» »

Po dvajsetih letih se maščuje ranljivost FREAK

Po dvajsetih letih se maščuje ranljivost FREAK

Washington Post - Raziskovalci pri INRIA, Microsoft Research in IMDEA so odkrili resno ranljivost v implementaciji TLS/SSL, ki prizadene odjemalce, ki uporabljajo OpenSSL (npr. naprave z Androidom) in Applove odjemalce (naprave z iOS in Mac OS X), piše Washington Post. Ranljivi so tudi osebni računalniki z Windows.

Ranljivost je posledica omejevanja zmogljivosti šifriranja, ki so ga podjetja do leta 2000 lahko izvažala iz ZDA. Zaradi strahu pred naraščajočo uporabo in kakovostjo šifriranja, ki praktično onemogoča prisluškovanje, so tedaj v ameriškem Kongresu zlobirali sprejetje zakonodaje, ki je zahtevala izvoz pohabljenih šifrirnih algoritmov. Čeprav so do leta 2000 omejitve v celoti odpravili, se je šibko šifriranje ponekod obdržalo kot rezervna možnost (fall-back). In to je mogoče zlorabiti.

Za šifriranje po algoritmu RSA je bil najdaljši dovoljen ključ 512-biten. To je ravno dovolj, da ga NSA še zlomi, a hkrati premalo za komercialno razbijanje in uporaba je bila svoj čas zadovoljivo varna. Toda to je bilo leta 1992, do danes pa je računska moč silovito napredovala. Seveda je obstajala tudi verzija z daljšim ključem, ki pa ni bila za izvoz. Zato so imeli odjemalci in strežniki način, kako se sporazumejo o načinu šifriranja. Dandanes se je zdela to daljna preteklost, saj odjemalci sploh ne ponudijo več 512-bitnega šifriranja, strežniki pa ga ne bi smeli sprejemati. A ker to ni čisto res, so prav to nepridipravi sedaj zlorabili.

Odkrili so, da imata Applov SecureTransport in OpenSSL hrošča, ki jima omogoča sprejetje šibkega ključa RSA. Ob uporabi tega ključa je mogoče povezavo v približno sedmih urah dešifrirati, s čimer se odpre pot za MITM-napad. Na Amazonu EC2 vas to stane 50-100 dolarjev računske moči. Problem pa je, da so strežniki precej varčni in ranljivi strežniki ključ RSA generirajo le enkrat po zagonu, potem ga uporabijo vsakokrat. To pomeni, da lahko po sedmih urah prisluškujete vsem šibkim povezavam s tega strežnika.

Vprašanje je, kako razširjen hrošč. Presenetljivo je, da je izjemno. Raziskava na vzorcu 14 milijonov strani je pokazala, da je tretjina strani ranljvih. Če na tako stran zaidete z ranljivim brskalnikom in se vas nepridipravi lotijo, imate problem. Ranljive so celo strani NSA, FBI in Bele hiše! V OpenSSL je ranljivost že zakrpana, Apple pa še dela na popravku. Ranljivost odjemalcev in strežnikov že lahko preverite.

19 komentarjev

andrejn ::

 Slo tech certifikat

Slo tech certifikat



Kakor iz tega razberem slo-tech uporablja 128bit asimetrični ključ in 128bit simetrični ključ. To se pravi vse te TLS/SSL povezave so zlomljive, če ključ ni daljši od 512bit (seveda ob predpogoju, da je vse drugo vredu)

Škoda je, ker ni več izziva za faktoriziranje števil. Zanimivo bi bilo vedeti, koliko je napredovala tehnologija lomljenja ključev:
RSA Factoring Challenge @ Wikipedia

fiction ::

Ni važna samo dolžina, ampak šteje tudi tehnika ;)

Konkretno je pri eliptičnih krivuljah (EC) dolžina ključa lahko bistveno krajša in nudi še vedno enak nivo varnosti. Za simetrično enkripcijo je pa 128 bitni AES ključ sploh veliko in je približno na nivoju 3072 bitov RSA. Oz. se popravljam za dogovor o simetričnem ključu, ki se uporablja, ker je vse skupaj precej hitreje, naj bi se, če je ključ dolg 128 bitov uporabljal 3072 bitni RSA oz. 256 biten EC. 2^128 je kar veliko za bruteforcati.

https://www.nsa.gov/business/programs/e...

Zgodovina sprememb…

  • spremenil: fiction ()

fiction ::

Aja, ko je že ravno govora o FREAK, bi bilo mogoče smiselno omeniti tudi SMACK (https://www.smacktls.com/). FREAK je namreč v bistvu samo ena (precej huda) varianta iz družine problemov napačne obravnave stanj. Vse skupaj je nastalo zaradi butastih predpisov, ki so kriptografijo štele kot orožje. Podobno toga je sedaj zakonodaja v zvezi z exploiti oz. o varnostnih ranljivostih nasploh. S tem se bo tudi kdo ustrelil v nogo.

Poldi112 ::

Ne gre, da ne bi trolali? Pa mimogrede, MS operacijski sistemi so tudi ranljivi...
-------------------------------------------------
Nočem foto avatarja. Hočem risan avatar.
-------------------------------------------------

Poldi112 ::

Saj je bolj varen. Samo to ne pomeni, da je brez lukenj, kot si razlagate nekateri, ki ste ali nepismeni, ali pa zgolj trolate.

Zdaj pa, a se lahko vrnemo na novico?
-------------------------------------------------
Nočem foto avatarja. Hočem risan avatar.
-------------------------------------------------

Zgodovina sprememb…

  • spremenil: Poldi112 ()

Poldi112 ::

Lahko zaradi mene rečeš tudi, da je luknja v protokolu, ampak če ti program dovoli uporabo šibkih ključev je to definitivno napaka.

Plus da ti ne ugibajo gesla, ampak ključ...
-------------------------------------------------
Nočem foto avatarja. Hočem risan avatar.
-------------------------------------------------

Zgodovina sprememb…

  • spremenil: Poldi112 ()

TESKAn ::

Ce je dovoljenje uporabe sibkih kljucev "by design", potem to ni krivda kode, ki konec koncev dela tocno to, kar se je od nje hotelo.
Uf! Uf! Je rekel Vinetou in se skril za skalo, ki jo je prav v ta namen nosil s seboj.

Poldi112 ::

To se je hotelo takrat, ko se je delal prehod. Da to dela še vedno je definitivno krivda kode. Če ne bi bila, je ne bi popravljali...
-------------------------------------------------
Nočem foto avatarja. Hočem risan avatar.
-------------------------------------------------

sisemen ::

Poldi112 je izjavil:

To se je hotelo takrat, ko se je delal prehod. Da to dela še vedno je definitivno krivda kode. Če ne bi bila, je ne bi popravljali...


No samo da je zdaj varna. Do naslednjega pretresa. Dam vam dva tedna max.

Zgodovina sprememb…

  • predlagalo izbris: radiokills ()

arjan_t ::

sisemen je izjavil:

Poldi112 je izjavil:

To se je hotelo takrat, ko se je delal prehod. Da to dela še vedno je definitivno krivda kode. Če ne bi bila, je ne bi popravljali...


No samo da je zdaj varna. Do naslednjega pretresa. Dam vam dva tedna max.


NSA backdoor v zaprti kodi ali varnostna luknja v odprti, kaj izberes?

Zgodovina sprememb…

  • spremenil: arjan_t ()

vostok_1 ::

Varnostna luknja v odprti. Ker vem, da se bo kmalu zakrpala. Medtem ko backdoor je bil tam namenoma inštaliran.

Mr.B ::

vostok_1,
a to lahko trdiš na podlagi splošnih dejstev, ali izkušenj na terenu...
Ignoranca JS, da poskrbi za lastno pokojnino,
je neodgovorna. Ampak sej veste jamrati po toči je...

MrStein ::

Glede na to, da je izvorna koda že pokrpana dva meseca, kdaj pride fix na dejanske naprave?
(oziroma: kako še ni? leaving FOSS debate aside)
Teštiram če delaž - umlaut dela: ä ?

Poldi112 ::

Takrat ko boš update-al?
-------------------------------------------------
Nočem foto avatarja. Hočem risan avatar.
-------------------------------------------------

MrStein ::

Ne.
Teštiram če delaž - umlaut dela: ä ?

Poldi112 ::

Potem se pač pritoži skrbniku tvojega sistema. Moj je imel patch hitro zunaj.
-------------------------------------------------
Nočem foto avatarja. Hočem risan avatar.
-------------------------------------------------

MrStein ::

Zanimivo, vsi so že popečali, razen največje skupine uporabnikov. (niti najavljenega patch-a ni)
In vse tiho je bilo.

PS: Eh, vemo kako je s statistikami... sem uporabil prvo (by Gartner) ki je zgledala normalno.
Govora je o Android uporabnikih.
Teštiram če delaž - umlaut dela: ä ?

Zgodovina sprememb…

  • spremenil: MrStein ()

Poldi112 ::

In kako točno je to problem Linux-a? Kaj je tu sploh omembe vredno? Da niso vsi proizvajalci agilni s popravki? A ni tako že od pamtiveka? Ali je to spet ena velika zarota? :)
-------------------------------------------------
Nočem foto avatarja. Hočem risan avatar.
-------------------------------------------------

Zgodovina sprememb…

  • predlagal izbris: MrStein ()

Isotropic ::

da bo leto linuxa šele naslednje leto.

a kdo sicer ve, kakšno šanso je baje zamudil linux kot desktop OS par let nazaj? mogoče kot web/ openoffice replacement za nezahtevne uporabnike?

Zgodovina sprememb…



Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Kritična ranljivost v OpenSSL bi lahko omogočala krajo strežniških zasebnih ključev (strani: 1 2 )

Oddelek: Novice / Varnost
7911765 (5414) Isotropic
»

LibreSSL za zdaj še nevaren

Oddelek: Novice / Varnost
174321 (2935) AndrejO
»

Iz OpenSSL tudi BoringSSL

Oddelek: Novice / Varnost
154837 (3160) Looooooka
»

Napad na AES v virtualiziranih okoljih

Oddelek: Novice / Varnost
193290 (2099) Matthai
»

Odkrita resna varnostna pomankljivost v Debianovem naključnem generatorju števil za O

Oddelek: Novice / Varnost
485908 (2498) Matthai

Več podobnih tem