stringtranslate.com

Logjam (компьютерная безопасность)

Logjamуязвимость безопасности в системах, использующих обмен ключами Диффи–Хеллмана с тем же простым числом. Она была обнаружена группой компьютерных ученых и публично сообщена 20 мая 2015 года. [1] Первооткрыватели смогли продемонстрировать свою атаку на 512-битных ( экспортного класса США ) системах DH. Они подсчитали, что злоумышленник государственного уровня мог бы сделать это для 1024-битных систем, которые тогда широко использовались, тем самым позволяя расшифровать значительную часть интернет-трафика. Они рекомендовали обновиться как минимум до 2048 бит для общих простых систем. [2] [3] [4]

Подробности

Обмен ключами Диффи–Хеллмана зависит от предполагаемой сложности решения задачи дискретного логарифма . Авторы воспользовались тем фактом, что алгоритм решета числового поля , который, как правило, является наиболее эффективным методом нахождения дискретных логарифмов, состоит из четырех больших вычислительных шагов, из которых первые три зависят только от порядка группы G, а не от конкретного числа, конечный логарифм которого требуется. Если результаты первых трех шагов предварительно вычислены и сохранены, их можно использовать для решения любой задачи дискретного логарифма для этой простой группы за относительно короткое время. Эта уязвимость была известна еще в 1992 году. [5] Оказывается, большая часть интернет-трафика использует только одну из нескольких групп, которые имеют порядок 1024 бит или меньше.

Один из подходов, реализованных этой уязвимостью, который продемонстрировали авторы, заключался в использовании сетевого злоумышленника типа «человек посередине» для понижения уровня соединения Transport Layer Security (TLS) до использования 512-битной криптографии экспортного уровня DH , что позволяло им читать обмениваемые данные и вводить данные в соединение. Это влияет на протоколы HTTPS , SMTPS и IMAPS , среди прочих. Авторам потребовалось несколько тысяч ядер ЦП в течение недели для предварительного вычисления данных для одного 512-битного простого числа. Однако после этого отдельные логарифмы можно было решить примерно за минуту с помощью двух 18-ядерных ЦП Intel Xeon . [6] Его идентификатор CVE — CVE - 2015-4000. [7]

Авторы также оценили осуществимость атаки против 1024-битных простых чисел Диффи-Хеллмана. По замыслу, многие реализации Диффи-Хеллмана используют одно и то же предварительно сгенерированное простое число для своей области. Это считалось безопасным, поскольку задача дискретного логарифма все еще считается сложной для достаточно больших простых чисел, даже если группа известна и используется повторно. Исследователи подсчитали стоимость создания предварительных вычислений logjam для одного 1024-битного простого числа в сотни миллионов долларов США и отметили, что это вполне соответствует диапазону 10,5 млрд долларов США в 2012 финансовом году в рамках Консолидированной криптологической программы США (которая включает АНБ ). Из-за повторного использования простых чисел генерация предварительных вычислений только для одного простого числа взломает две трети VPN и четверть всех серверов SSH по всему миру. Исследователи отметили, что эта атака соответствует утверждениям в просочившихся документах АНБ о том, что АНБ способно взломать большую часть современной криптографии. Они рекомендуют использовать простые числа длиной 2048 бит или более в качестве защиты или перейти на эллиптический кривые Диффи-Хеллмана (ECDH). [1] Однако утверждения о практических последствиях атаки были оспорены исследователями безопасности Эялом Роненом и Ади Шамиром в их статье «Критический обзор несовершенной прямой секретности». [8]

Ответы

Смотрите также

Ссылки

  1. ^ ab "The Logjam Attack". weakdh.org . 2015-05-20. Архивировано из оригинала 2021-03-29 . Получено 2015-05-20 .
  2. ^ Дэн Гудин (2015-05-20). «HTTPS-паразитическая атака угрожает десяткам тысяч веб- и почтовых серверов». Ars Technica . Архивировано из оригинала 2017-05-19 . Получено 2022-04-30 .
  3. ^ Чарли Осборн (2015-05-20). «Уязвимость безопасности Logjam оставляет уязвимыми основные веб-сайты HTTPS и почтовые серверы». ZDNet . Архивировано из оригинала 2015-05-23 . Получено 2015-05-23 .
  4. ^ Валентино-ДеВрис, Дженнифер (2015-05-19). "Новая компьютерная ошибка раскрывает широкие недостатки безопасности" . The Wall Street Journal . Архивировано из оригинала 2022-02-24 . Получено 2022-04-30 .
  5. ^ Уитфилд Диффи, Пол К. Ван Ооршот и Майкл Дж. Винер «Аутентификация и аутентифицированные обмены ключами», в Designs, Codes and Cryptography, 2, 107–125 (1992), Раздел 5.2, доступно как Приложение B к Методу и устройству для повышения безопасности программного обеспечения и распространения программного обеспечения : «Если q выбрано правильно, извлечение логарифмов по модулю q требует предварительного вычисления, пропорционального , хотя после этого отдельные логарифмы могут быть вычислены довольно быстро».
  6. ^ Адриан, Дэвид; Бхаргаван, Картикеян; Дурумерик, Закир; Годри, Пьеррик; Грин, Мэтью; Халдерман, Дж. Алекс; Хенингер, Надя ; Спринголл, Дрю; Томе, Эммануэль; Валента, Люк; ВандерСлут, Бенджамин; Вустров, Эрик; Занелла-Бегелин, Сантьяго; Циммерман, Пол (октябрь 2015 г.). «Несовершенная прямая секретность: как протокол Диффи-Хеллмана терпит неудачу на практике» (PDF) . Архивировано (PDF) из оригинала 27.02.2020 . Получено 23.05.2015 .Первоначально опубликовано в Proc. 22nd Conf. on Computers and Communications Security (CCS). Переиздано, CACM, январь 2019 г., стр. 106–114, с технической перспективой, «Присоединение обмена криптографическими ключами с предварительным вычислением», Дэн Боне, стр. 105.
  7. ^ "CVE-2015-4000". Список распространенных уязвимостей и рисков . Корпорация MITRE. 2015-05-15. Архивировано из оригинала 2015-08-11 . Получено 2015-06-16 .
    «Протокол TLS 1.2 и более ранних версий, когда набор шифров DHE_EXPORT включен на сервере, но не на клиенте, не передает должным образом выбор DHE_EXPORT, что позволяет злоумышленникам по принципу «человек посередине» проводить атаки по понижению уровня шифра, переписывая ClientHello с заменой DHE на DHE_EXPORT, а затем переписывая ServerHello с заменой DHE_EXPORT на DHE, что также известно как проблема «Logjam»».
  8. ^ Ронен, Эяль; Шамир, Ади (октябрь 2015 г.). "Критический обзор несовершенной прямой секретности" (PDF) . Архивировано (PDF) из оригинала 2021-12-11 . Получено 2022-04-30 .
  9. ^ "Microsoft Security Bulletin MS15-055. Уязвимость в Schannel может привести к раскрытию информации (3061518)". Корпорация Microsoft . 2015-05-12. Архивировано из оригинала 2015-07-03 . Получено 2015-07-02 . Это обновление безопасности устраняет уязвимость в Microsoft Windows, которая облегчает эксплуатацию публично раскрытой техники Logjam, [...] Обновление безопасности устраняет уязвимость, увеличивая минимально допустимую длину ключа DHE до 1024 бит.
  10. ^ Перри, Майк (2015-06-16). "Tor Browser 4.5.2 выпущен". Проект Tor. Архивировано из оригинала 20-06-2015 . Получено 20-06-2015 .
  11. ^ «О безопасности содержимого OS X Yosemite v10.10.4 и обновлении безопасности 2015-005». Apple Inc. 23 января 2017 г. Эта проблема, также известная как Logjam, [...] была решена путем увеличения минимального размера по умолчанию, разрешенного для эфемерных ключей DH, до 768 бит.
  12. ^ «О безопасности содержимого iOS 8.4». Apple Inc. 18 августа 2020 г. Эта проблема, также известная как Logjam, [...] была решена путем увеличения минимально допустимого размера по умолчанию для эфемерных ключей DH до 768 бит.
  13. ^ "Mozilla Foundation Security Advisory 2015-70 - NSS принимает ключи DHE экспортной длины с обычными наборами шифров DHE". Mozilla . Архивировано из оригинала 2015-07-07 . Получено 2015-07-04 . ИСПРАВЛЕНО В Firefox 39.0 [...] Эта атака [...] известна как "Logjam Attack". Эта проблема была исправлена ​​в версии NSS 3.19.1 путем ограничения нижней стойкости поддерживаемых ключей DHE для использования простых чисел длиной 1023 бита.
  14. ^ Zhi, Vivian (2015-09-01). "Обновления стабильного канала". Chrome Releases . Архивировано из оригинала 2015-10-16 . Получено 2015-11-06 .

Внешние ссылки