DROWN (oder warum TLS-Konfiguration schwer ist)

Transkript

1 CycleSEC Prof. Dr. Sebastian Schinzel DROWN (oder warum TLS-Konfiguration schwer ist) Nimrod Aviram, Sebastian Schinzel, Juraj Somorovsky, Nadia Heninger, Maik Dankel, Jens Steube, Luke Valenta, David Adrian, J. Alex Halderman, Viktor Dukhovni, Emilia Käsper, Shaanan Cohney, Susanne Engels, Christof Paar and Yuval Shavitt 1

2 Ist sichere OpenSSL-Konfiguration eine Raketenwissenschaft? # Die sicheren Ciphersuites der Woche SSLCipherSuite ECDHE-RSA-AES128-SHA256:\ HIGH:!RC4:!MD5:!aNULL SSLHonorCipherOrder on # Prevent POODLE SSLProtocol all -SSLv

3 Verbreitung von SSLv2 (Feb. 2016) Neuer Angriff gegen SSLv2: wir müssen ~1.000 TLS- Handshakes sammeln wir müssen ~ SSLv2- Handshakes für Angriff durchführen wir müssen ~2 50 Export Cipher-Verschlüsselungen durchführen

4 Die Puzzleteile von DROWN Bleichenbachers 1998 Angriff Neue Protokollschwachstelle in SSLv2 40 bit Export Ciphers SSL/TLS Versionen nutzen gleiche Keys 2 Implementierungsfehler in OpenSSL Prakt. Angriff gegen SSLv2 Prakt. Angriff gegen viele TLS-Server Trivialer Angriff gegen viele TLS-Server

5 Bleichenbachers 1998 Angriff

6 Bleichenbachers 1998 Angriff Bleichenbachers Angriff erlaubt die Entschlüsselung eines Klartext m 0 Angreifer benötigt Zugang zu Oracle O, das a) einen Ciphertext c entschlüsselt b) Je nach Gültigkeit des Paddings mit 1 oder 0 antwortet Wenn Oracle mit 1 antwortet: 2B m < 3B 1 with B = 2 8(l 2) Prof. Sebastian Schinzel 6

7 Eine neue Protokollschwachstelle in SSLv

8 SSLv2 Protokoll Angreifer erlangt immer einen Ciphertext, da das Server-Verify auch ohne Client-Finish verschickt wird. server_write_key = MD5 mk 0 r c r s ) Prof. Sebastian Schinzel 8

9 SSLv2 Protokol EXPORT Ciphersuites mit 40 Bit Schlüsseln SSL_RC2_128_CBC_EXPORT40_WITH_MD5 128 bit Schlüssel nur 40 bit sind verschlüsselt mk = mk clear mk secret Für nicht-export-ciphers ist die Länge von mk clear 0 server_write_key = MD5 mk 0 r c r s ) Prof. Sebastian Schinzel 9

10 Neue Protokollschwachstelle in SSLv2 Schicke das selbe PMS zweimal. Beobachtung: Padding des PMS ist gültig Beide server_write_key sind gleich Padding des PMS ist ungültig neuer master_key wird für jeden Request generiert, server_write_key ändert sich Decrypt PMS Valid padding? No Ein neues Bleichenbacher Oracle... Yes Use decrypted PMS Use random PMS Prof. Sebastian Schinzel 10

11 Die Puzzleteile von DROWN Bleichenbachers 1998 Angriff Neue Protokollschwachstelle in SSLv2 40 bit Export Ciphers Prakt. Angriff gegen SSLv

12 SSL/TLS Versionen nutzen gleiche Keys

13 SSL/TLS Versionen nutzen gleiche Keys Das gleiche Zertifikat wird über SSLv2 und TLS gesendet Verschiedene Protokolle nutzen die gleichen kryptografischen Protokolle SMTP, IMAP, POP3, HTTPS,... TLS 1.2 TLS 1.1 TLS 1.0 SSL v3 SSL v2 Wenn 10 Systeme die gleichen RSA Keys verwenden und nur eines davon anfällig gegen DROWN ist, dann können Verbindungen zu allen 10 Systemen gebrochen werden. SMTP IMAP POP3 HTTPS XMPP Prof. Sebastian Schinzel 13

14 SSL/TLS Versionen nutzen gleiche Keys Prof. Sebastian Schinzel 14

15 SSL/TLS Versionen nutzen gleiche Keys Prof. Sebastian Schinzel 15

16 SSL/TLS Versionen nutzen gleiche Keys Prof. Sebastian Schinzel 16

17 Die Puzzleteile von DROWN Bleichenbachers 1998 Angriff Neue Protokollschwachstelle in SSLv2 40 bit Export Ciphers SSL/TLS Versionen nutzen gleiche Keys Prakt. Angriff gegen SSLv2 Prakt. Angriff gegen viele TLS-Server Two implementation errors in OpenSSL

18 Zwei Implementierungsfehler in OpenSSL 1. CVE Ciphersuite selection bug

19 CVE Ciphersuite selection bug Wir nehmen einen Server, der a) das SSLv2-Protokoll anbietet, b) aber keine SSLv2-Ciphersuites anbietet. OpenSSL prüft die vom Client ausgewählte Ciphersuite nicht Server mit SSLv2-Unterstütztung sind selbst bei sicherer Ciphersuite- Konfig anfällig gegen DROWN Prof. Sebastian Schinzel 19

20 Zwei Implementierungsfehler in OpenSSL 2. CVE Special DROWN

21 CVE Special DROWN Wir schauen uns mal Export-Cipher genauer an: SSL_RC2_128_CBC_EXPORT40_WITH_MD5 nutzt RC2 mit 128 bit Schlüsseln, aber übertragen nur 40 bit verschlüsselt nur 40 bit sind geheim OpenSSL-Implementierungsfehler erlaubt es, die clear bits auch mit nicht-export-ciphern zu verwenden Prof. Sebastian Schinzel 21

22 CVE Special DROWN Angriff: 1. Sende 15 clear bytes 2. Bruteforce den Schlüssel des ServerVerify lerne k 1 3. Sende 14 clear bytes 4. Bruteforce den Schlüssel des ServerVerify lerne k 2 5. Sende 13 clear bytes 6. Bruteforce den Schlüssel des ServerVerify lerne k Key bytes set by attacker k n k n Key byte to be brute forced in current step Key byte already learned in previous step len k k 1 k k 1 k 2 k 3 0 k 1 k 2 k 3 k 4 k 5 k 6 k 7 k 8 k 9 k 10 k 11 k 12 k 13 k 14 k 15 k Prof. Sebastian Schinzel 22

23 CVE Special DROWN Generic DROWN hatte 2 40 Komplexität pro Oracle-Anfrage Special DROWN benötigt 15 Testverbindungen im Mittel = 1920 Testverschlüsselungen Prof. Sebastian Schinzel 23

24 CVE Special DROWN Prof. Sebastian Schinzel 24

25 Die Puzzleteile von DROWN Bleichenbachers 1998 Angriff Neue Protokollschwachstelle in SSLv2 40 bit Export Ciphers SSL/TLS Versionen nutzen gleiche Keys Two implementation errors in OpenSSL Prakt. Angriff gegen SSLv2 Prakt. Angriff gegen viele TLS-Server Trivialer Angriff gegen viele TLS-Server

26 CVE Special DROWN Erkenntnisse über das Patchverhalten von OpenSSL- Usern... Scanergebnisse verschiedener Gruppen... OpenSSL-Versionen Alter: > 1 Jahr Prof. Sebastian Schinzel 26 91% 98% 97% 67% 115% 82% 105% 101% 27%

27 CycleSEC Prof. Dr. Sebastian Schinzel DROWN (oder warum TLS-Konfiguration schwer ist) Nimrod Aviram, Sebastian Schinzel, Juraj Somorovsky, Nadia Heninger, Maik Dankel, Jens Steube, Luke Valenta, David Adrian, J. Alex Halderman, Viktor Dukhovni, Emilia Käsper, Shaanan Cohney, Susanne Engels, Christof Paar and Yuval Shavitt 27

28 Prof. Dr.-Ing. Sebastian Schinzel Prof. Sebastian Schinzel 28