Re: вранье?

От Serguei E. Leontiev (2:5020/400) к Sergey Zabolotny

From: "Serguei E. Leontiev" <leo@sai.msu.ru>

Привет Сергей,

От 27 ноября 2014 г., 15:04:10 в fido7.ru.crypt ты писал:

 SZ> данный момент взлом траффика шифрованного ключами до 2кбит по

 SZ> времени занимает до 4 секунд.

 SZ> правда это или таки сабж?

За 4 секунды ключи RSA до 2048 бит для SSL/TLS серверов общего

пользования пока не слышал. Есть более подробные описания этих слухов?

Hе очень понятно, о чём идёт речь, в принципе, такое возможно, как

минимум, при наличии хорошего канала от нарушителя к серверу (например

смотри <http://eprint.iacr.org/2003/052.pdf> и Boneh, D., Brumley, D.,

"Remote timing attacks are practical", USENIX Security Symposium 2003).

Т.к. OAEP в SSL/TLS не используется, возможны улучшения в этих атаках.

Были сообщения об атаках с похожими временами на смарт-карты.

Кроме того в дополнении предыдущим сообщениям следует отметить следующие

моменты:

1. Все CipherSuite всех используемых версий, и SSL 3.0, и TLS

1.0/1.1/1.2 в названия которых входит CBC

(TLS_RSA_WITH_AES_128_CBC_SHA256, TLS_RSA_WITH_3DES_EDE_CBC_SHA и др.)

имеют проблемы в части атак с помощью измерения времени обработки.

Правда это не 4 секунды, а минуты или даже часы;

2. Атаки типа "человек по середине" (MITM) могут быть заметно

изощрённее. Т.к. говорят, что некоторые из удостоверяющих центров (CA),

которые входят в предустановленные доверенные корневые УЦ FireFox и др.

до сих пор выдают сертификаты подчинённых УЦ. Соответственно, если не

используется аутентификация клиента по сертификату, то появляется

простая возможность полного обмана TLS клиента, как это было несколько

лет назад с каким-то взломанным УЦ (не помню название, быть может, ??

Trustwave ??). Hо это опять не 4 сек, а миллисекунды;

3. Сейчас получает распространение метод кэширования TLS сессий по RFC

4507/RFC 5077, в котором, клиент сам хранит и предоставляет защищённый

билет сессии (SessionTicket TLS Extension). Т.к. данные RFC не

определяют конкретные способы защиты информации о сессии, то разные

реализации TLS серверов реализуют его по разному, возможно, что и с

неправильным использованием AES-CBC. Сообщений о таких проблемах я ещё

не слышал, но они могут появиться в любой момент.

ИМХО, советы для параноиков:

  1. Соблюдать хотя бы обычные ограничения на длины ключей

<http://www.keylength.com>;

  2. Оставить только необходимые корневые сертификаты;

  3. Оставить только хорошие CipherSuite (например,

TLS_RSA_WITH_RC4_128_SHA, TLS_RSA_WITH_AES_128_GCM_SHA256,

TLS_GOSTR341001_WITH_28147_CNT_IMIT);

  4. Запретить согласование всяких "левых" расширений.

--

Успехов, Сергей Леонтьев. E-mail: lse@CryptoPro.ru

--- ifmail v.2.15dev5.4

 * Origin: ГАИШ МГУ (2:5020/400)

Ответы на это письмо:

From: Username
Заголовок следующего сообщения в треде может быть длинным и его придется перенести на новую строку

From: Username
Или коротким