LogJam: restrykcje eksportowe USA pozwalają popsuć szyfrowanie na setkach tysięcy serwerów

To jedno z największych co do swej skali zagrożeń dlabezpieczeństwa Internetu. Jego odkrywcy – zespół francuskich iamerykańskich naukowców – sugerują, że dotknięte jest nimprzynajmniej 8,4% spośród miliona najpopularniejszych stroninternetowych i jeszcze większy odsetek serwerów pocztowych, nawet14,8% korzystających z StartTLS, 8,9% obsługujących securePOP3 i8,4% wspierających IMAP. W praktyce są to wszystkie serwerywspierające protokół wymiany kluczy Diffie-Hellmana, by ustanowićszyfrowane połączenia po protokole TLS. Co więcej, jak wynika zdalszych badań, na LogJam podatnych jest 575 usług internetowychdziałających w chmurach.

W latach 90 administracja Billa Clintona doprowadziła donarzucenia amerykańskim firmom ograniczeń eksportowych, w praktyceuniemożliwiając im stosowanie w swoich produktach odpowiedniosilnej kryptografii, tak by służby wywiadu nie miały specjalnychproblemów z przełamaniem zabezpieczeń stosowanych przez innekraje. Wtedy to rozwiązania korzystające z wymiany kluczyDiffiego-Hellmana doczekały się furtki, pozwalającej osłabićszyfrowanie do poziomu 512-bitowego klucza, z łatwością łamanegosiłowym atakiem na superkomputerach dostępnych NSA. Wartopodkreślić, że sam protokół Diffie-Hellmana miał w założeniuzapewnić dodatkowe bezpieczeństwo, pozwalając na korzystanie zjednorazowych kluczy zabezpieczających sesję klient-serwer.Oznaczało to, że napastnik musiał włożyć znacznie większywysiłek w podsłuch, uzyskując klucze za każdym razem gdy sięzmieniły.

Zapewne niektórzy Czytelnicy wspomną w tym momencie atakFREAK, który zaprezentowany został w marcu tego roku. On teżpozwalał na wymuszenie szyfrowania za pomocą słabego szyfru RSA z512-bitowym kluczem. Tym razem jednak chodzi o błąd w samymprotokole TLS, a nie jego konkretnych implementacjach. W artykulept. *Imperfect Forward Secrecy: How Diffie-Hellman Fails inPractice *badacze dogłębnieopisują metodę ataku, jego konsekwencje i możliwości obrony. Wuproszczeniu można powiedzieć, że wszystkie serwery wspierające512-bitowe klucze RSA mogą być zmuszone do przejścia na takieszyfrowanie, bez względu na to, że normalnie obsługują silniejszemetody szyfrowania. Po ataku i serwer i klient wciąż sąprzekonane, że korzystają z silnego szyfrowania.

By skutecznie zaatakować podatnepołączenia, napastnicy wykorzystują algorytm ogólnego sita ciałaliczbowego (GNFS) dla wstępnego wyliczenia możliwych rozkładówklucza publicznego. Dysponując odpowiednio dużą bazą obliczeń,mogą następnie szybko wyliczyć logarytmy dyskretne dla całejgrupy, uzyskując wykładniki z klucza prywatnego. Koszt takiejoperacji jest znacznie niższy, niż próba rozłożenia na czynnikipierwsze liczb RSA. Dysponując typowym dla uniwersytetów sprzętem,badacze potrzebowali około dwóch tygodni, by zgromadzić danepotrzebne do skutecznego zaatakowania dwóch najczęściejstosowanych liczb pierwszych wykorzystywanych do negocjowaniaefemerycznych (jednorazowych) kluczy. Uzyskane zbiory danychpozwoliły im skutecznie zaatakować 92% witryn wspierających słabe,512-bitowe klucze zgodne z amerykańskim prawem.

Odkrywcy zagrożenia piszą, żeilość pracy koniecznej do zaatakowania 768- i 1024-bitowych liczbpierwszych jest o rzędy wielkości większa od tego, co potrzebnejest dla liczb 512-bitowych, jednak nie jest to coś, co byłoby pozazasięgiem napastnika dysponującego zasobami NSA. To właśnie możebyć technika, za pomocą której NSA rutynowo łamie milionyzaszyfrowanych połączeń, nie tylko HTTPS, ale też SSH i VPN. Otakich właśnie praktykach wspominano w dokumentach ujawnionychprzez Edwarda Snowdena, jednak nikt dotąd nie wiedział, jak to jestmożliwe.

Autorzy odkrycia radzą obecnie wszystkim administratorom serwerówwyłączyć wsparcie dla szyfrów dopuszczonych w zestawieDHE_EXPORT, one to bowiem umożliwiają osłabienie wymianyDiffie-Hellmana. Informacje jak to zrobić dla większościpopularnych serwerów (w tym Apache HTTP, nginx, Microsoft IIS,Postfix i Sendmail) zostały przedstawione w szczegółowymporadniku. Należy też przejść na nowy system wymiany kluczy,korzystający z krzywych eliptycznych, znacznie odporniejszy na atakiwykorzystujące prekomputację. Należy też wygenerować własne,przynajmniej 2048-bitowe grupy Diffie-Hellmana, korzystające z„bezpiecznych” liczb pierwszych, dla każdego swojego serweraoddzielnie. Poprawność konfiguracji serwerów można sprawdzić np.za pomocą darmowego narzędzia QualysSSL Server Test.

Jeśli chodzi o przeglądarki, to łatki są już w drodze –pierwszy załatany został Internet Explorer, za chwilę poprawkitrafią też do Firefoksa, Chrome i Safari. Przeglądarki będąodrzucały szyfrowane połączenia, które korzystają z kluczysłabszych niż 1024-bitowe. Jak sprawa wygląda z klientami pocztyjeszcze nie wiadomo.

A dlaczego kolejna „barwna” nazwa podatności, LogJam?Odkrywcy tłumaczą, że chodziło o zwrócenie uwagi na logarytmydyskretne (log) wykorzystywane do łamania słabych kluczy, ale teżhistorycznych zaległości, „zmurszałego drewna”, którenagromadziło się we współczesnych kryptosystemach („log” topo angielsku „kłoda”, zaś „jam” to „zator”).