** 版权声明:版权为Lenx Wei (http://lenx.100871.net)所有,转发务必保留此声明
** Jun 23, 2013
最容易想到的就是在证书上做手脚。在中间人位置上替换证书,从而获得对SSL通信的完整控制权。这种模式也被称为"海关"模式,在某著名网络安全产品中获得应用。除了“海关”模式外,近年来研究者发现了SSL/TLS在各个层面上有很多严重问题。
首先是MSR陈硕在oakland'09上发表的pretty bad proxy问题,所有浏览器的https都可以被攻破。此问题因为过于严重,在微软内部审批了很久很久才许可发表,文章见
http://research.microsoft.com/apps/pubs/default.aspx?id=79323
时隔一年,陈硕和王晓峰组又再次发威,在oakland'10上发表了针对SSL通信的side-channel攻击,可以准确的获得很多SSL保护下的通信隐私信息。文章见
http://research.microsoft.com/apps/pubs/default.aspx?id=119060
陈硕强项是在应用层的攻击,而SSL在密码层一样存在不少问题。著名的crypto学者Paterson组(http://www.isg.rhul.ac.uk/~kp/ )持续的对SSL及相关密码协议进行分析研究,发现了一系列的问题。他们最新的成果发表在oakland'13上,展示了针对CBC模式的攻击,在特定环境(你懂的)下可以有效恢复明文,工作见 http://www.isg.rhul.ac.uk/tls/Lucky13.html;
他们在ndss'13上发表了one bad apple攻击,采用CBC作为oracle对GCM模式发动攻击,工作见 http://www.isg.rhul.ac.uk/~kp/BackwardsCompatibilityAttacks.pdf 。
Paterson组同样发现了TLS中用RC4一样存在着泄密问题。RC4之前虽然在wep中被发现IV有问题,但大家并不认为在TLS中有问题,到今天gmail的https加密中用的还是RC4! 此工作见 http://www.isg.rhul.ac.uk/tls/index.html
此外,在很多嵌入式设备(比如家用路由,小无线AP)中,由于随机数根本不随机,因此其上的SSL通信所用到的随机数可以有效预测,从而得以攻破。J. Alex Halderman在Usenix Security'12上获得了best paper的一篇文章就是讨论众多的嵌入式网络设备由于缺乏足够的随机源,特别是linux的/dev/urandom在嵌入式环境下几乎失效,因此其RSA/DSA的密钥生成存在严重缺陷,Internet上有数以万计的网络设备的私钥可以被轻松的算出。文章见
https://www.usenix.org/conference/usenixsecurity12/mining-your-ps-and-qs-detection-widespread-weak-keys-embedded-devices
结语:SSL/TLS提供了很多Internet服务赖以生存的通信安全保障。但实施者并不能认为这一切是固若金汤,牢不可破的;而是应该仔细审查实现,特别是随机数发生器的选择;并且密切关注安全研究进展,及时采取防护措施,不要让SSL/TLS成为马奇诺防线。
** 版权声明:版权为Lenx Wei (http://lenx.100871.net)所有,转发务必保留此声明
** Jun 23, 2013