Новая техника атаки для выявления содержимого отдельных блоков SSL/TLS-соединений

7 февраля 2013 года

В различных реализациях протоколов SSL, TLS и DTLS, в том числе в OpenSSL, GnuTLS, PolarSSL, OpenJDK, CyaSSL, MatrixSSL, yaSSL и NSS, обнаружена возможность совершения атаки, позволяющей в процессе длительного перебора восстановить содержимое предсказуемых отрывков контента, передаваемого внутри отдельных блоков защищённого соединения. В целом атака достаточно труднореализуема, но интересна своим подходом к решению задачи.

Суть метода сводится к тому, что вначале осуществляется перехват зашифрованных блоков, после чего, используя известные проблемы TLS-режима CBC (Cipher Block Chaining), атакующий заменяет несколько последних блоков на подставные блоки, отправляет изменённую перехваченную последовательность и измеряет время реакции сервера. Проблемные реализации SSL отличаются тем, что переданный атакующим зашифрованный блок обрабатывается заметно быстрее, если он заполнен корректно (корректное padding-заполнение, используемое для выравнивания зашифрованного блока по границе 8 или 16 байт, определяется быстрее). TLS после каждой неудачи разрывает соединение и требует создания новой сессии.

Таким образом атакующий может организовать отправку большого числа пробных TLS-сообщений, накапливая статистику о времени ответа сервера на каждый запрос. В конечном счёте с определённой вероятностью можно понять, что попытка подбора оказались успешной. С практической стороны атака может применяться для восстановления содержимого значения аутентификационной Сookie или других небольших предсказуемых данных.

Для успеха подбора аутентификационной Сookie типового сайта требуется отправка колоссального числа пробных запросов (нужно создать порядка 223 сессий), что придаёт атаке в основном умозрительный характер. Тем не менее, чем более предсказуемо содержимое, тем меньше попыток требуется, например, если используется BASE64-кодирование, то число попыток уменьшается до 219, а если содержимое байта в последних двух позициях блока заранее известно - 213. Для увеличения эффективности атаки до 213 также предлагается использовать элементы несколько лет назад представленной техники BEAST, основанной на использовании JavaScript-кода в браузере жертвы для генерации блоков с заранее известным содержимым.

В настоящее время проблема уже устранена в OpenSSL (Архивная копия от 14 августа 2015 на Wayback Machine) (1.0.1d, 1.0.0k и 0.9.8y), GnuTLS (3.1.7, 3.0.28 и 2.12.23), PolarSSL 1.2.5 (Архивная копия от 18 июля 2014 на Wayback Machine), CyaSSL 2.5.0, MatrixSSL 3.4.1 и в браузере Opera 12.13.