HTTPS 再爆漏洞, 企业需升级SSL/TLS加密算法

jopen 12年前

随着CBC和RC4加密算法的相继“沦陷”,依赖SSL/TLS的企业需要引起高度重视,选择更安全的加密算法。

HTTPS 再爆漏洞, 企业需升级SSL/TLS加密算法

本站之前的文章“你的智能手机应用在裸奔吗” 提到过, 糟糕的SSL实施可能会导致被实施“中间人攻击”。  最近, 一个来自数个安全研究学术机构成员组成的团队, 又爆出了SSL的又一些漏洞。

在2013年2月, NadhemAlFardan和 Kenny Paterson发 现了一个名为Luck13的攻击方式, 这种攻击方式主要攻击SSL/TLS采取的CBC方式的块加密方式。攻击着可以通过阻断TLS连接的方式(比如通过恶意软件故意断掉链接, TLS会自动重发), 让发送方反复发送同一加密内容(比如cookie或者密码的密文), TLS发送错误信息的时间差异的分析。 Luck13攻击可以在较短时间内破解密文。

Nadhem和AlFardan发表了他们的发现。 建议在SSL/TLS中尽量不要使用CBC模式的块加密算法。 可以采用如RC4这样的流加密算法。

然而, 不到一个月, 在2013年3月, NadhemAlFardan, Dan BernsteinKenny Paterson, Bertram Poettering 和 Jacob Schuldt又宣布, 采用RC4 加密的SSL/TLS也存在安全漏洞。

SSL/TLS的工作原理大致是这样的, 首先通过公钥加密算法如RSA等, 通过网络交换一个共同的Session密钥。 然后, 利用这个Session密钥利用对称加密算法进行加密。 这样的好处是, 由于公钥加密算法的效率较低,可以用来传递小数据量如对称加密的密钥, 然后利用对称加密的高效率来加密大数据量。  CBC模式块加密和RC4的流加密都属于对称加密的算法。

根据Nadhem等人的报告, 目前网络上的SSL/TLS的流量的50%大约是用RC4进行加密的。 其实RC4的加密不安全性已经不是什么新闻了。 其实早在2001年,  两位以色列的密码专家ItsikMantin和Adi Shamir就发表了一篇论文《”A practical attack on RC4》, 当时, 无线互联网Wi-Fi的早期加密算法WEP就是利用RC4来进行加密的。 而这篇论文成为破解WEP密码的理论基础, 导致了人们能够轻易的破解WEP, 从而推动Wi-Fi加密全面转向WPA。 (编者: 有意思的是 Adi Shamir就是加密算法RSA中的“S”, 而RC4中的“R”Ron Rivest, 也是RSA中的“R”)。

对RC4的攻击, 主要集中在RC4 的随机数生成的统计不平均的漏洞上。 WEP的破解就是利用WEP数据包的标号的漏洞进行统计分析从而进行破解的。

而NadhemAlFardan, Dan BernsteinKenny Paterson, Bertram Poettering 和 Jacob Schuldt对RC4 的攻击方法, 比ItsikMantin和 Adi Shamir要更进一步。 他们通过对RC4的前256个密文字节的每一位建立了统计。 通过224次Session就可以破解出密文的前256个字节。 而研究小组还在进一步改进算法, 以期达到更好的效果。

对于依赖SSL/TLS的企业来说, 重要的是必须意识到SSL/TLS的安全性问题。 企业需要认真检查他们的SSL安全模块的加密算法实施。 对此, 研究小组给出的综合建议是:

鉴于CBC模式的块加密方式以及RC4流加密都出现了漏洞, 并且已经有了现实的攻击手法。 企业最好是在SSL/TLS加密方式上选择更为安全的AES-GCM方式。

AES-GCM方式是一种新的块加密实现方式。 它可以同时实现加密和认证两个步骤。 不但可以避免类似于RC4加密这样的漏洞, 同时也能够防范类似于Luck13 这样的时间差异分析的攻击手段。

不过, 由于RC4方式的广泛使用, 企业在废弃SSL/TLS的RC4方式时, 也需要注意用户是否会因为服务器端不支持RC4而产生的连接问题。 当然, 企业需要权衡用户使用的不便与采用RC4 可能导致的后果。

来自IT经理网