SSL/TLS står för mycket stor del av den krypterade trafiken på Internet i dagsläget och används av exempelvis banker över hela världen.
Nu har två personer vid namn Marsh Ray samt Steve Dispensa på företaget PhoneFactor hittat en sårbarhet som gör det möjligt att injicera godtyckligt innehåll i början av en SSL/TLS-överföring.
Se dokumentet som beskriver attacken här:
Bloggare som skriver om detta: Extended subset, Ben Laurie (har även skapat en fix).
I en kommentar av en av våra läsare med alias EDBM fick vi följande förklarande gällande den kryptering som Google Wave använder:
TLS/SSL har två funktioner: Autentisering (i första hand av servern) och kryptering, där serverautentisering är obligatoriskt men kryptering är valbart genom val av ”TLS cipher”, där man kan välja bort kryptering om man vill, vilket skulle kunna vara vad man gör om man väljer ”Optional”.
Formuleringen har ingenting alls att göra med om certifikatet är ”självsignerat”. Termen ”självsignerat certifikat” är för övrigt missvisande, det man menar är egentligen att servercertifikatet inte är certifierat en välkänd CA utan bara ett ad hoc-certifikat som man själv har utfärdat.
Se orginalinlägget: kryptera.se/google-wave-kryptering
En ny version av stunnel finns nu ute (används flitigt av många anonymiseringstjänster):
Version 4.27, 2009.04.16
– Win32 DLL:er för OpenSSL 0.9.8k.
– FIPS support uppdaterad för openssl-fips 1.2.
– Ny strategi för failover när flera mål används
– pgsql protokoll-handskakning av Marko Kreen <[email protected]>.
– Uppdaterad INSTALL.W32 fil.
– Libwrap hjälpprocess fixad att stänga
input/output/error file descriptors.
– OS2 kompileringsfixar (använder någon verkligen OS2 längre?).
– WCE fixar av Pierre Delaage <[email protected]>.
ftp://stunnel.mirt.net/stunnel/stunnel-4.27-installer.exe
ftp://stunnel.mirt.net/stunnel/stunnel-4.27.tar.gz
SHA-1 checksumma för stunnel-4.27.tar.gz är:
2daf52fb0906de9fc5bd6a270e620e9316034fd4
För mer info se http://stunnel.mirt.net/
Nate Lawson som bloggar på http://rdist.root.org/ har uppmärksammat att WordPress.com inte använder SSL session resumption vilket gör att de måste räkna om nycklarna (2048-bit RSA decryption) för varje liten bit som går över linjen.
Så här ser det ut i nätverkssniffern Wireshark:
En ny version av OpenSSL finns nu ute att tanka hem från openssl.org som innehåller en mycket viktig säkerhetsfix:
Several functions inside OpenSSL incorrectly checked the result after calling the EVP_VerifyFinal function, allowing a malformed signature to be treated as a good signature rather than as an error. This issue affected the signature checks on DSA and ECDSA keys used with SSL/TLS.
Läs den fullständiga varningen: openssl.org/news/secadv_20090107.txt
Intressant att notera är även att det är Googles säkerhetsteam som hittat denna säkerhetsbugg.
En sårbarhet har identifierats i det förfarande som MD5 används tillsammans med signering av SSL certifikat. Genom att kombinera två äldre publika attacker:
Så har säkerhetsforskarna Alexander Sotirov, Jacob Appelbaum lyckats att skapa egna SSL-certifikat för godtycklig domän. De skulle exempelvis vara möjligt att skapa ett giltigt certifikat för swedbank.se med hjälp av denna attack. Dock så måste denna attack kombineras med någon annan attack mot exempelvis DNS.
We have identified a vulnerability in the Internet Public Key Infrastructure (PKI) used to issue digital certificates for secure websites. As a proof of concept we executed a practical attack scenario and successfully created a rogue Certification Authority (CA) certificate trusted by all common web browsers. This certificate allows us to impersonate any website on the Internet, including banking and e-commerce sites secured using the HTTPS protocol.
Our attack takes advantage of a weakness in the MD5 cryptographic hash function that allows the construction of different messages with the same MD5 hash. This is known as an MD5 ”collision”. Previous work on MD5 collisions between 2004 and 2007 showed that the use of this hash function in digital signatures can lead to theoretical attack scenarios. Our current work proves that at least one attack scenario can be exploited in practice, thus exposing the security infrastructure of the web to realistic threats.
HD Moore på BreakingPoint Labs har skrivit en lång och utförligt inlägg om detta: breakingpointsystems.com/community/blog/Attacking-Critical-Internet-Infrastructure.
Läs även:
Det omåttligt populära kryptobiblioteket OpenSSL har nu kommit ut i en ny version, nämligen 0.9.8i.
Några av de många förändringar och förbättringar är:
*) Delta CRL support
*) Support for CRLs partitioned by reason code
*) Support for freshest CRL extension.
*) Initial indirect CRL support.
*) Add support for distinct certificate and CRL paths.
*) Add support for policy mappings extension.
*) Fixes to pathlength constraint, self issued certificate handling,
policy processing to align with RFC3280 and PKITS tests.
*) Support for name constraints certificate extension. DN, email, DNS
and URI types are currently supported.*) To cater for systems that provide a pointer-based thread ID rather
than numeric, deprecate the current numeric thread ID mechanism and
replace it with a structure and associated callback type*) Initial support for different CRL issuing certificates.
*) Removed effectively defunct crypto/store from the build.
*) Revamp of STACK to provide stronger type-checking.
*) Add a new SSL_MODE_RELEASE_BUFFERS mode flag to release unused buffer
RAM on SSL connections.
*) Revamp of LHASH to provide stronger type-checking.
*) Initial support for Cryptographic Message Syntax (aka CMS) based
on RFC3850, RFC3851 and RFC3852.*) Add options to enc utility to support use of zlib compression BIO.
Några av dessa förändringar är sponsrade av Google. För att se samtliga ändringar:
En allvarlig brist har upptäckts i Debian och Debianbaserade distributioner som innebär att det är möjligt att förutspå vilka nycklar som genereras. Felet ligger i paketet OpenSSL och används exempelvis när nycklar skapas för SSH och SSL/HTTP.
Läs mer: http://wiki.debian.org/SSLkeys
