TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 เสี่ยงต่อการโจมตี Zombie POODLE/GOLDENDOODLE หรือไม่

ฉันได้รับรายงานที่หลากหลายเกี่ยวกับเรื่องนี้ ฉันมีโฮสต์เว็บและเครื่องมือสแกน SSL หลายตัว (รวมถึงเครื่องมือที่รันโดย Qualsys SSL แล็บ) บอกว่าชุดรหัส TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 ไม่เสี่ยงต่อ Zombie POODLE/GOLDENDOODLE และในขณะเดียวกัน ฉันมีบริษัทที่ปฏิบัติตามมาตรฐาน PCI ซึ่งระบุว่า เป็น เปราะบาง. น่าเสียดายที่ทั้งคู่ไม่เต็มใจที่จะขยับเขยื่อนในเรื่องนี้หรือให้รายละเอียดมากกว่าที่ฉันได้กล่าวไปแล้วที่นี่

ฉันไม่รู้เรื่อง crypto มากนัก แต่ฉันรู้ดีพอว่าการมี "CBC" ในชื่อของชุดการเข้ารหัสเพียงอย่างเดียวนั้นแสดงให้เห็นว่ามันใช้ cipher block chaining และการขยายหมายความว่ามันมีศักยภาพในการเปิดเผยช่องว่างภายในโดยไม่ได้ตั้งใจ oracle ดังนั้นจึงเสี่ยงต่อการโจมตีของ Zombie POODLE หากเป็นเช่นนั้น เหตุใดเครื่องมือสแกน SSL ทั้งหมดที่ฉันเคยใช้จึงไม่แนะนำ

นอกจากนี้ ฉันทราบดีว่ามีข้อโต้แย้งที่ถูกต้องต่อการใช้ TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 โดยทั่วไป แต่นั่นอยู่นอกขอบเขตของคำถามนี้ เนื่องจากฉันกังวลจริงๆ ว่ามีความเสี่ยงต่อการโจมตีของ Zombie POODLE/GOLDENDOODLE หรือไม่

ชุดการเข้ารหัสระบุว่า CBC ที่เสริมด้วย PKCS#7 ใช้กับการตรวจสอบ MAC ที่ดำเนินการหลังจากถอดรหัสเท่านั้น ซึ่งหมายความว่ามีความเสี่ยงต่อออราเคิลข้อความธรรมดาก่อนการตรวจสอบ MAC

การยกเลิกการแพดดิ้งส่วนใหญ่มีความเสี่ยง ไม่ใช่เพราะการแพดดิ้งออราเคิลมีแนวโน้มที่จะทำให้ข้อมูลรั่วไหลมากกว่าเมื่อเปรียบเทียบกับออราเคิลข้อความธรรมดาอื่นๆ แต่เพียงเพราะปกติการปลดแพดจะเกิดขึ้นก่อนที่ MAC จะได้รับการกู้คืน

เคล็ดลับการใช้งานคืออย่าปลดแพดอย่างชัดเจนเนื่องจากทราบความยาวของข้อความธรรมดาล่วงหน้า และทำการเปรียบเทียบ (โดยเฉพาะอย่างยิ่งเวลาคงที่) ของแท็กการรับรองความถูกต้องที่สร้างโดย HMAC ก่อนที่จะใช้ไบต์ข้อความธรรมดาใดๆ

หากไม่ทราบการนำไปใช้ แสดงว่าบริษัทปฏิบัติตาม PCI นั้นถูกต้อง จะทำให้เกิดความเสี่ยง เป็นสิ่งที่สามารถหลีกเลี่ยงได้ค่อนข้างง่ายโดยใช้ TLS 1.3 หรือ TLS 1.2 โดยใช้โหมดการทำงาน GCM หรือ CCM สำหรับ AES

TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 เป็นโปรโตคอล (ชุดย่อยของตระกูลโปรโตคอล TLS) Zombie POODLE และ GOLDENDOODLE เป็นช่องโหว่ในการใช้งานบางอย่างของโปรโตคอลนี้ ดังนั้น หากบริษัทปฏิบัติตามกฎระเบียบอ้างว่าทราบแต่เพียงว่าเซิร์ฟเวอร์ของคุณยอมรับชุดรหัสนี้ และเซิร์ฟเวอร์ของคุณอาจเสี่ยงต่อการถูกโจมตีเหล่านี้ นั่นก็ถูกต้องแล้ว หากบริษัทปฏิบัติตามข้อกำหนดอ้างว่าทันทีที่เซิร์ฟเวอร์ของคุณยอมรับชุดรหัสนี้ เซิร์ฟเวอร์จะเสี่ยงต่อการถูกโจมตีเหล่านี้ แสดงว่าพวกเขาคิดผิด

การโจมตีเหล่านี้อิงตามการวิเคราะห์การตอบสนองข้อผิดพลาดที่ส่งโดยเซิร์ฟเวอร์ TLS เมื่อได้รับอินพุตที่ไม่ถูกต้อง (ซึ่งอาจมาจากไคลเอ็นต์ที่เป็นอันตรายหรือจากคนกลาง) (การวิเคราะห์นี้รวมถึงการไม่มีการตอบสนองที่อาจเกิดขึ้นด้วย เป็นจังหวะของการตอบสนอง) ทั้งสองอย่างคือ การขยายการโจมตีของออราเคิล. ชุดเข้ารหัส TLS ทั้งหมดที่ใช้ CBC มีความเสี่ยงที่จะถูกโจมตีโดยออราเคิลหากใช้งานอย่างไร้เดียงสา การติดตั้ง TLS เกือบทั้งหมดมีความเสี่ยง ลัคกี้สิบสาม เมื่อมีการเปิดเผยในปี 2013 และบางส่วนอาจยังคงมีความเสี่ยงต่อตัวแปรต่างๆ ของมัน แต่ OpenSSL และสแต็ค TLS ที่สำคัญอื่น ๆ หลายตัวกำลังใช้มาตรการตอบโต้ซึ่งป้องกันการโจมตีของออราเคิลแบบแพดดิงหากใช้งานอย่างถูกต้องมาตรการรับมือเหล่านั้นค่อนข้างช้าและบอบบาง ดังนั้นคุณอาจไม่ต้องการพึ่งพามาตรการเหล่านั้น แต่สำหรับระดับความปลอดภัยที่คาดหวังสำหรับการปฏิบัติตาม PCI มาตรการเหล่านี้ก็เพียงพอแล้ว

หากเซิร์ฟเวอร์ของคุณใช้ OpenSSL หรือ Windows TLS stack หรือการใช้งาน TLS ส่วนใหญ่ ก็ถือว่าปลอดภัย (OpenSSL มีความเสี่ยงต่อการโจมตีอื่นที่คล้ายคลึงกันซึ่งถูกค้นพบในเวลาเดียวกัน โดยเรียกว่า â0-length OpenSSLâ เนื่องจากมีความเฉพาะเจาะจงกับพฤติกรรมของ OpenSSL) สิ่งที่คุณต้องกังวลเป็นหลักคือมิดเดิลบ็อกซ์บางตัวที่ถอดรหัสทราฟฟิก TLS ( ไฟร์วอลล์ ตัวจัดสรรภาระงาน â¦) ถึงอย่างนั้น ตราบใดที่คุณยังใช้ทั้งหมด แพตช์ความปลอดภัยคุณน่าจะสบายดี (และหากเฟิร์มแวร์ล่าสุดยังมีช่องโหว่อยู่ ให้เลิกผู้ให้บริการของคุณทันที)

ไม่ว่าในกรณีใดคุณสามารถใช้ เครื่องสแกนที่จัดทำโดยนักวิจัยที่ค้นพบการโจมตี เพื่อทดสอบระบบของคุณ นี่คือสแกนเนอร์แบบเดียวกับที่ Qualys (และคนอื่นๆ อย่างไม่ต้องสงสัย) ใช้ ดังนั้นหาก Qualys บอกว่าระบบของคุณไม่มีช่องโหว่ แสดงว่าคุณไม่มีปัญหาด้านความปลอดภัย ปัญหาเดียวของคุณคือการโน้มน้าวผู้ตรวจสอบบัญชีของคุณ

หากผู้ตรวจสอบบัญชีของคุณมีความสามารถใกล้เคียงกัน พวกเขาควรเรียกใช้เครื่องสแกนนี้หรือใช้บริการที่เรียกใช้เครื่องสแกนนี้ และสรุปได้ว่าระบบของคุณไม่มีช่องโหว่ แต่เมื่อพิจารณาจากการตอบสนองแล้ว พวกเขาอาจมีความสามารถน้อยกว่า ผู้สอบบัญชีที่ดีน่าจะรู้และสามารถอธิบายได้ทุกอย่างที่ฉันเขียนที่นี่ นอกจากนี้ยังเป็นเรื่องแปลกที่ผู้ตรวจสอบกล่าวถึงการโจมตีสองครั้งกับชุดการเข้ารหัสที่ใช้ CBC และไม่เก่ากว่าเช่น BEAST, Lucky Thirteen เป็นต้น

คุณสนใจที่จะสนับสนุน CBC cipher suites มากแค่ไหน? แม้ว่าจะสามารถติดตั้งได้อย่างปลอดภัย แต่เซิร์ฟเวอร์และมิดเดิลบ็อกซ์ที่สกัดกั้น TLS ของคุณทั้งหมดจะต้องมีคุณภาพสูง และมาพร้อมกับการลงโทษด้านประสิทธิภาพ ถ้าคุณไม่ ความต้องการ ฉันขอแนะนำให้ปิดการใช้งาน โดยทั่วไป สำหรับ TLS ความสมดุลที่ดีระหว่างความปลอดภัยและความเข้ากันได้คือการใช้เฉพาะชุดการเข้ารหัสแบบลายเซ็นเท่านั้น (เช่นกับ ECDHE หรืออาจจะเป็น DHE ในชื่อ นอกเหนือจาก RSA หรือ ECDSA) ด้วย AEAD (CCM, GCM หรือ CHACHA20_POLY1305) ชุดรหัสอื่นบางชุดสามารถรักษาความปลอดภัยได้ แต่มีความเสี่ยงเพิ่มขึ้นจากช่องโหว่ในการนำไปใช้งาน

ดังนั้นกลยุทธ์ของฉันกับผู้สอบบัญชีนี้คือ:

1. ตรวจสอบว่าคุณต้องการชุดรหัส CBC หรือไม่ ถ้าไม่ ให้ปิดการใช้งานและบอกผู้ตรวจสอบของคุณว่าประเด็นนี้เป็นสิ่งที่สงสัย
2. หากคุณต้องการชุดเข้ารหัส CBC ให้เตือนผู้ตรวจสอบว่าสิ่งเหล่านี้คือช่องโหว่ในการนำไปใช้งาน และโต้แย้งว่า Qualys กล่าวว่าการนำไปใช้งานนั้นมีช่องโหว่ หากพวกเขายังไม่มั่นใจ ให้เรียกใช้ตัวสแกน oracles ที่เสริมด้วยตัวคุณเองและเชิญผู้ตรวจสอบบัญชีของคุณให้ทำเช่นนั้นด้วย
3. หากผู้สอบบัญชีไม่ได้ยินอะไรเลย คุณอาจไม่มีทางเลือกอื่นนอกจากเปลี่ยนผู้สอบบัญชี ณ จุดนี้ เราห่างไกลจากการเข้ารหัสและเข้าสู่อาณาจักรธุรกิจ