[[343456]]

 Raccoon 攻擊是TLS規(guī)范中的時序漏洞，影響HTTPS 和其他基于TLS 和 SSL 的服務?；?TLS 的這些協(xié)議使得用戶可以在瀏覽web網(wǎng)站、使用郵箱、發(fā)送即時消息時沒有第三方可以讀取通信的內容。

Raccoon攻擊使得攻擊者可以在特定情況下打破TLS 加密，讀取敏感通信內容。該漏洞是非常難以利用的，需要非常精確的時序測量和特定的服務器配置才可以利用。

攻擊概述

Diffie-Hellman (DH)密鑰交換是 TLS 連接中交換密鑰的方法。通過使用DH 交換，TLS 通信的雙方可以隨機生成密鑰并計算公鑰：ga mod p 和 gb mod p。這些密鑰會在TLS KeyExchange（密鑰交換）消息中發(fā)送。一旦雙方接收到密鑰，客戶端和服務器都會計算一個共享密鑰gab mod p（參數(shù)密鑰），用專門的密鑰派生函數(shù)來派生所有的 TLS 會話密鑰。

Raccoon攻擊利用了TLS 規(guī)范中的側信道，TLS 1.2及之前版本規(guī)定premaster 密鑰中的所有零開始的零字節(jié)在進一步計算之前都需要剝離。這就會導致premaster 密鑰用作密鑰派生函數(shù)的輸入，而這是基于不同時序配置的哈希函數(shù)，精確的時序策略可能會使得攻擊者可以構造一個TLS 服務器的預言機（Oracle）。Oracle可以告訴攻擊者計算的premaster 密鑰是否以0 開頭。比如，攻擊者可以監(jiān)聽客戶端發(fā)送的ga，重發(fā)給服務器，確定最終的premaster secret是否是以0 開頭的。

從premaster 密鑰中得到 1個字節(jié)并不能幫助攻擊者。但是假設攻擊者攔截了含有值ga 的ClientKeyExchange （密鑰交換）消息，那么攻擊者就可以構造與ga 相關的值，并在TLS 握手中發(fā)送給服務器。具體來說，攻擊者可以構造值gri*ga，可以生成premaster secret gri*b*gab。根據(jù)服務器的時序行為，攻擊者可以找出以0 開頭的premaster secret。

FAQ

如果我是管理員，應該如何修復該漏洞？

Raccoon 是一個復雜的時序攻擊，非常難以利用，而且還需要解密現(xiàn)實世界的TLS 會話。

攻擊者可以獲得什么？

攻擊者利用Raccoon 攻擊可以解密用戶和服務器之間的會話，包括但不限于用戶名、密碼、信用卡號碼、郵件、即時消息、敏感文件等等。

攻擊影響

攻擊的目標是 TLS 1.2及之前版本的Diffie-Hellman 密鑰交換。成功發(fā)起攻擊需要2個先決條件：

· 服務器重用TLS 握手中的公共 DH 密鑰。比如，服務器篇日志為使用靜態(tài)TLS -DH密文套件，或服務器使用TLS-DHE 并為多個連接重用臨時密鑰。

· 攻擊者需要執(zhí)行精確的時序測量，這樣才能找出DH 共享密鑰的第一個字節(jié)是否為0。

Raccoon攻擊可以竊取私鑰嗎？

不可以。必須對每個要攻擊的連接單獨發(fā)起攻擊。

TLS 1.3受影響嗎？

不受影響。在TLS 1.3中，DHE 密鑰套件中以0開頭的字節(jié)和密鑰都是不重用的。但是存在TLS 1.3變種允許密鑰重用，比如ETS和 eTLS。如果這些變種中重用了臨時密鑰，就會引發(fā)微架構的側信道，攻擊者就可能成功利用。因此，研究人員建議不要使用這些變種。

廠商回應

包括微軟在內的多個廠商都對該漏洞分配了CVE編號。

· F5分配的CVE編號為 CVE-2020-5929，許多F5 產(chǎn)品都允許執(zhí)行該攻擊的特定變種，無需精確的時序策略。此外，F(xiàn)5 推薦用戶不用重用臨時密鑰。

· OpenSSL 分配的CVE編號為 CVE-2020-1968。OpenSSL從1.0.2f 版本開始就默認使用新的DH 密鑰了，因此攻擊主要影響OpenSSL 1.0.2 之前版本。

· Mozilla 分配的CVE編號為 CVE-2020-12413。通過在Firefox中禁用DH 和DHE 密文套件可以解決該問題。

微軟分配的CVE編號為 CVE-2020-1596。因為BearSSL 和 BoringSSL不支持 DH(E) 密文套件因此不受該漏洞的影響。

更多參見：https://raccoon-attack.com/#paper

完整分析論文下載地址：https://raccoon-attack.com/RacoonAttack.pdf

本文翻譯自：https://raccoon-attack.com/如若轉載，請注明原文地址：