Un team di studiosi ha rivelato una nuova crittografia attacco di questa settimana, che può rompere la crittografia TLS traffico, consentendo agli hacker di intercettare e rubare dati precedentemente considerato sicuro e sicuro.
Questo nuovo attacco di downgrade –che non hanno un nome di fantasia come la maggior parte di crittografia attacchi tendono ad avere– funziona anche contro l’ultima versione del protocollo TLS TLS 1.3, pubblicato la scorsa primavera e considerato sicuro.
La nuova crittografia attacco non è nuovo, di per sé. È ancora un’altra variante dell’originale Bleichenbacher oracle attacco.
L’attacco originale è stato chiamato dopo Svizzero crittografo Daniel Bleichenbacher, che nel 1998 ha dimostrato una prima pratica di attacco contro i sistemi che utilizzano la crittografia RSA, di concerto con il PKCS#1 v1 funzione di codifica.
Negli anni, crittografi hanno variazioni sull’originale attacco, come in 2003, 2012, 2012, 2014, 2014, 2014, 2015, 2016 (ANNEGARE), e il 2017 (ROBOT), e il 2018.
La ragione di tutti questi attacchi variazioni è perché gli autori del protocollo di crittografia TLS deciso di aggiungere contromisure a fare tentativi per indovinare la RSA chiave di decrittografia più difficile, invece di sostituire l’insicuro algoritmo RSA.
Queste contromisure sono state definite nella Sezione 7.4.7.1 di TLS standard (RFC 5246), che molti produttori hardware e software che negli anni hanno mal interpretato o non è riuscito a seguire la lettera della legge.
Questi errore di riferimento per l’implementazione di adeguate strategie di riduzione del rischio ha portato molti TLS-in grado di server, router, firewall, Vpn e codifica le librerie ancora vulnerabile ad Bleichenbacher attacco variazioni, che ha trovato e sfruttato problemi di errato di mitigazione procedure.
L’ultima Bleichenbacher attacco variazioni è stato descritto in un documento tecnico pubblicato mercoledì, questa settimana, intitolato “9 Vite di Bleichenbacher GATTO: Nuova Cache Attacchi su TLS Implementazioni.”
Sette ricercatori da tutto il mondo-ancora una volta-un altro modo per rompere le RSA PKCS#1 v1.5, il più comune RSA di configurazione utilizzato per crittografare le connessioni TLS al giorno d’oggi. Oltre a TLS, questo nuovo Bleichenbacher attacco funziona anche contro il nuovo Google QUIC protocollo di crittografia.
“L’attacco sfrutta un canale laterale di tenuta tramite l’accesso alla cache tempi di queste implementazioni al fine di rompere la chiave RSA scambi di TLS implementazioni,” i ricercatori hanno detto.
Anche la versione più recente del TLS 1.3 protocollo, dove RSA di utilizzo è stato ridotto al minimo, può essere modificato in alcuni scenari di TLS 1.2, dove il nuovo Bleichenbacher attacco variazione opere.
“Abbiamo testato nove diversi TLS implementazioni contro la cache attacchi e sette sono stati trovati per essere vulnerabili: OpenSSL, Amazon s2n, MbedTLS, Apple CoreTLS, Mozilla NSS, WolfSSL, e GnuTLS,” i ricercatori hanno detto.
Le versioni aggiornate di tutti gli interessati le librerie sono stati pubblicati contemporaneamente nel novembre del 2018, quando i ricercatori hanno pubblicato una bozza iniziale del loro documento di ricerca.
Per ulteriori dettagli, le seguenti CVE identificatori sono stati assegnati per il bug di sicurezza l’attivazione di questa nuova Bleichenbacher attacco: CVE-2018-12404, CVE-2018-19608, CVE-2018-16868, CVE-2018-16869, e CVE-2018-16870.
Le due librerie che non erano vulnerabili sono stati BearSSL e Google BoringSSL.
Relative la copertura di sicurezza:
Google mette in guardia circa due iOS zero-giorni ‘sfruttata’Firefox per ottenere un ‘isolamento del sito’, simile a ChromeLinux kernel ottiene un’altra opzione per disabilitare Spettro attenuazioni
Nuovo macOS zero-day permette il furto di utente passwordsSecurity difetti trovato in 26 di fascia bassa cryptocurrencies
Nuova falla di sicurezza impatti 5G, 4G, 3G protocolli di telefonia
Google vuole pagare 15.000 dollari per migliorare la sicurezza del cloud TechRepublicKRACK attacco: Ecco come le aziende stanno rispondendo CNET
Argomenti Correlati:
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati