网络与信息安全安全基础（四）.pptVIP

SSL: PRNG攻击(续) 种子关联：pid, ppid, seconds, microseconds Seconds往往可以获得，microseconds未知 如果在目标机器上有账号，那么pid和ppid可以获得 否那么，可以寻找pid和ppid的。对于大多数UNIX平台，pid+(ppid 12)只有27位 global variable challenge, secret_key; RNG_GenerateRandomBytes() x = MD5(seed); seed = seed + 1; return x; create_key() RNG_CreateContext(); tmp = RNG_GenerateRandomBytes(); tmp = RNG_GenerateRandomBytes(); challenge = RNG_GenerateRandomBytes(); secret_key = RNG_GenerateRandomBytes(); PRNG的启示 PRNG并不是SSL协议本身的缺陷，而是实现上导致的缺陷 随机数对于平安协议或者平安系统的重要性 源码开放的另一层含义 关键的代码接受公众的审视 Reference:  Ian Goldberg and David Wagner, “Randomness and the Netscape Browser〞, January 1996 Dr. Dobbs Journal SSL: Million-message attack 在RSA算法作加密运算的时候，首先对明文消息进行编码，其格式为 0 2 random bytes 0 message 假设密文C，攻击者可以产生一系列整数S并计算C’ = C*(Se) mod n，在解密的时候，每一个C’对应于一个M’。大多数的M’不会满足上面的格式，但是有2-16的概率会产生这样的结果(因为前两个字节是确定的)。攻击者可以找到一系列满足条件的S，然后推断出密文C对应的明文M。这个过程大约需要220个消息和应答。 攻击实施依赖于 需要一个可以提供解密准确性判断的效劳器——称为oracle SSL实现是否能够精确地告知明文格式不正确？ 只能得到一个消息的明文，无法得到私钥 MMA的启示 实现SSL的时候 对待错误消息如何响应？ Contiune? 会不会招致DOS？ 返回精确的错误 充分利用明文模式 随机数填充 References 1 RFC 3218 2 Bleichenbacher D. , Chosen Ciphertext Attacks against Protocols Based on RSA Encryption Standard PKCS #1 in Advances in Cryptology -- CRYPTO98, LNCS vol. 1462, pages: 1--12, 1998. 针对SSL的其他攻击 Export ciphers and distributed cracking 举例： 40位RC4， downgrade attacks 往SSL的低版本退化 密码算法的退化 SSL实现 OpenSSL, 最新0.9.6c, 实现了SSL(2,3), TLS(1.0) Openssl —— a command line tool. ssl(3) —— the OpenSSL SSL/TLS library. crypto(3)—— the OpenSSL Crypto library. SSLeay ://.au/~ftp/Crypto/ Microsoft Win2k SSL implementation Microsoft IE中SSL/TLS的一个漏洞 IE处理内嵌在HTTP页面中的HTTPS对象存在一个漏洞 它只检查HTTPS效劳器的证书是否由可信的CA签名的，而完全忽略该证书是否有适当的名字，以及是否已经过期。 对于当前这个页面而言，其实并不危险 问题在于 IE会把这个证书缓存起来，并标记为可信任的，一直到浏览器的会话结束 这意味着，假设说，IE客户在访问一个HTTP页面时，如果该页面被插入一个包含指向有问题的SSL server的HTTPS对象(比方说一个image)的话，IE不会警告遇到一个非法的证书，只要这个证书确实是被可信CA签名的 IE中SSL/TLS的漏洞的情形 假设说中间人在效劳器返回的页面上加上一句话img src= width=1 height=1 HTTPS局部显示的是一个被