本文详细解析了2015年的SSL/TLS BAR-MITZVAH攻击漏洞(CVE-2015-2808),该漏洞利用RC4密码套件的不变性弱密钥,允许攻击者通过嗅探和中间人攻击还原加密信息。文章介绍了攻击原理、检测方法和针对不同服务器及浏览器的修复措施。
一、漏洞分析
事件起因
2015年3月26日,国外数据安全公司Imperva的研究员Itsik Mantin在BLACK HAT ASIA 2015发表论文《Attacking SSL when using RC4》阐述了利用存在了13年之久的RC4漏洞——不变性弱密钥(《Weakness in the Key Scheduling Algorithm of RC4》,FMS 发表于2001年)进行的攻击,并命名为“受戒礼”攻击(Bar Mitzvah Attack)。
直到2015年3月,还有约30%的网络通信是由RC4进行保护的。通过“受戒礼”攻击,攻击者可以在特定环境下只通过嗅探监听就可以还原采用RC4保护的加密信息中的纯文本,导致账户、密码、信用卡信息等重要敏感信息暴露,并且可以通过中间人(Man-in-the-middle)进行会话劫持。
攻击方法和模式
攻击者嗅探监听大量的SSL链接,可以判断第一个加密消息包含SSL的完成消息和HTTP请求,都是具有可预测的信息的。然后等待一个不变性弱密钥的链接到来,当获取到一个弱密钥链接时候就可以提取出LBS。当弱密钥使用的时候,明文和密钥会进行异或,攻击者可以看到生成的密文模式。
攻击者同样也进行DNS投毒,将所有的链接链接到一个恶意的主机,主机进行中间人攻击,能够有效地进行大量用户的嗅探监听和会话劫持。
漏洞原理和细节
根据《Attacking SSL when using RC4》中的阐述,漏洞的成因主要在于不变性弱密钥是RC4密钥中的一个L型的图形,它一旦存在于RC4的密钥中,在整个初始化的过程之中保持状态转换的完整性。这个完整的部分包括置换过程中的最低有效位,在由RPGA算法处理的时候,决定伪随机输出流的最低有效位。这些偏差的流字节和明文进行过异或,导致密文中会泄露重要明文信息。
主机漏洞-SSL/TLS 受诫礼(BAR-MITZVAH)攻击漏洞(CVE-2015-2808)【原理扫描】-RC4密码套件
状态转换(来自《Attacking SSL when using RC4》)
这种模式发生在LSBs,a single LSB, 2 LSBs 等的不同数字时候,导致不同种类的RC4弱密钥。
主机漏洞-SSL/TLS 受诫礼(BAR-MITZVAH)攻击漏洞(CVE-2015-2808)【原理扫描】-RC4密码套件
如果一个q-class(q 指代LSB的数字)的密钥被使用,那么会发生以下的问题:
RC4的初始化语句不能正确地配合状态和关键信息,并且保存K个最低有效位存储内部状态;
RC4初始状态具有固定的非混合q LSB;
第一个明文字节流的30-50字节的q个最低有效位遵守显著概率确定模式;
第一个明文字节流的30-50字节的q个最低有效位有显著概率暴露。
SSL在很多加密套件中使用RC4进行加密。在握手环节产生RC4密钥用来加密上行数据流和下行数据
最低0.47元/天 解锁文章
771
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
