新しいタイプのSSL /がありますTLS 町への攻撃。 最近の学術セキュリティ研究者のチーム 論文を発表しました の紹介 タヌキ攻撃。 タヌキは、のタイミングの脆弱性です TLS 影響する仕様 HTTPS およびに依存する他のサービス SSL /TLS。 非常に特殊でまれな条件下で、Raccoonは悪意のあるサードパーティの攻撃者がSSL /を破ることを許可しますTLS 暗号化と読み取り機密通信。
具体的には、アライグマ攻撃はDiffie-Hellman鍵交換で行われます。 両方のとき TLS ピアは、Diffie-Hellman交換の一部として公開鍵を交換し、次に「プリマスターシークレット」と呼ばれる共有鍵を計算します。 TLS 特定のキー導出関数を持つセッションキー。
TLS 1.2およびそれ以前のすべてのバージョンでは、続行する前に、このプリマスターシークレットのすべての先行ゼロバイトを削除する必要があります。 結果のプリマスターシークレットは、さまざまなタイミングプロファイルのハッシュ関数に基づくキー導出関数の入力として使用されます。 これらの正確なタイミング測定により、攻撃者はオラクルからオラクルを構築する可能性があります TLS サーバーは、計算されたプリマスターシークレットがゼロで始まるかどうかを攻撃者に知らせます。
攻撃者は、このXNUMXバイトから、クライアントとサーバー間で確立された元のプレマスターシークレットを計算するための一連の方程式を構築し始めることができます。 これにより、攻撃者は、ユーザー名、パスワード、クレジットカード情報、電子メール、潜在的に機密性の高い情報の長いリストなど、ユーザーとサーバー間の通信を解読する可能性があります。
恐ろしいように聞こえるかもしれませんが、この攻撃は非常に特殊でまれな状況でのみ発生する可能性があることに注意してください。サーバーは公開Diffie-Hellmanキーを 握手 (すでに悪い習慣と見なされています)、そして攻撃者は正確なタイミング測定を行うことができなければなりません。 さらに、ブラウザーは脆弱な暗号スイートをサポートする必要があります(2020年XNUMX月の時点で、すべての主要なブラウザーがそれらを削除しています)。
Raccoonがほとんどの攻撃者にとって実用的ではない場合でも、Webサイトの所有者が自分と訪問者を保護するために実行できる手順はまだあります。
- TLS 1.3 アライグマの攻撃に対して脆弱ではありません。 ウェブサイトのビジターのほとんどまたはすべてがモダンを使用していると確信している場合、 TLS 1.3互換性のあるブラウザ、あなたは単に無効にすることができます TLS 1.2.
- Webサーバーが公開Diffie-Hellman鍵を再利用しないことを確認してください。 上記のように、これはすでに悪い習慣と見なされています。 これは、Qualsys SSLLabsで確認できます。 SSLサーバーのテスト。 Webサイトの結果では、「DH public server param(Ys)reuse」の値が「No」になっているはずです。
この値が「はい」の場合、サーバーのドキュメントを確認し、サーバーが「完全転送秘密」とも呼ばれる転送秘密を提供するように正しく構成されていることを確認してください。これにより、公開DHキーの再利用が妨げられます。 (ご確認ください SSL /のガイドTLS ベストプラクティス 前方秘密性の詳細については)。