Logjam es una vulnerabilidad de seguridad contra un intercambio de claves Diffie-Hellman que va desde claves de 512 bits ( grado de exportación de EE . UU .) A claves de 1024 bits. [1] Fue descubierto por un grupo de informáticos y se informó públicamente el 20 de mayo de 2015. [2] [3] [4]
Detalles
El intercambio de claves Diffie-Hellman depende para su seguridad de la supuesta dificultad de resolver el problema del logaritmo discreto . Los autores aprovecharon el hecho de que el algoritmo de tamiz de campo numérico , que generalmente es el método más eficaz para encontrar logaritmos discretos, consta de cuatro grandes pasos computacionales, de los cuales los tres primeros dependen solo del orden del grupo G, no de el número específico cuyo logaritmo finito se desea. Si los resultados de los tres primeros pasos se calculan previamente y se guardan, se pueden usar para resolver cualquier problema de registro discreto para ese grupo principal en un tiempo relativamente corto. Esta vulnerabilidad se conocía ya en 1992. [5] Resulta que gran parte del tráfico de Internet solo usa uno de los pocos grupos que son del orden de 1024 bits o menos.
Un enfoque habilitado por esta vulnerabilidad que demostraron los autores fue el uso de un atacante de red de intermediario para degradar una conexión de seguridad de la capa de transporte (TLS) para usar criptografía de grado de exportación DH de 512 bits , lo que les permite leer los datos intercambiados. e inyectar datos en la conexión. Afecta a los protocolos HTTPS , SMTPS e IMAPS , entre otros. Los autores necesitaron varios miles de núcleos de CPU durante una semana para calcular previamente los datos de un solo primo de 512 bits. Sin embargo, una vez hecho esto, los logaritmos individuales podrían resolverse en aproximadamente un minuto utilizando dos CPU Intel Xeon de 18 núcleos . [6] Su CVE ID es CVE - 2015-4000 . [7]
Los autores también estimaron la viabilidad del ataque contra números primos Diffie-Hellman de 1024 bits. Por diseño, muchas implementaciones de Diffie-Hellman utilizan el mismo primo pregenerado para su campo. Esto se consideró seguro, ya que el problema del registro discreto todavía se considera difícil para los números primos suficientemente grandes, incluso si el grupo se conoce y se reutiliza. Los investigadores calcularon el costo de crear precomputation atasco por un primer 1024 bits a cientos de millones de dólares, y señalaron que esto era así dentro del alcance del año fiscal 2012 $ 10.5 billón Programa Criptológico agrupadas en Estados Unidos (que incluye NSA ). Debido a la reutilización de primos, generar precomputación para un solo principal rompería dos tercios de las VPN y una cuarta parte de todos los servidores SSH a nivel mundial. Los investigadores notaron que este ataque se ajusta a las afirmaciones de los artículos filtrados de la NSA de que la NSA puede romper gran parte de la criptografía actual. Recomiendan usar primos de 2048 bits o más como defensa o cambiar a Diffie-Hellman de curva elíptica (ECDH). [1] Sin embargo, las afirmaciones sobre las implicaciones prácticas del ataque fueron cuestionadas por los investigadores de seguridad Eyal Ronen y Adi Shamir en su artículo "Critical Review of Imperfect Forward Secrecy" [8]
Herramientas de prueba
- TLS basados en servicios tales como servidores web que ofrecen HTTPS se puede comprobar por la vulnerabilidad utilizando escáneres como SSLyze , la prueba del servidor SSL Qualys , ImmuniWeb prueba de la seguridad SSL , CryptCheck , CypherCraft , testssl.sh o la keycdn.com escáner .
- Los servidores SSH se pueden probar con la herramienta SSH-Weak-DH .
Respuestas
- El 12 de mayo de 2015, Microsoft lanzó un parche para Internet Explorer . [9]
- El 16 de junio de 2015, el Proyecto Tor proporcionó un parche para Logjam en el Navegador Tor . [10]
- El 30 de junio de 2015, Apple lanzó un parche para los sistemas operativos OS X Yosemite e iOS 8 . [11] [12]
- El 30 de junio de 2015, el proyecto Mozilla lanzó una solución para el navegador Firefox . [13]
- El 1 de septiembre de 2015, Google lanzó una solución para el navegador Chrome . [14]
- El 6 de diciembre de 2017, IETF publicó RFC 8270 llamado "Aumentar el tamaño del módulo Diffie-Hellman mínimo recomendado de Secure Shell a 2048 bits".
Ver también
- BESTIA (seguridad informática)
- INCUMPLIMIENTO (exploit de seguridad)
- CRIMEN
- CANICHE
- Criptografía controlada por servidor
Referencias
- ^ a b "El ataque del bloqueo" . debildh.org . 2015-05-20.
- ^ Dan Goodin (20 de mayo de 2015). "El ataque paralizante de HTTPS amenaza a decenas de miles de servidores web y de correo" . Ars Technica .
- ^ Charlie Osborne (20 de mayo de 2015). "La falla de seguridad del bloqueo deja los mejores sitios web HTTPS y los servidores de correo vulnerables" . ZDNet .
- ^ Valentino-DeVries, Jennifer (19 de mayo de 2015). "Nuevo error informático expone amplias fallas de seguridad" . El Wall Street Journal .
- ^ Whitfield Diffie, Paul C. Van Oorschot y Michael J. Wiener "Autenticación e intercambios de claves autenticados", en Diseños, códigos y criptografía, 2, 107-125 (1992), Sección 5.2, disponible como Apéndice B de Método y aparato para mejorar la seguridad del software y distribuir software : "Si q se ha elegido correctamente, extraer logaritmos módulo q requiere un cálculo previo proporcional a aunque después de eso, los logaritmos individuales se pueden calcular con bastante rapidez ".
- ^ Adrián, David; Bhargavan, Karthikeyan; Durumeric, Zakir; Gaudry, Pierrick; Green, Matthew; Halderman, J. Alex; Heninger, Nadia ; Springall, Drew; Thomé, Emmanuel; Valenta, Luke; VanderSloot, Benjamin; Wustrow, Eric; Zanella-Béguelin, Santiago; Zimmermann, Paul (octubre de 2015). "Secreto imperfecto hacia adelante: cómo Diffie-Hellman falla en la práctica" (PDF) .Publicado originalmente en Proc. 22ª Conf. sobre Seguridad de Computadoras y Comunicaciones (CCS). Publicado nuevamente, CACM, enero de 2019, págs. 106-114, con perspectiva técnica, "Adjuntar intercambio de claves criptográficas con precomputación", por Dan Boneh, pág. 105.
- ^ "CVE-2015-4000" . Lista de vulnerabilidades y exposiciones comunes . La Corporación MITRE. 2015-05-15.
"El protocolo TLS 1.2 y versiones anteriores, cuando un conjunto de cifrado DHE_EXPORT está habilitado en un servidor pero no en un cliente, no transmite correctamente una opción DHE_EXPORT, lo que permite a los atacantes de intermediario realizar ataques de cifrado de degradación reescribiendo un ClientHello con DHE reemplazado por DHE_EXPORT y luego reescribiendo un ServerHello con DHE_EXPORT reemplazado por DHE, también conocido como el problema 'Logjam'. " - ^ Ronen, Eyal; Shamir, Adi (octubre de 2015). "Revisión crítica del secreto hacia adelante imperfecto" (PDF) . Cite journal requiere
|journal=
( ayuda ) - ^ "Boletín de seguridad de Microsoft MS15-055. Una vulnerabilidad en Schannel podría permitir la divulgación de información (3061518)" . Microsoft Corporation . 2015-05-12.
Esta actualización de seguridad resuelve una vulnerabilidad en Microsoft Windows que facilita la explotación de la técnica Logjam divulgada [...] públicamente. La actualización de seguridad corrige la vulnerabilidad aumentando la longitud mínima permitida de la clave DHE a 1024 bits.
- ^ Perry, Mike (16 de junio de 2015). "Lanzamiento del Navegador Tor 4.5.2" . El Proyecto Tor.
- ^ "Sobre el contenido de seguridad de OS X Yosemite v10.10.4 y la Actualización de seguridad 2015-005" . Apple Inc.
Este problema, también conocido como Logjam, [...] se solucionó aumentando el tamaño mínimo predeterminado permitido para las claves efímeras DH a 768 bits.
- ^ "Sobre el contenido de seguridad de iOS 8.4" . Apple Inc.
Este problema, también conocido como Logjam, [...] se solucionó aumentando el tamaño mínimo predeterminado permitido para las claves efímeras DH a 768 bits.
- ^ "Aviso de seguridad de la Fundación Mozilla 2015-70: NSS acepta claves DHE de longitud de exportación con conjuntos de cifrado DHE normales" . Mozilla .
CORREGIDO EN Firefox 39.0 [...] Este ataque se [...] conoce como "Ataque de bloqueo". Este problema se solucionó en la versión 3.19.1 de NSS al limitar la fuerza más baja de las claves DHE admitidas para usar primos de 1023 bits.
- ^ Zhi, Vivian (1 de septiembre de 2015). "Actualizaciones de canales estables" . Lanzamientos de Chrome . Consultado el 6 de noviembre de 2015 .
enlaces externos
- El ataque del atasco
- NSA en P / poly: The Power of Precomputation-Shtetl Optimizedl