익사 공격
DROWN attack | 이 문서는 암호학 전문가의 주의가 필요합니다.구체적인 문제는 새로운 취약성입니다. Project 하는 데 이 될 수 있습니다. (2016년 3월) |
 익사 공격을 상징하는 부서진 잠금 로고 | |
| CVE 식별자 | CVE-2016-0800 |
|---|---|
| 발견된 날짜 | 3월, 전( |
| 디스커버 | 님로드 아비람, 세바스찬 신젤 |
| 해당 소프트웨어 | SSL(v2) |
| 웹 사이트 | drownattack |
DECHREW(Decrypting RSA with Olde and Dehenched eNcryption) 공격은 최신 SSLv3/TLS 프로토콜 스위트를 지원하는 서버를 공격하는 프로토콜 간 보안 버그로, 안전하지 [1][2]않은 최신 프로토콜을 사용하는 연결에 대한 공격을 활용합니다.DRISHE는 SSLv3/TLS로 암호화된 서비스를 제공하면서도 SSLv2를 지원하는 모든 유형의 서버에 영향을 미칠 수 있습니다.단, 두 프로토콜 [3]간에 동일한 공개 키 자격 정보를 공유해야 합니다.또한 SSLv2를 지원하는 다른 서버에서 동일한 공개 키 증명서가 사용되는 경우 TLS [3]서버에 대해 사용할 수 있는 SSLv2 서버에서 키 정보가 누출되어 TLS 서버도 취약해집니다.
2016년 3월에 OpenSSL에서 SSLv2를 비활성화하는 패치와 함께 DREW의 전체 세부 정보가 발표되었습니다. 취약성은 ID CVE-로 할당되었습니다.2016-0800년[4]다른 SSLv2 호스트에서 증명서를 찾을 수 있는 경우 패치만으로는 공격을 완화할 수 없습니다.실행 가능한 유일한 대책은 모든 서버에서 SSLv2를 디세블로 하는 것입니다.
연구진은 2016년 [5]3월 1일 현재 전체 HTTPS 사이트의 33%가 이 취약성의 영향을 받은 것으로 추정했다.
세부 사항
DRISH는 "Decrypting RSA with Olde and Dehenched eNcryption"[6]의 약자입니다.특정 구현 오류가 아니라 사용된 프로토콜과 서버 구성의 조합에 있는 취약성을 이용합니다.발견자에 따르면 웹 [3]브라우저와 같은 클라이언트 소프트웨어를 변경해도 공격을 수정할 수 없습니다.
공격에는 Bleichenbacher 오라클로서 SSLv2 서버를 사용하는 선택된 암호문 공격이 포함됩니다.SSLv2는 RSA를 사용하여 마스터시크릿을 직접 암호화하고 40비트 내보내기 암호수트는 마스터시크릿의 40비트만 암호화하고 나머지 88비트를 플레인텍스트로 공개함으로써 동작합니다.48 바이트 SSLv3/TLS 암호화 RSA 암호 텍스트는 40 비트 부분에 "트림"되어 서버가 SSLv2 마스터 시크릿의 40 비트 부분으로 취급하는SSLv2 ClientMasterKey 메시지에 사용됩니다(다른 88 비트는 클라이언트가 플레인텍스트로서 송신하는 임의의 값입니다).40비트 암호화를 강제함으로써 ServerVerify 메시지를 오라클로 사용할 수 있습니다.개념 실증 공격에서는 멀티 GPU 구성과 상용 클라우드 컴퓨팅 모두 GPU 셋업에 약 18,000달러, 클라우드 공격당 400달러의 비용으로 코드 브레이크 계산의 일부를 수행할 수 있는 방법을 시연했습니다.공격이 성공하면 캡처된 TLS 핸드쉐이크의 세션키가 제공됩니다.
위의 공격을 일반적인 DREW 공격이라고 설명한 조사관들은 SSLv2의 OpenSSL 구현에서 특별한 DREW 공격을 허용하는 특정 약점을 발견했습니다.이것에 의해, 암호화를 해제하기 위해서 필요한 수고를 큰폭으로 삭감할 수 있게 되어, 적은 양의 컴퓨팅 자원만을 필요로 하는 리얼 타임의 중간자 공격이 가능하게 되었습니다.2015년까지 SSLv2의 OpenSSL 구현에서는 클리어 키와 암호화된 키의 길이가 올바른지 확인하지 않았습니다.예를 들어 마스터 시크릿의 8비트만 암호화할 수 있습니다.2015년까지 OpenSSL은 Bleichenbacher 대책 시도 중 SSLv2 마스터 비밀의 잘못된 바이트를 덮어쓰기도 했습니다.2016년까지 OpenSSL은 비활성화된 SSLv2 암호 스위트도 기꺼이 협상했습니다.SSLv3 이후와는 달리 SSLv2에서는 클라이언트가 서버에서 제공하는 암호 스위트 목록에서 선택해야 하지만 OpenSSL에서는 목록에 없는 암호 스위트를 사용할 수 있습니다.
이 버그의 최초 리포터는 보안 연구원인 님로드 아비람과 세바스찬 [7]신젤이었다.
경감
서버 오퍼레이터는 익사로부터 보호하기 위해 SSLv2 접속을 허용하는 서버 소프트웨어에서 개인 키를 사용하지 않도록 해야 합니다.여기에는 웹 서버, SMTP 서버, IMAP 및 POP 서버 및 SSL/[8]TLS를 지원하는 기타 소프트웨어가 포함됩니다.
OpenSSL 그룹은 오래된 프로토콜 및 [9]암호에 대한 지원을 제거하여 취약성을 완화하기 위한 보안 권고 및 패치 세트를 릴리스했습니다.그러나 서버의 인증서가 SSLv2를 지원하는 다른 서버에서 사용되는 경우에도 여전히 취약하며 패치가 적용된 서버도 취약합니다.
사이트 운영자가 이 취약성을 가능한 한 빨리 패치할 것을 여러 소스에서 권장하고 있습니다.
레퍼런스
- ^ Leyden, John (1 March 2016). "One-third of all HTTPS websites open to DROWN attack". The Register. Retrieved 2016-03-02.
- ^ Goodin, Dan (1 March 2016). "More than 11 million HTTPS websites imperiled by new decryption attack". Ars Technica. Retrieved 2016-03-02.
- ^ a b c Nimrod Aviram, Sebastian Schinzel, Juraj Somorovsky, Nadia Henninger, Maik Dankel, Jens Steube, Luke Valenta, David Adrian, Alex Halderman, Victor Dukovni, Emilia Késper, Susan, Susan, Susanne, Susan, Susan, Susan, Susan, Susan.익사: SSLv2를 사용한 TLS 차단, 2016년
- ^ "National Cyber Awareness System Vulnerability Summary for CVE-2016-0800". web.nvd.nist.gov. Retrieved 2016-03-02.
- ^ "DROWN Attack". drownattack.com. Retrieved 2016-03-24.
- ^ "New TLS decryption attack affects one in three servers due to legacy SSLv2 support". PCWorld. Retrieved 2016-03-02.
- ^ "DROWN - Cross-protocol attack on TLS using SSLv2 - CVE-2016-0800 - Red Hat Customer Portal". access.redhat.com. Retrieved 2016-03-02.
- ^ "DROWN Attack". 1 March 2016.
- ^ "Cross-protocol attack on TLS using SSLv2 (DROWN) (CVE-2016-0800)". OpenSSL. 1 March 2016.
