Puncte:1

Utilizarea parametrilor DH personalizați pentru decriptarea TLS

drapel mc

Există mai multe moduri de a decripta TLS, de ex. într-un mediu de întreprindere. Nu am văzut folosirea parametrilor DH „backdoored” menționați undeva, deși, după înțelegerea mea, ar trebui să funcționeze în principiu: Cum permite un modul non-prime pentru Diffie-Hellman o ușă din spate?

Ar fi posibil ca un procesor desktop recent să decripteze traficul în (aproape) în timp real? Depinde de criptare sau versiunea TLS? Există avantaje/dezavantaje pentru utilizarea acestei opțiuni? Bănuiesc că furtul parametrilor personalizați este similar cu furtul privatului și pierdeți PFS?

dave_thompson_085 avatar
drapel cn
[Cercetătorii Logjam în 2015](https://weakdh.org/) au găsit unele site-uri care foloseau DH de 512 biți (pe care l-au spart) chiar și atunci când nu au fost retrogradați intenționat, și multe altele folosind 768 de biți (pe care l-au considerat rupt la modest). cost). Desigur, acestea nu au fost ascunse așa cum este în mod normal o „ușă din spate”, ci doar au trecut neobservate de marea majoritate a oamenilor (și administratorilor) cărora nu le pasă de securitate decât după ce au fost compromisi.
Puncte:1
drapel my

Ar fi posibil ca un procesor desktop recent să decripteze traficul în (aproape) în timp real?

Dacă întrebați în mod special despre grupurile DH backdoored, ei bine, dacă utilizați o versiune de TLS care permite serverului [1] să propună un grup DH nestandard (și clientul ar accepta acel grup; cei sănătoși nu ar accepta) , atunci da, ar putea propune un grup extrem de slab (de exemplu unul pentru care $p-1$ nu are factori mari), iar acest lucru ar face ușoară recuperarea secretului partajat (și, prin urmare, a cheilor de trafic).

Astfel de „grupuri DH slabe” nu sunt posibile dacă faceți o versiune corectă a TLS (sau clientul refuză să accepte unele opțiuni destul de ciudate); pe de altă parte, dacă faceți DH, puteți solicita serverului să folosească o valoare privată DH ghicibilă (de exemplu, una care este o funcție a cookie-urilor hello server); atacatorul ar putea folosi asta pentru a asculta.

Pe de altă parte, dacă deții controlul serverului, de ce să te deranjezi? Serverul are cheile de trafic în mână; dacă adversarul controlează asta, ar fi și mai ușor ca serverul să dea cheile de sesiune oricui ascultă.

[1]: I gândi este serverul care propune grupul DH în TLS 1.2; dacă nu, schimbați doar client și server în argumentul de mai sus.

dave_thompson_085 avatar
drapel cn
Pentru TLS1.0-1.2 _fără_ RFC7919, _dacă_ clientul oferă și serverul acceptă un ciphersuite folosind (FF)DHE, serverul alege grupul și clientul trebuie fie să se conformeze, fie să renunțe la strângere de mână. Cu 7919 clientul poate solicita grupuri standardizate (în stil Oakley), dar serverul poate alege în continuare altfel, caz în care clientul probabil renunță. Nu știu nimic care să implementeze 7919 fără a implementa și TLS1.3, care nu numai că XXDHE „redirecționează” (clientul oferă partajarea cheii către server), dar este de preferat din alte motive.
Puncte:0
drapel cn

În protocolul TLS, serverul decide asupra grupului pentru schimbul de chei: grup Diffie-Hellman cu câmp finit sau curbă eliptică. Serverul trebuie să aleagă în constrângerile date de client. În TLS 1.3, grupurile sunt identificate dintr-o mică listă de grupuri standard. Versiunile anterioare ale protocolului permit serverului să descrie un grup personalizat. Pentru curbele eliptice, acest lucru este rar acceptat: majoritatea software-ului acceptă doar curbe numite. Dar pentru Diffie-Hellman cu câmp finit, clientul constrânge în mod clasic doar dimensiunea grupului, iar serverul trimite valoarea numerică a parametrilor. În timp ce majoritatea software-ului de astăzi acceptă extensia NamedGroup, majoritatea clienților vor accepta valori numerice pentru compatibilitate cu versiunea anterioară. Deci, un client poate fi păcălit să accepte parametrii FFDH care sunt backdoor.

Cu toate acestea, acest lucru este destul de irelevant ca o amenințare de securitate, deoarece server-ul alege parametrii. Dacă serverul dorește să compromită schimbul de chei, poate, de asemenea, să facă un schimb de chei perfect puternic și apoi să înregistreze secretul partajat undeva. Deci, pentru ca parametrii FFDH slabi să fie o problemă de securitate, trebuie să existe un model de securitate extrem de puțin probabil:

  • Serverul rulează cod backdoored (sau are o configurație backdoored) și nu puteți detecta dacă backdoorul a fost introdus.
  • Codul cu ușă în spate se află doar într-o mică parte a stivei TLS și sunteți încrezător că nu există nicio ușă în spate în altă parte care ar putea, de exemplu, să scurgă textul simplu sau secretul partajat direct.

Practic, FFDH cu ușă în spate în TLS poate fi doar serverul care își trage singur piciorul. Este irelevant pentru interceptarea traficului dintre alte gazde. Fie serverul este backdoor și nu aveți nevoie de el, fie serverul nu este backdoor și nu vă va ajuta la nimic.

poncho avatar
drapel my
De fapt, există un al treilea model de amenințare: cine a făcut serverul nu-și cunoștea criptografia și a selectat accidental parametri DH slabi.

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.