SWEET32: TLS 64位分组密码生日攻击(CVE-2016-2183)

原链: https://access.redhat.com/articles/2548661

译者: Au2o3t@360GearTeam

审校: Terence@360GearTeam

译者注：

该问题的攻击条件苛刻。攻击者需要得到大量密文，论文里作者是通过30个小时，610GB数据实现。另外，需要明文中重要信息大量重复（这也是最终能解密出来的内容），并且要已知若干明文以及其在整个几百G数据中的位置。

概述

分组密码在SSL/TLS协议中的特定配置会遭到碰撞攻击。

背景

传统64位块分组密码在使用CBC模式时很容易被碰撞攻击。SSL/TLS协议所有支持使用3DES对称加密的密码套件都受影响（例如 ECDHE-RSA-DES-CBC3-SHA）。红帽企业版Linux6和7自带的OpenSSL版本中，基于DES的密码套件的优先级在AES-256和AES-128之下，因此只有显式禁用 AES-128 和 AES-256，DES密码才会启用。红帽企业版Linux5自带的OpenSSL版本中，基于DES的密码套件的优先级在AES-256和AES-128之间，因此只有显式禁用 AES-256，DES密码才会启用。

分组密码的安全性取决于密钥长度。因此，对分组密码最好的攻击是穷尽搜索密钥空间，其具有2^k复杂度。然而当分组密码使用如CBC模式加密大数据时，块长度对安全性的影响也不可忽视。

当使用CBC模式时，在使用同一密钥加密2^(n/2)块数据后将存在生日攻击，两密文块能够发生碰撞。这意味着存在相同的输入。结合几个条件（下面讨论）将可用于从加密数据中获取明文。

攻击的实用性

1、首先，DES/3DES 是 SSL/TLS 中唯一使用64位块的密码。如前所述，包含3DES的密码套件优先级低于其它密码套件。

2、要攻击64位分组密码，至少需要获取32GB以上密文。在SSL/TLS的情况，这需要在一个会话中完成（新会话会重商对称密钥）。因此HTTPS长连接会受影响。

3、在许多情况下，仅恢复两明文块之间的异或是不足以构成有实际影响的攻击的。但若满足下面条件，则可实施攻击：

·同一秘密被重复发送

·已知部分明文

4、研究论文中提到的攻击的概念证明中，假设了一些认证令牌在整个通信过程中在服务器和客户端之前传递（令牌可以是一个用于基本身份验证的凭据）。此时攻击者在被攻击网站运行一个恶意的 JavaScript 脚本，通过暴力攻击来获取凭据。

缓解措施

1、SSL/TLS配置中 AES 优先级应高于 DES。红帽企业版Linux6和7自带的OpenSSL版本中已经这样做了。

2、红帽企业版Linux5自带的OpenSSL版本中，3DES的优先级在AES-256和AES-128之间，因此不应禁用基于 AES-256 的密码套件。

3、使用OpenSSL的服务器，不应禁用AES-128和AES-256密码套件。红帽企业版Linux自带的Apache版本使用默认密码串，其中AES优先于DES/3DES密码套件。

解决方案

1、这一缺陷出于DES/3DES密码的设计，并不是实现问题。

2、这个缺陷不直接影响红帽企业版Linux5、6、7中的任何密码库（OpenSSL，NSS和GnuTLS），因在默认密码列表配置中有若干优先级高于3DES的更强的密码套件。

3、对于红帽企业版Linux5，不要禁用基于 AES-256 的密码套件。对于红帽企业版Linux6和7，不要禁用基于 AES-128 或 AES-256 的密码套件。

上游的安全修复：

OpenSSL：

OpenSSL 已评估为低危级别的安全问题，他们已在1.0.2分支中将3DES密码套件由类别“高”移至“中”，并将在即将发布的新版本中默认设为禁用。

NSS：

Mozilla正为所有密码套件做数据限制。

相关问题

上游 OpenVPN 也易受 Sweet32 攻击（CVE-2016-6329）。红帽的OpenVPN实现不受该缺陷影响。

参考

https://access.redhat.com/security/cve/CVE-2016-2183

https://sweet32.info/