关于ssl tls最新漏洞“受戒礼”初步报告.pdfVIP

关于 SSL/TLS 最新漏洞“受戒礼”初步 报告 一、漏洞分析 事件起因 2015 年 3 月 26 日，国外数据安全公司 Imperva 的研究员 Itsik Mantin 在 BLACK HAT ASIA 2015 发表论文《Attacking SSL when using RC4 》阐述了利用存在了 13 年之久的 RC4 漏洞 ——不变性弱密钥( 《Weakness in the Key Scheduling Algorithm of RC4》,FMS 发表于 2001 年) 进行的攻击，并命名为“受戒礼”攻击(Bar Mitzvah Attack)。 直到 2015 年 3 月，还有约 30%的网络通信是由 RC4 进行保护的。通过“受戒礼”攻击，攻 击者可以在特定环境下只通过嗅探监听就可以还原采用 RC4 保护的加密信息中的纯文本， 导致账户、密码、信用卡信息等重要敏感信息暴露，并且可以通过中间人(Man-in-the-middle) 进行会话劫持。 攻击方法和模式 攻击者嗅探监听大量的 SSL 链接，可以判断第一个加密消息包含 SSL 的完成消息和 HTTP 请 求，都是具有可预测的信息的。然后等待一个不变性弱密钥的链接到来，当获取到一个弱密 钥链接时候就可以提取出 LBS。当弱密钥使用的时候，明文和密钥会进行异或，攻击者可以 看到生成的密文模式。 攻击者同样也进行 DNS 投毒，将所有的链接链接到一个恶意的主机，主机进行中间人攻击， 能够有效地进行大量用户的嗅探监听和会话劫持。 漏洞原理和细节 根据《Attacking SSL when using RC4 》中的阐述，漏洞的成因主要在于不变性弱密钥是 RC4 密钥中的一个 L 型的图形，它一旦存在于 RC4 的密钥中，在整个初始化的过程之中保持状态 转换的完整性。这个完整的部分包括置换过程中的最低有效位，在由 RPGA 算法处理的时候， 决定伪随机输出流的最低有效位。这些偏差的流字节和明文进行过异或，导致密文中会泄露 重要明文信息。 状态转换(来自《Attacking SSL when using RC4 》) 这种模式发生在 LSBs，a single LSB, 2 LSBs 等的不同数字时候，导致不同种类的 RC4 弱密钥。 如果一个 q-class(q 指代 LSB 的数字)的密钥被使用，那么会发生以下的问题： RC4 的初始化语句不能正确地配合状态和关键信息，并且保存 K 个最低有效位存储内部状 态; RC4 初始状态具有固定的非混合 q LSB; 第一个明文字节流的 30-50字节的 q 个最低有效位遵守显著概率确定模式; 第一个明文字节流的 30-50字节的 q 个最低有效位有显著概率暴露。 SSL 在很多加密套件中使用 RC4 进行加密。在握手环节产生 RC4 密钥用来加密上行数据流和 下行数据流。上行数据流中用来加密客户端 – 服务器的数据流，下行数据流中用来加密服 务器 – 客户端的数据流。加密是有状态的，使用第一个密钥流加密第一个字节的信息，之 后的密钥流加密下一条消息(想 CBC 模式一样) 。由于串加密毁灭了最低有效位的确定性，所 以不变性弱密钥只能利用于被保护的第一个 100 字节。 SSL 的握手结束消息是每个方向(上行和下行)的第一条加密消息，且结束消息固定使用了 36 个字节，所以还有 64 个字节留给攻击者使用。 二、安全检测 在线检测：服务器测试：/ssltest/index.html 浏览器测试：/ssltest/viewMyClient.html 本地检测：(针对服务器，需要在 linux 服务器下安装 openssl) $ openssl s_client -:443 -cipher RC4 如果能够查看到证书信息，那么就是存在风险漏洞 如果显示 sslv3 alerthandshake failure ，表示改服务器没有这个漏洞。 三、修补方式 服务器 对于 NGINX 的修补 修改 nginx 配置文件中的 ssl_ciphers 项 ssl_ciphersECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA2 56:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:ECDHE-RSA- AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:ECDHE- RSA-AES128-SHA:DHE-RSA-AES256-