Logjamとは何ですか。

TL; DR

SSL/TLSクライアントとサーバーは、いくつかの弱い暗号を使用することに同意します。さて、弱い暗号はweakであることがわかります。

詳細

SSL/TLSプロトコルが実行されると、クライアントはサポートされている暗号スイートのリストを送信し、サーバーはそれを選択します。最初のハンドシェイクの最後に、いくつかのFinishedメッセージが交換され、新しくネゴシエートされた暗号アルゴリズムで暗号化/保護されます。これらのメッセージのcontentsは、先行するすべてのメッセージのハッシュです。

アイデアは、アクティブな攻撃者（a MitM attack ）がクライアントから送信された暗号スイートのリストを操作して、すべての「強力な」暗号スイートを削除し、クライアントとサーバーの両方の最も弱いものだけを保持することです。サポート。ただし、これによりFinishedメッセージが壊れます。したがって、これらのメッセージは、（他の役割の中で）そのようなダウングレード攻撃を検出することを目的としています。

理論的には、それは問題ありません。クライアントとサーバーの両方が非常に弱い暗号スイートをサポートしていない限り、MitM攻撃者はそれを破ることができますすぐに、暗号化レイヤー全体を解明し、Finishedメッセージをリアルタイムで修正します。ここで何が起こるかです。

さらに詳しく

「DHE」暗号スイート（「Diffie-Hellman Ephemeral」など）を使用する場合、サーバーはクライアントとサーバーが実行する「DHパラメーター」（モジュラスとジェネレーター）を送信します Diffie-Hellman鍵交換 。さらに、サーバーはそのメッセージにプライベートキー（実際にはRSAを使用しているため、通常はRSAキー）を使用してメッセージに署名します。クライアントはその署名を検証し（公開鍵はサーバー証明書にあるものです）、DHパラメータを使用して鍵交換を完了します。

たまたま前世紀には、暗号に関する米国の厳格な輸出規制があり、これが「輸出暗号スイート」、つまりこれらの規制と互換性のある弱い暗号を促しました。多くのSSLサーバーは、依然としてこれらの「エクスポート暗号スイート」をサポートしています。特に、DHE​​を使用し、512ビット以下のDH係数を要求する一部の暗号スイート。さらに、SSLライブラリで提供されるものを使用する方が独自のSSLを生成するよりも簡単なので、サーバーのほとんどのSSLはsame係数を使用します。他の人と同じ係数を再利用することは大きな問題ではありません。 DHはそれを問題なく許容します。ただし、攻撃者が特定の係数を使用する1つのDHインスタンスを破壊するために多くの計算に投資する場合、pであれば、同じ攻撃者が同じことを使用する他のインスタンスを破壊するためにほぼすべての作業を再利用できることを意味します。係数p。

したがって、攻撃は次のように実行されます。

• 攻撃者はMitMの位置にいます。データフローをリアルタイムで変更できます
• 攻撃者は、クライアントから送信された暗号スイートのリストを変更して、エクスポートDHE暗号スイートの使用を指定します。
• サーバーは512ビットの係数に準拠して送信しますp、
• クライアントは依然として非エクスポートDHEを実行していると確信していますが、DHモジュラスはDHモジュラスであるため、クライアントはサーバーからの弱い/エクスポートモジュラスを問題なく受け入れます。
• 攻撃者はその値pで事前計算を使用して、リアルタイムでDHを破壊し、Finishedメッセージを修正します。

Logjamアーティクル 作成者は、これを「プロトコルの欠陥」と呼んでいます。これは、エクスポートDHパラメータを含むServerKeyExchangeメッセージが「for export」としてタグ付けされておらず、識別できない（係数の長さを保存する）ためです。非エクスポートDHパラメータを含むServerKeyExchangeメッセージ。しかし、本当の欠陥はそこにはないと言います。実際の問題は、クライアントとサーバーがどちらも弱いことを知っていても、クライアントとサーバーが512ビットのDHモジュラスの使用を受け入れることです。

どうすればよいですか？

ええと、いつもと同じことです。ソフトウェアベンダーからパッチをインストールしてください。実際のところ、これは言うまでもありません。

クライアント側では、MicrosoftはInternet Explorerにパッチを適用して、小さすぎる係数の使用を拒否しています。 Mozillaによるプラグインの形でのFirefoxの修正が利用可能です here 現在。他のブラウザーベンダー（Opera、Chrome ...）が間もなく続くと予想されます。

サーバー側では、「エクスポート」暗号スイートのサポートを明示的に無効にして、独自のDHパラメータを生成できます。詳細は そのページ を参照してください。 IISは、これらすべての影響を受けないことに注意してください。これは、DSSサーバー証明書以外でDHE暗号スイートをサポートすることはなく、誰もDSSサーバー証明書。

[〜＃〜] ecdhe [〜＃〜]暗号スイートでは、「EC」は「楕円曲線」を意味しますが、ここではリスクがないことに注意してください。

• 「エクスポート」ECDHE暗号スイートはありません（ECDHE暗号スイートは、米国の輸出規制が大幅に解除された後に定義されました）。
• 一般的にクライアントはいくつかの特定の曲線（通常はP-256とP-384の2つのみ）のみをサポートし、どちらも壊れるほど弱いわけではありません（現在ではなく、予見可能な将来ではありません）。

そしてNSA？はどうですか？

Logjamの研究者たちは、「国家国家の資源を持つ攻撃者」がどのようにして1024ビットDHを突破できるかについてのいくつかの話を含んでいます。これはかなりストレッチです。私の経験では、国民国家には確かに多くのリソースがあり、それを使うのは得意ですが、それはハード暗号を解読することに成功したのと同じことではありません。

それにもかかわらず、1024ビットDHが「弱すぎる」と恐れる場合は、2048ビット（とにかくこれが推奨されるビット）またはECDHEを使用してください。

または、圧倒的なリソースを持つ人々が本当に圧倒的なリソースを持ち、単純な係数サイズに負けないことを単に受け入れてください。クラッキングマシンに数十億ドルを費やすことができる人は、数百ドルで子供に賄賂を渡して、コンピューターファイルと財布を調べることもできます。