоянно запрашивать некоторые криптографические секреты, возможности атаки становится шире. Raccoon показала, что мы должны быть осторожны, предоставляя злоумышленникам доступ к таким запросам».
.

Специалисты CoreWin рекомендуют использовать сканеры веб-уязвимостей Acunetix или NetSparker, чтобы защититься от такого рода атак.