Điểm:1

Sử dụng các tham số DH tùy chỉnh để giải mã TLS

lá cờ mc

Có một số cách để giải mã TLS, ví dụ: trong môi trường doanh nghiệp. Tôi không thấy việc sử dụng các tham số DH "cửa hậu" được đề cập ở đâu đó mặc dù theo hiểu biết của tôi, nó sẽ hoạt động về nguyên tắc: Làm thế nào để một mô đun không phải số nguyên tố cho Diffie-Hellman cho phép tạo ra một cửa hậu?

CPU máy tính để bàn gần đây có thể giải mã lưu lượng truy cập trong (gần như) thời gian thực không? Nó có phụ thuộc vào mật mã hoặc phiên bản TLS không? Có bất kỳ lợi thế/bất lợi nào khi sử dụng tùy chọn này không? Tôi đoán việc đánh cắp các tham số tùy chỉnh cũng tương tự như việc đánh cắp thông tin cá nhân và bạn mất PFS?

dave_thompson_085 avatar
lá cờ cn
[Các nhà nghiên cứu Logjam năm 2015](https://weakdh.org/) đã tìm thấy một số trang web sử dụng DH 512-bit (mà họ đã phá vỡ) ngay cả khi không cố ý hạ cấp và nhiều trang web khác sử dụng 768-bit (mà họ coi là có thể phá vỡ ở mức khiêm tốn). Giá cả). Tất nhiên, thông thường những thứ này không bị ẩn dưới dạng 'cửa hậu', chúng chỉ không được phần lớn mọi người (và quản trị viên) chú ý, những người không quan tâm đến bảo mật cho đến khi chúng bị xâm phạm.
Điểm:1
lá cờ my

CPU máy tính để bàn gần đây có thể giải mã lưu lượng truy cập trong (gần như) thời gian thực không?

Nếu bạn đang hỏi cụ thể về các nhóm DH cửa sau, thì tốt, nếu bạn đang sử dụng phiên bản TLS cho phép máy chủ [1] đề xuất một nhóm DH không chuẩn (và khách hàng sẽ chấp nhận nhóm đó; những người lành mạnh sẽ không) , thì vâng, nó có thể đề xuất một nhóm cực kỳ yếu (ví dụ: nhóm mà $p-1$ không có thừa số lớn) và điều này sẽ làm cho việc khôi phục bí mật dùng chung (và do đó là các khóa lưu lượng) trở nên dễ dàng.

'Các nhóm DH yếu' như vậy là không thể nếu bạn đang thực hiện một phiên bản TLS lành mạnh (hoặc khách hàng từ chối chấp nhận một số tùy chọn khá kỳ quặc); mặt khác, nếu bạn đang thực hiện DH, bạn chỉ cần yêu cầu máy chủ sử dụng giá trị riêng DH có thể đoán được (ví dụ: một giá trị là chức năng của máy chủ hello cookie); kẻ tấn công có thể sử dụng nó để nghe lén.

Mặt khác, nếu bạn đang kiểm soát máy chủ, thì tại sao phải bận tâm? Máy chủ có các khóa lưu lượng trong tay; nếu kẻ thù kiểm soát điều đó, sẽ dễ dàng hơn nếu máy chủ cung cấp khóa phiên cho bất kỳ ai đang nghe.

[1]: Tôi nghĩ đó là máy chủ đề xuất nhóm DH trong TLS 1.2; nếu không, chỉ cần trao đổi máy khách và máy chủ trong đối số trên.

dave_thompson_085 avatar
lá cờ cn
Đối với TLS1.0-1.2 _không_ RFC7919, _if_ máy khách cung cấp và máy chủ chấp nhận bộ mật mã bằng cách sử dụng (FF)DHE, máy chủ chọn nhóm và máy khách phải tuân thủ hoặc hủy bỏ quá trình bắt tay. Với 7919, máy khách có thể yêu cầu các nhóm được tiêu chuẩn hóa (kiểu Oakley), nhưng máy chủ vẫn có thể chọn cách khác, trong trường hợp đó, máy khách có thể hủy bỏ. Tôi không biết bất cứ điều gì triển khai 7919 mà không triển khai TLS1.3, điều này không chỉ giúp XXDHE 'chuyển tiếp' (máy khách cung cấp (các) chia sẻ khóa cho máy chủ) mà còn thích hợp hơn trên các cơ sở khác.
Điểm:0
lá cờ cn

Trong giao thức TLS, máy chủ quyết định nhóm để trao đổi khóa: nhóm Diffie-Hellman trường hữu hạn hoặc đường cong elip. Máy chủ phải chọn trong các ràng buộc do máy khách đưa ra. Trong TLS 1.3, các nhóm được xác định từ một danh sách nhỏ các nhóm tiêu chuẩn. Các phiên bản trước của giao thức cho phép máy chủ mô tả một nhóm tùy chỉnh. Đối với các đường cong elip, điều này hiếm khi được hỗ trợ: hầu hết các phần mềm chỉ hỗ trợ các đường cong được đặt tên. Nhưng đối với trường hữu hạn Diffie-Hellman, máy khách thường chỉ hạn chế kích thước của nhóm và máy chủ sẽ gửi giá trị số của các tham số. Mặc dù hầu hết các phần mềm ngày nay đều hỗ trợ tiện ích mở rộng NamedGroup, nhưng hầu hết các máy khách sẽ chấp nhận các giá trị số để tương thích ngược. Vì vậy, một khách hàng có thể bị lừa chấp nhận các tham số FFDH được mở cửa sau.

Tuy nhiên, điều này hầu như không liên quan như một mối đe dọa bảo mật, bởi vì máy chủ chọn các tham số. Nếu máy chủ muốn thỏa hiệp việc trao đổi khóa, nó cũng có thể thực hiện trao đổi khóa hoàn toàn mạnh và sau đó ghi lại bí mật được chia sẻ ở đâu đó. Vì vậy, để các tham số FFDH yếu trở thành mối lo ngại về bảo mật, phải có một mô hình bảo mật cực kỳ khó xảy ra:

  • Máy chủ đang chạy mã có cửa hậu (hoặc có cấu hình có cửa hậu) và bạn không thể phát hiện ra rằng cửa hậu đã được chèn vào.
  • Mã có cửa hậu chỉ nằm trong một phần nhỏ của ngăn xếp TLS và bạn tin chắc rằng không có cửa hậu nào ở nơi khác có thể trực tiếp tiết lộ văn bản gốc hoặc bí mật được chia sẻ chẳng hạn.

Về cơ bản, FFDH có cửa hậu trong TLS chỉ có thể là máy chủ tự bắn vào chân mình. Việc nghe trộm lưu lượng giữa các máy chủ khác là không thích hợp. Máy chủ có cửa hậu và bạn không cần đến nó, hoặc máy chủ không có cửa hậu và điều đó sẽ không mang lại lợi ích gì cho bạn.

poncho avatar
lá cờ my
Trên thực tế, có một mô hình mối đe dọa thứ ba: bất kỳ ai đã sử dụng máy chủ đều không biết mật mã của họ và vô tình chọn các tham số DH yếu.

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.