r   e   k   l   a   m   a
r   e   k   l   a   m   a

LogJam: restrykcje eksportowe USA pozwalają popsuć szyfrowanie na setkach tysięcy serwerów

Strona główna AktualnościOPROGRAMOWANIE

Ponownie amerykańskie restrykcje eksportowe wobec rozwiązań kryptograficznych sprowadziły nam wszystkim na głowę poważne kłopoty. Dziesiątki tysięcy internetowych witryn, serwerów pocztowych i innych usług sieciowych okazują się być podatne na atak LogJam, który pozwala nie tylko na podsłuchiwanie, ale i modyfikowanie komunikacji po HTTPS. Przy takiej skali problemu niektórzy otwarcie pytają – czy aby ta podatność nie jest wynikiem celowych działań cyberszpiegów z NSA?

To jedno z największych co do swej skali zagrożeń dla bezpieczeństwa Internetu. Jego odkrywcy – zespół francuskich i amerykańskich naukowców – sugerują, że dotknięte jest nim przynajmniej 8,4% spośród miliona najpopularniejszych stron internetowych i jeszcze większy odsetek serwerów pocztowych, nawet 14,8% korzystających z StartTLS, 8,9% obsługujących securePOP3 i 8,4% wspierających IMAP. W praktyce są to wszystkie serwery wspierające protokół wymiany kluczy Diffie-Hellmana, by ustanowić szyfrowane połączenia po protokole TLS. Co więcej, jak wynika z dalszych badań, na LogJam podatnych jest 575 usług internetowych działających w chmurach.

W latach 90 administracja Billa Clintona doprowadziła do narzucenia amerykańskim firmom ograniczeń eksportowych, w praktyce uniemożliwiając im stosowanie w swoich produktach odpowiednio silnej kryptografii, tak by służby wywiadu nie miały specjalnych problemów z przełamaniem zabezpieczeń stosowanych przez inne kraje. Wtedy to rozwiązania korzystające z wymiany kluczy Diffiego-Hellmana doczekały się furtki, pozwalającej osłabić szyfrowanie do poziomu 512-bitowego klucza, z łatwością łamanego siłowym atakiem na superkomputerach dostępnych NSA. Warto podkreślić, że sam protokół Diffie-Hellmana miał w założeniu zapewnić dodatkowe bezpieczeństwo, pozwalając na korzystanie z jednorazowych kluczy zabezpieczających sesję klient-serwer. Oznaczało to, że napastnik musiał włożyć znacznie większy wysiłek w podsłuch, uzyskując klucze za każdym razem gdy się zmieniły.

r   e   k   l   a   m   a

Zapewne niektórzy Czytelnicy wspomną w tym momencie atak FREAK, który zaprezentowany został w marcu tego roku. On też pozwalał na wymuszenie szyfrowania za pomocą słabego szyfru RSA z 512-bitowym kluczem. Tym razem jednak chodzi o błąd w samym protokole TLS, a nie jego konkretnych implementacjach. W artykule pt. Imperfect Forward Secrecy: How Diffie-Hellman Fails in Practice badacze dogłębnie opisują metodę ataku, jego konsekwencje i możliwości obrony. W uproszczeniu można powiedzieć, że wszystkie serwery wspierające 512-bitowe klucze RSA mogą być zmuszone do przejścia na takie szyfrowanie, bez względu na to, że normalnie obsługują silniejsze metody szyfrowania. Po ataku i serwer i klient wciąż są przekonane, że korzystają z silnego szyfrowania.

By skutecznie zaatakować podatne połączenia, napastnicy wykorzystują algorytm ogólnego sita ciała liczbowego (GNFS) dla wstępnego wyliczenia możliwych rozkładów klucza publicznego. Dysponując odpowiednio dużą bazą obliczeń, mogą następnie szybko wyliczyć logarytmy dyskretne dla całej grupy, uzyskując wykładniki z klucza prywatnego. Koszt takiej operacji jest znacznie niższy, niż próba rozłożenia na czynniki pierwsze liczb RSA. Dysponując typowym dla uniwersytetów sprzętem, badacze potrzebowali około dwóch tygodni, by zgromadzić dane potrzebne do skutecznego zaatakowania dwóch najczęściej stosowanych liczb pierwszych wykorzystywanych do negocjowania efemerycznych (jednorazowych) kluczy. Uzyskane zbiory danych pozwoliły im skutecznie zaatakować 92% witryn wspierających słabe, 512-bitowe klucze zgodne z amerykańskim prawem.

Odkrywcy zagrożenia piszą, że ilość pracy koniecznej do zaatakowania 768- i 1024-bitowych liczb pierwszych jest o rzędy wielkości większa od tego, co potrzebne jest dla liczb 512-bitowych, jednak nie jest to coś, co byłoby poza zasięgiem napastnika dysponującego zasobami NSA. To właśnie może być technika, za pomocą której NSA rutynowo łamie miliony zaszyfrowanych połączeń, nie tylko HTTPS, ale też SSH i VPN. O takich właśnie praktykach wspominano w dokumentach ujawnionych przez Edwarda Snowdena, jednak nikt dotąd nie wiedział, jak to jest możliwe.

Jak żyć w świecie ze Stanami Zjednoczonymi?

Autorzy odkrycia radzą obecnie wszystkim administratorom serwerów wyłączyć wsparcie dla szyfrów dopuszczonych w zestawie DHE_EXPORT, one to bowiem umożliwiają osłabienie wymiany Diffie-Hellmana. Informacje jak to zrobić dla większości popularnych serwerów (w tym Apache HTTP, nginx, Microsoft IIS, Postfix i Sendmail) zostały przedstawione w szczegółowym poradniku. Należy też przejść na nowy system wymiany kluczy, korzystający z krzywych eliptycznych, znacznie odporniejszy na ataki wykorzystujące prekomputację. Należy też wygenerować własne, przynajmniej 2048-bitowe grupy Diffie-Hellmana, korzystające z „bezpiecznych” liczb pierwszych, dla każdego swojego serwera oddzielnie. Poprawność konfiguracji serwerów można sprawdzić np. za pomocą darmowego narzędzia Qualys SSL Server Test.

Jeśli chodzi o przeglądarki, to łatki są już w drodze – pierwszy załatany został Internet Explorer, za chwilę poprawki trafią też do Firefoksa, Chrome i Safari. Przeglądarki będą odrzucały szyfrowane połączenia, które korzystają z kluczy słabszych niż 1024-bitowe. Jak sprawa wygląda z klientami poczty jeszcze nie wiadomo.

A dlaczego kolejna „barwna” nazwa podatności, LogJam? Odkrywcy tłumaczą, że chodziło o zwrócenie uwagi na logarytmy dyskretne (log) wykorzystywane do łamania słabych kluczy, ale też historycznych zaległości, „zmurszałego drewna”, które nagromadziło się we współczesnych kryptosystemach („log” to po angielsku „kłoda”, zaś „jam” to „zator”).

© dobreprogramy
r   e   k   l   a   m   a
r   e   k   l   a   m   a

Komentarze

r   e   k   l   a   m   a
r   e   k   l   a   m   a
Czy wiesz, że używamy cookies (ciasteczek)? Dowiedz się więcej o celu ich używania i zmianach ustawień.
Korzystając ze strony i asystenta pobierania wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki.