มีหลายวิธีในการถอดรหัส TLS เช่น ในสภาพแวดล้อมขององค์กร ฉันไม่เห็นการใช้พารามิเตอร์ DH "ลับๆ" ที่กล่าวถึงที่ไหนสักแห่ง แต่ตามความเข้าใจของฉันมันควรจะใช้งานได้ตามหลักการ: โมดูลัสที่ไม่ใช่ไพรม์สำหรับ Diffie-Hellman ยอมให้มีแบ็คดอร์ได้อย่างไร
เป็นไปได้ไหมที่ CPU เดสก์ท็อปล่าสุดจะถอดรหัสทราฟฟิกแบบเรียลไทม์ (เกือบ) ขึ้นอยู่กับรหัสลับหรือเวอร์ชัน TLS หรือไม่ มีข้อดี/ข้อเสียในการใช้ตัวเลือกนี้หรือไม่? ฉันเดาว่าการขโมยพารามิเตอร์ที่กำหนดเองนั้นคล้ายกับการขโมยพารามิเตอร์ส่วนตัวและคุณสูญเสีย PFS หรือไม่
เป็นไปได้ไหมที่ CPU เดสก์ท็อปล่าสุดจะถอดรหัสทราฟฟิกแบบเรียลไทม์ (เกือบ)
หากคุณถามเฉพาะเจาะจงเกี่ยวกับกลุ่ม DH แบ็คดอร์ ถ้าคุณใช้ TLS เวอร์ชันที่อนุญาตให้เซิร์ฟเวอร์ [1] เสนอกลุ่ม DH ที่ไม่เป็นมาตรฐาน (และไคลเอ็นต์จะยอมรับกลุ่มนั้น คนปกติจะไม่ยอมรับ) ใช่แล้ว มันสามารถเสนอกลุ่มที่อ่อนแอมาก (เช่นกลุ่มที่ $p-1$ ไม่มีปัจจัยขนาดใหญ่) และสิ่งนี้จะทำให้การกู้คืนความลับที่ใช้ร่วมกัน (และด้วยเหตุนี้คีย์การรับส่งข้อมูล) จึงเป็นเรื่องง่าย
'กลุ่ม DH ที่อ่อนแอ' ดังกล่าวไม่สามารถทำได้หากคุณใช้ TLS เวอร์ชันปกติ (หรือไคลเอนต์ปฏิเสธที่จะยอมรับตัวเลือกที่ค่อนข้างแปลก) ในทางกลับกัน หากคุณกำลังทำ DH คุณสามารถให้เซิร์ฟเวอร์ใช้ค่าไพรเวต DH ที่คาดเดาได้ (เช่น ค่าที่เป็นฟังก์ชันของคุกกี้สวัสดีเซิร์ฟเวอร์) ผู้โจมตีสามารถใช้สิ่งนั้นเพื่อฟังได้
ในแง่ที่สาม หากคุณเป็นผู้ควบคุมเซิร์ฟเวอร์ แล้วทำไมต้องกังวลด้วย เซิร์ฟเวอร์มีคีย์การรับส่งข้อมูลอยู่ในมือ หากฝ่ายตรงข้ามควบคุมสิ่งนั้น การให้เซิร์ฟเวอร์มอบคีย์เซสชันให้กับใครก็ตามที่ฟังอยู่ก็จะยิ่งง่ายขึ้น
[1]: ฉัน คิด เป็นเซิร์ฟเวอร์ที่เสนอกลุ่ม DH ใน TLS 1.2; ถ้าไม่เพียงแค่สลับไคลเอนต์และเซิร์ฟเวอร์ในอาร์กิวเมนต์ด้านบน
ในโปรโตคอล TLS เซิร์ฟเวอร์จะตัดสินใจเลือกกลุ่มสำหรับการแลกเปลี่ยนคีย์: กลุ่ม Diffie-Hellman ที่มีขอบเขตจำกัดหรือเส้นโค้งวงรี เซิร์ฟเวอร์ต้องเลือกภายในข้อจำกัดที่กำหนดโดยไคลเอนต์ ใน TLS 1.3 มีการระบุกลุ่มจากรายการกลุ่มมาตรฐานเล็กๆ โปรโตคอลเวอร์ชันก่อนหน้าอนุญาตให้เซิร์ฟเวอร์อธิบายกลุ่มที่กำหนดเองได้ สำหรับเส้นโค้งวงรี จะไม่ค่อยรองรับ: ซอฟต์แวร์ส่วนใหญ่รองรับเฉพาะเส้นโค้งที่มีชื่อ แต่สำหรับ Diffie-Hellman ที่มีเขตข้อมูลจำกัด ไคลเอนต์แบบคลาสสิกจะจำกัดขนาดของกลุ่มเท่านั้น และเซิร์ฟเวอร์จะส่งค่าตัวเลขของพารามิเตอร์ แม้ว่าซอฟต์แวร์ส่วนใหญ่ในปัจจุบันจะสนับสนุนส่วนขยาย NamedGroup แต่ไคลเอ็นต์ส่วนใหญ่จะยอมรับค่าตัวเลขสำหรับความเข้ากันได้แบบย้อนกลับ ดังนั้น ลูกค้าอาจถูกหลอกให้ยอมรับพารามิเตอร์ FFDH ที่เป็นแบ็คดอร์
อย่างไรก็ตาม สิ่งนี้ค่อนข้างไม่เกี่ยวข้องกับภัยคุกคามความปลอดภัยเป็นส่วนใหญ่ เนื่องจาก เซิฟเวอร์ เลือกพารามิเตอร์ หากเซิร์ฟเวอร์ต้องการประนีประนอมการแลกเปลี่ยนคีย์ เซิร์ฟเวอร์ยังสามารถทำการแลกเปลี่ยนคีย์ที่แข็งแกร่งอย่างสมบูรณ์ จากนั้นบันทึกความลับที่ใช้ร่วมกันไว้ที่ใดที่หนึ่ง ดังนั้นเพื่อให้พารามิเตอร์ FFDH ที่อ่อนแอเป็นปัญหาด้านความปลอดภัย จะต้องมีโมเดลความปลอดภัยที่ไม่น่าเป็นไปได้อย่างมาก:
โดยพื้นฐานแล้ว FFDH แบบแบ็คดอร์ใน TLS สามารถเป็นได้เฉพาะเซิร์ฟเวอร์ที่ยิงเท้าของตัวเองเท่านั้น ไม่เกี่ยวข้องกับการดักฟังการรับส่งข้อมูลระหว่างโฮสต์อื่น เซิร์ฟเวอร์นั้นถูกแบ็คดอร์และคุณไม่ต้องการมัน หรือเซิร์ฟเวอร์นั้นไม่ได้ถูกแบ็คดอร์และมันจะไม่มีประโยชน์อะไรกับคุณ
คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา
