Logjam (datorsäkerhet)
Logjam är en säkerhetsrisk i system som använder Diffie–Hellman-nyckelutbyte med samma primtal. Den upptäcktes av ett team av datavetare och rapporterades offentligt den 20 maj 2015. Upptäckarna kunde demonstrera sin attack mot 512-bitars ( amerikansk exportkvalitet) DH-system. De uppskattade att en angripare på tillståndsnivå kunde göra det för 1024-bitars system, som då användes allmänt, och därigenom tillåta dekryptering av en betydande del av internettrafiken. De rekommenderade att uppgradera till minst 2048-bitar för delade primära system.
Detaljer
Diffie–Hellman nyckelutbyte beror för sin säkerhet på den förmodade svårigheten att lösa det diskreta logaritmproblemet . Författarna utnyttjade det faktum att talfältssiktalgoritmen , som i allmänhet är den mest effektiva metoden för att hitta diskreta logaritmer, består av fyra stora beräkningssteg, varav de tre första beror endast på ordningen i gruppen G, inte på det specifika nummer vars ändliga logga önskas. Om resultaten av de första tre stegen är förberäknade och sparade, kan de användas för att lösa alla diskreta loggproblem för den primära gruppen på relativt kort tid. Denna sårbarhet var känd redan 1992. Det visar sig att mycket internettrafik bara använder en av en handfull grupper som är av storleksordningen 1024 bitar eller mindre.
Ett tillvägagångssätt som möjliggjordes av denna sårbarhet som författarna visade var att använda en man-in-the-middle-nätverksangripare för att nedgradera en Transport Layer Security (TLS)-anslutning till att använda 512-bitars DH exportklassad kryptografi, vilket gör att de kan läsa utbytta data och injicera data i anslutningen. Det påverkar bland annat HTTPS- , SMTPS- och IMAPS- protokollen. Författarna behövde flera tusen CPU- kärnor under en vecka för att förberäkna data för en enda 512-bitars prime. När det väl var gjort kunde dock individuella logaritmer lösas på ungefär en minut med hjälp av två 18-kärniga Intel Xeon- processorer. Dess CVE-ID är CVE - 2015-4000 .
Författarna uppskattade också genomförbarheten av attacken mot 1024-bitars Diffie–Hellman-primtal. Genom designen använder många Diffie–Hellman-implementeringar samma förgenererade prime för sitt område. Detta ansågs säkert, eftersom det diskreta loggproblemet fortfarande anses vara svårt för tillräckligt stora primtal även om gruppen är känd och återanvänds. Forskarna beräknade kostnaden för att skapa logjam-förberäkningar för en 1024-bitars prime till hundratals miljoner USD, och noterade att detta var väl inom intervallet för FY2012:s 10,5 miljarder US Consolidated Cryptologic Program (som inkluderar NSA ) . På grund av återanvändningen av primer skulle generering av förberäkning för bara en prime bryta två tredjedelar av VPN:er och en fjärdedel av alla SSH -servrar globalt. Forskarna noterade att denna attack stämmer överens med påståenden i läckta NSA-papper att NSA kan bryta mycket aktuell kryptografi. De rekommenderar att man använder primtal på 2048 bitar eller mer som ett försvar eller byter till elliptisk kurva Diffie–Hellman (ECDH). Påståenden om de praktiska konsekvenserna av attacken ifrågasattes dock av säkerhetsforskarna Eyal Ronen och Adi Shamir i deras artikel "Critical Review of Imperfect Forward Secrecy".
Testverktyg
- TLS -baserade tjänster som webbservrar som erbjuder HTTPS kan kontrolleras för sårbarheten med hjälp av skannrar som SSLyze , Qualys SSL-servertest , ImmuniWeb SSL Security Test , SSLTrust , CryptCheck , CypherCraft , testssl.sh eller keycdn.com scanner .
- SSH- servrar kan testas med SSH-Weak-DH-verktyget .
Svar
- Den 12 maj 2015 släppte Microsoft en patch för Internet Explorer .
- Den 16 juni 2015 tillhandahöll Tor-projektet en patch för Logjam till Tor-webbläsaren .
- Den 30 juni 2015 släppte Apple en patch för både OS X Yosemite och iOS 8 operativsystem.
- Den 30 juni 2015 släppte Mozilla -projektet en fix för webbläsaren Firefox .
- Den 1 september 2015 släppte Google en fix för webbläsaren Chrome .
- Den 6 december 2017 publicerade IETF RFC 8270 som heter "Öka den minsta rekommenderade Diffie-Hellman-modulstorleken till 2048 bitar".