Логджем (компьютерная безопасность)

Logjam — это уязвимость безопасности в системах, использующих обмен ключами Диффи-Хеллмана с одним и тем же простым числом. Он был обнаружен группой ученых-компьютерщиков и обнародован 20 мая 2015 года. ^[1] Первооткрыватели смогли продемонстрировать свою атаку на 512-битные экспортного уровня США системы DH . По их оценкам, злоумышленник на уровне штата мог бы сделать это для 1024-битных систем, которые тогда широко использовались, что позволило бы расшифровать значительную часть интернет-трафика. Они рекомендовали выполнить обновление как минимум до 2048 бит для систем с общими числами. ^[2]^[3]^[4]

Подробности

Безопасность обмена ключами Диффи-Хеллмана зависит от предполагаемой сложности решения задачи дискретного логарифмирования . Авторы воспользовались тем, что алгоритм решета числового поля , который вообще является наиболее эффективным методом нахождения дискретных логарифмов, состоит из четырех больших вычислительных шагов, из которых первые три зависят только от порядка группы G, а не от конкретное число, конечный журнал которого требуется. Если результаты первых трех шагов предварительно вычислены и сохранены, их можно использовать для решения любой задачи дискретного логарифма для этой простой группы за относительно короткое время. Об этой уязвимости было известно еще в 1992 году. ^[5] Оказывается, большая часть интернет-трафика использует только одну из нескольких групп размером порядка 1024 бит или меньше.

Один из подходов, реализуемых этой уязвимостью, который продемонстрировали авторы, заключался в использовании сетевого злоумышленника «человек посередине» для понижения версии соединения Transport Layer Security (TLS) для использования 512-битной криптографии экспортного уровня DH , позволяющей им читать обмениваемые данные. и внедрить данные в соединение. Это влияет , среди прочего, на протоколы HTTPS , SMTPS и IMAPS . Авторам потребовалось несколько тысяч ядер ЦП в течение недели для предварительного вычисления данных для одного 512-битного простого числа. Однако как только это будет сделано, отдельные логарифмы можно будет решить примерно за минуту с помощью двух 18-ядерных процессоров Intel Xeon . ^[6] Его идентификатор CVE — CVE — 2015-4000 . ^[7]

Авторы также оценили возможность атаки на 1024-битные простые числа Диффи-Хеллмана. По замыслу многие реализации Диффи-Хеллмана используют одно и то же заранее сгенерированное простое число для своей области. Это считалось безопасным, поскольку задача дискретного логарифмирования по-прежнему считается сложной для достаточно больших простых чисел, даже если группа известна и используется повторно. Исследователи подсчитали стоимость создания предварительного вычисления затора для одного 1024-битного простого числа в сотни миллионов долларов США и отметили, что это находится в пределах диапазона Консолидированной криптологической программы США стоимостью 10,5 миллиардов долларов США на 2012 финансовый год (в которую входит АНБ ). Из-за повторного использования простых чисел создание предварительных вычислений всего лишь для одного простого числа приведет к поломке двух третей VPN и четверти всех SSH- серверов во всем мире. Исследователи отметили, что эта атака соответствует утверждениям в просочившихся документах АНБ о том, что АНБ способно взломать большую часть современной криптографии. Они рекомендуют использовать простые числа размером 2048 бит или более в качестве защиты или перейти к эллиптической кривой Диффи-Хеллмана (ECDH). ^[1] Однако утверждения о практических последствиях атаки были оспорены исследователями безопасности Эялем Роненом и Ади Шамиром в их статье «Критический обзор несовершенной прямой секретности». ^[8]

Ответы

12 мая 2015 года Microsoft выпустила патч для Internet Explorer . ^[9]
16 июня 2015 года проект Tor предоставил патч для Logjam для браузера Tor . ^[10]
30 июня 2015 года Apple выпустила патч для операционных систем OS X Yosemite и iOS 8 . ^[11]^[12]
30 июня 2015 года проект Mozilla выпустил исправление для браузера Firefox . ^[13]
1 сентября 2015 г. Google выпустила исправление для браузера Chrome . ^[14]
6 декабря 2017 г. IETF опубликовал RFC 8270 называется «Увеличить минимальный рекомендуемый размер модуля Диффи-Хеллмана Secure Shell до 2048 бит».

См. также

Ссылки

^ Jump up to: Перейти обратно: ^а ^б «Атака затора» . сайт слабыйdh.org . 20 мая 2015 г. Архивировано из оригинала 29 марта 2021 г. Проверено 20 мая 2015 г.
^ Дэн Гудин (20 мая 2015 г.). «Атака с использованием HTTPS угрожает десяткам тысяч веб- и почтовых серверов» . Арс Техника . Архивировано из оригинала 19 мая 2017 г. Проверено 30 апреля 2022 г.
^ Чарли Осборн (20 мая 2015 г.). «Уязвимость безопасности Logjam делает уязвимыми основные HTTPS-сайты и почтовые серверы» . ЗДНет . Архивировано из оригинала 23 мая 2015 г. Проверено 23 мая 2015 г.
^ Валентино-ДеВрис, Дженнифер (19 мая 2015 г.). «Новая компьютерная ошибка раскрывает широкие недостатки безопасности» . Уолл Стрит Джорнал . Архивировано из оригинала 24 февраля 2022 г. Проверено 30 апреля 2022 г.
^ Уитфилд Диффи, Пол К. Ван Оршот и Майкл Дж. Винер «Аутентификация и обмен ключами с проверкой подлинности», в Designs, Codes and Cryptography, 2, 107–125 (1992), раздел 5.2, доступно как Приложение B к Методу и устройству. за повышение безопасности программного обеспечения и распространение программного обеспечения : «Если q было выбрано правильно, извлечение логарифмов по модулю q требует предварительных вычислений, пропорциональных $L(q)=e^{\sqrt {\ln q\times \ln \ln q}}$ хотя после этого отдельные логарифмы можно вычислить довольно быстро».
^ Адриан, Дэвид; Бхаргаван, Картикеян; Дурумерик, Закир; Годри, Пьеррик; Грин, Мэтью; Халдерман, Дж. Алекс; Хенингер, Надя ; Спринголл, Дрю; Томе, Эммануэль; Валента, Люк; ВандерСлот, Бенджамин; Вустроу, Эрик; Занелла-Бегелен, Сантьяго; Циммерманн, Пол (октябрь 2015 г.). «Несовершенная прямая секретность: как Диффи-Хеллман терпит неудачу на практике» (PDF) . Архивировано (PDF) из оригинала 27 февраля 2020 г. Проверено 23 мая 2015 г. Первоначально опубликовано в Proc. 22-я Конф. по безопасности компьютеров и коммуникаций (CCS). Переиздано, CACM, январь 2019 г., стр. 106–114, с технической точки зрения, «Присоединение обмена криптографическими ключами с предварительным вычислением», Дэн Боне, стр. 106–114. 105.
^ «CVE-2015-4000» . Список распространенных уязвимостей и рисков . Корпорация МИТЕР. 15 мая 2015 г. Архивировано из оригинала 11 августа 2015 г. Проверено 16 июня 2015 г.
«Протокол TLS 1.2 и более ранние версии, когда набор шифров DHE_EXPORT включен на сервере, но не на клиенте, не передает должным образом выбор DHE_EXPORT, что позволяет злоумышленникам «человек посередине» проводить атаки с понижением шифра, переписывая ClientHello с заменой DHE на DHE_EXPORT, а затем перезапись ServerHello с заменой DHE_EXPORT на DHE, что также известно как проблема «Logjam».
^ Ронен, Эяль; Шамир, Ади (октябрь 2015 г.). «Критический обзор несовершенной прямой секретности» (PDF) . Архивировано (PDF) из оригинала 11 декабря 2021 г. Проверено 30 апреля 2022 г.
^ «Бюллетень по безопасности Microsoft MS15-055. Уязвимость в Schannel может привести к раскрытию информации (3061518)» . Корпорация Майкрософт . 12 мая 2015 г. Архивировано из оригинала 3 июля 2015 г. Проверено 2 июля 2015 г. Это обновление безопасности устраняет уязвимость в Microsoft Windows, которая облегчает использование публично раскрытой технологии Logjam. [...] Обновление безопасности устраняет уязвимость, увеличивая минимально допустимую длину ключа DHE до 1024 битов.
^ Перри, Майк (16 июня 2015 г.). «Выпущен Tor Browser 4.5.2» . Проект Тор. Архивировано из оригинала 20 июня 2015 г. Проверено 20 июня 2015 г.
^ «О содержании безопасности OS X Yosemite v10.10.4 и обновлении безопасности 2015-005» . Apple Inc., 23 января 2017 г. Эта проблема, также известная как Logjam, [...] устранена путем увеличения минимального размера по умолчанию, разрешенного для эфемерных ключей DH, до 768 бит.
^ «О безопасности iOS 8.4» . Apple Inc., 18 августа 2020 г. Эта проблема, также известная как Logjam, [...] устранена путем увеличения минимального размера по умолчанию, разрешенного для эфемерных ключей DH, до 768 бит.
^ «Рекомендации по безопасности Mozilla Foundation 2015-70 — NSS принимает ключи DHE экспортной длины с обычными наборами шифров DHE» . Мозилла . Архивировано из оригинала 7 июля 2015 г. Проверено 4 июля 2015 г. ИСПРАВЛЕНО В Firefox 39.0 [...] Эта атака [...] известна как «Атака Logjam». Эта проблема была исправлена в NSS версии 3.19.1 путем ограничения более низкой стойкости поддерживаемых ключей DHE использованием 1023-битных простых чисел.
^ Чжи, Вивиан (01 сентября 2015 г.). «Стабильные обновления канала» . Релизы Chrome . Архивировано из оригинала 16 октября 2015 г. Проверено 6 ноября 2015 г.

Внешние ссылки

[paper-1] Jump up to: Перейти обратно: ^а ^б «Атака затора» . сайт слабыйdh.org . 20 мая 2015 г. Архивировано из оригинала 29 марта 2021 г. Проверено 20 мая 2015 г.

[2] Дэн Гудин (20 мая 2015 г.). «Атака с использованием HTTPS угрожает десяткам тысяч веб- и почтовых серверов» . Арс Техника . Архивировано из оригинала 19 мая 2017 г. Проверено 30 апреля 2022 г.

[3] Чарли Осборн (20 мая 2015 г.). «Уязвимость безопасности Logjam делает уязвимыми основные HTTPS-сайты и почтовые серверы» . ЗДНет . Архивировано из оригинала 23 мая 2015 г. Проверено 23 мая 2015 г.

[4] Валентино-ДеВрис, Дженнифер (19 мая 2015 г.). «Новая компьютерная ошибка раскрывает широкие недостатки безопасности» . Уолл Стрит Джорнал . Архивировано из оригинала 24 февраля 2022 г. Проверено 30 апреля 2022 г.

[5] Уитфилд Диффи, Пол К. Ван Оршот и Майкл Дж. Винер «Аутентификация и обмен ключами с проверкой подлинности», в Designs, Codes and Cryptography, 2, 107–125 (1992), раздел 5.2, доступно как Приложение B к Методу и устройству. за повышение безопасности программного обеспечения и распространение программного обеспечения : «Если q было выбрано правильно, извлечение логарифмов по модулю q требует предварительных вычислений, пропорциональных $L(q)=e^{\sqrt {\ln q\times \ln \ln q}}$ хотя после этого отдельные логарифмы можно вычислить довольно быстро».

[6] Адриан, Дэвид; Бхаргаван, Картикеян; Дурумерик, Закир; Годри, Пьеррик; Грин, Мэтью; Халдерман, Дж. Алекс; Хенингер, Надя ; Спринголл, Дрю; Томе, Эммануэль; Валента, Люк; ВандерСлот, Бенджамин; Вустроу, Эрик; Занелла-Бегелен, Сантьяго; Циммерманн, Пол (октябрь 2015 г.). «Несовершенная прямая секретность: как Диффи-Хеллман терпит неудачу на практике» (PDF) . Архивировано (PDF) из оригинала 27 февраля 2020 г. Проверено 23 мая 2015 г. Первоначально опубликовано в Proc. 22-я Конф. по безопасности компьютеров и коммуникаций (CCS). Переиздано, CACM, январь 2019 г., стр. 106–114, с технической точки зрения, «Присоединение обмена криптографическими ключами с предварительным вычислением», Дэн Боне, стр. 106–114. 105.

[CVE-2015-4000-7] «CVE-2015-4000» . Список распространенных уязвимостей и рисков . Корпорация МИТЕР. 15 мая 2015 г. Архивировано из оригинала 11 августа 2015 г. Проверено 16 июня 2015 г.
«Протокол TLS 1.2 и более ранние версии, когда набор шифров DHE_EXPORT включен на сервере, но не на клиенте, не передает должным образом выбор DHE_EXPORT, что позволяет злоумышленникам «человек посередине» проводить атаки с понижением шифра, переписывая ClientHello с заменой DHE на DHE_EXPORT, а затем перезапись ServerHello с заменой DHE_EXPORT на DHE, что также известно как проблема «Logjam».

[8] Ронен, Эяль; Шамир, Ади (октябрь 2015 г.). «Критический обзор несовершенной прямой секретности» (PDF) . Архивировано (PDF) из оригинала 11 декабря 2021 г. Проверено 30 апреля 2022 г.

[9] «Бюллетень по безопасности Microsoft MS15-055. Уязвимость в Schannel может привести к раскрытию информации (3061518)» . Корпорация Майкрософт . 12 мая 2015 г. Архивировано из оригинала 3 июля 2015 г. Проверено 2 июля 2015 г. Это обновление безопасности устраняет уязвимость в Microsoft Windows, которая облегчает использование публично раскрытой технологии Logjam. [...] Обновление безопасности устраняет уязвимость, увеличивая минимально допустимую длину ключа DHE до 1024 битов.

[10] Перри, Майк (16 июня 2015 г.). «Выпущен Tor Browser 4.5.2» . Проект Тор. Архивировано из оригинала 20 июня 2015 г. Проверено 20 июня 2015 г.

[11] «О содержании безопасности OS X Yosemite v10.10.4 и обновлении безопасности 2015-005» . Apple Inc., 23 января 2017 г. Эта проблема, также известная как Logjam, [...] устранена путем увеличения минимального размера по умолчанию, разрешенного для эфемерных ключей DH, до 768 бит.

[12] «О безопасности iOS 8.4» . Apple Inc., 18 августа 2020 г. Эта проблема, также известная как Logjam, [...] устранена путем увеличения минимального размера по умолчанию, разрешенного для эфемерных ключей DH, до 768 бит.

[13] «Рекомендации по безопасности Mozilla Foundation 2015-70 — NSS принимает ключи DHE экспортной длины с обычными наборами шифров DHE» . Мозилла . Архивировано из оригинала 7 июля 2015 г. Проверено 4 июля 2015 г. ИСПРАВЛЕНО В Firefox 39.0 [...] Эта атака [...] известна как «Атака Logjam». Эта проблема была исправлена в NSS версии 3.19.1 путем ограничения более низкой стойкости поддерживаемых ключей DHE использованием 1023-битных простых чисел.

[14] Чжи, Вивиан (01 сентября 2015 г.). «Стабильные обновления канала» . Релизы Chrome . Архивировано из оригинала 16 октября 2015 г. Проверено 6 ноября 2015 г.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]