Marvin攻擊:存在25年的RSA解密漏洞

對于使用前向安全密碼套件的TLS主機(jī),攻擊者必須在客戶端超時重連之前執(zhí)行大量的并行攻擊以偽造服務(wù)器簽名,雖然攻擊會比較困難,但仍然存在成功的可能性。

本文來自微信公眾號“嘶吼專業(yè)版”,作者/ang010ela。

據(jù)悉,1998年發(fā)現(xiàn)的SSL服務(wù)器PKCS#1 v1.5填充相關(guān)漏洞仍然影響多個服務(wù)器。

1998年,安全研究人員發(fā)現(xiàn)攻擊者利用PKCS#1 v1.5填充的錯誤引發(fā)的SSL服務(wù)器的錯誤信息可以發(fā)起選擇密文攻擊,當(dāng)與RSA解密同時使用時可以完全破解TLS解密的機(jī)密性;2018年,Hanno B?ck等人證明19年之后,許多互聯(lián)網(wǎng)服務(wù)器仍然受到該攻擊的變種的影響,紅帽(Red Hat)研究人員發(fā)現(xiàn)了該攻擊的多個變種,并將其命名為“Marvin Attack”。Marvin攻擊可以繞過現(xiàn)有補(bǔ)丁和緩解措施,解密RSA密文、偽造簽名、甚至解密有漏洞的TLS服務(wù)器的會話信息。

·對于有漏洞的實(shí)現(xiàn),攻擊者可以解密RSA密文和偽造簽名。

·對于默認(rèn)使用RSA加密密鑰交換的TLS服務(wù)器,攻擊者可以記錄會話,并之后解密會話內(nèi)容。

·對于使用前向安全密碼套件的TLS主機(jī),攻擊者必須在客戶端超時重連之前執(zhí)行大量的并行攻擊以偽造服務(wù)器簽名,雖然攻擊會比較困難,但仍然存在成功的可能性。

研究人員發(fā)現(xiàn)多個實(shí)現(xiàn)和修復(fù)措施仍然受到該漏洞的影響,經(jīng)過測試研究人員認(rèn)為大多數(shù)密碼學(xué)實(shí)現(xiàn)在實(shí)踐中都受到該漏洞的影響,包括OpenSSL、GunTLS、NSS、

·pyca/cryptography、M2crypto、OpenSSL-ibmca、Go、GNU MP:

·OpenSSL(TLS level):RSA解密時間Oracle漏洞,對應(yīng)CVE漏洞編號CVE-2022-4304;

·GnuTLS(TLS level):ClientKeyExchange過程中偽造的RSA密文響應(yīng)時間與正確的PKCS#1 v1.5填充密文響應(yīng)時間不同,對應(yīng)CVE漏洞編號CVE-2023-0361;

·NSS(TLS level):改善RSA操作的恒定時間,對應(yīng)CVE漏洞編號CVE-2023-4421;

·pyca/cryptography:嘗試緩解針對RSA解密的Bleichenbacher攻擊,CVE-2020-25659補(bǔ)丁無效,需要OpenSSL層級補(bǔ)?。?/p>

·M2crypto:嘗試緩解針對RSA解密的Bleichenbacher攻擊,CVE-2020-25659補(bǔ)丁無效,需要OpenSSL層級補(bǔ)丁。

研究人員稱該漏洞并不局限于RSA,可以擴(kuò)展到大多數(shù)的非對稱密碼算法,包括Diffie-Hellman、ECDSA等,可能引發(fā)側(cè)信道攻擊。

研究人員提供了TLS服務(wù)器層面和API層面的工具來檢測該問題,工具腳本參見:https://github.com/tlsfuzzer/tlsfuzzer/blob/master/scripts/test-bleichenbacher-timing-pregenerate.py

安全建議

對于受影響的用戶,研究人員建議安裝相關(guān)的補(bǔ)丁或更新。此外,研究人員建議用戶停用RSA PKCS#1 v1.5加密,在TLS層面,只有啟用了RSA加密的服務(wù)器受到影響,大多數(shù)客戶端支持ECDH,因此禁用使用RSA加密的密碼套件即可不受該漏洞的影響。對于客戶單,可以使用Finite Field Diffie Hellman。

研究論文已被CCF-B類會議ESORICS錄用,論文下載地址:https://eprint.iacr.org/2023/1442

參考及來源:https://www.bleepingcomputer.com/news/security/new-marvin-attack-revives-25-year-old-decryption-flaw-in-rsa/

THEEND

最新評論(評論僅代表用戶觀點(diǎn))

更多
暫無評論