随着CBC和RC4加密算法的相继“沦陷”,依赖SSL/TLS的企业需要引起高度重视,选择更安全的加密算法。
最近,一个来自数个安全研究学术机构成员组成的团队, 又爆出了SSL的又一些漏洞。
在2013年2月, NadhemAlFardan和 Kenny Paterson发现了一个名为Luck13的攻击方式, 这种攻击方式主要攻击SSL/TLS采取的CBC方式的块加密方式。攻击着可以通过阻断TLS连接的方式(比如通过恶意软件故意断掉链接, TLS会自动重发), 让发送方反复发送同一加密内容(比如cookie或者密码的密文), TLS发送错误信息的时间差异的分析。 Luck13攻击可以在较短时间内破解密文。
Nadhem和AlFardan发表了他们的发现。 建议在SSL/TLS中尽量不要使用CBC模式的块加密算法。 可以采用如RC4这样的流加密算法。
然而,不到一个月,在2013年3月,NadhemAlFardan,Dan Bernstein,Kenny Paterson, Bertram Poettering和Jacob Schuldt又宣布,采用RC4加密的SSL/TLS也存在安全漏洞。
SSL/TLS的工作原理大致是这样的, 首先通过公钥加密算法如RSA等, 通过网络交换一个共同的Session密钥。 然后, 利用这个Session密钥利用对称加密算法进行加密。 这样的好处是,由于公钥加密算法的效率较低,可以用来传递小数据量如对称加密的密钥, 然后利用对称加密的高效率来加密大数据量。 CBC模式块加密和RC4的流加密都属于对称加密的算法。
根据Nadhem等人的报告,目前网络上的SSL/TLS的流量的50%大约是用RC4进行加密的。其实RC4的加密不安全性已经不是什么新闻了。其实早在2001年,两位以色列的密码专家ItsikMantin和Adi Shamir就发表了一篇论文《”A practical attack on RC4》,当时,无线互联网Wi-Fi的早期加密算法WEP就是利用RC4来进行加密的。 而这篇论文成为破解WEP密码的理论基础,导致了人们能够轻易的破解WEP,从而推动Wi-Fi加密全面转向WPA。(编者:有意思的是Adi Shamir就是加密算法RSA中的“S”,而RC4中的“R”Ron Rivest,也是RSA中的“R”)。
对RC4的攻击,主要集中在RC4的随机数生成的统计不平均的漏洞上。WEP的破解就是利用WEP数据包的标号的漏洞进行统计分析从而进行破解的。
而NadhemAlFardan,Dan Bernstein, Kenny Paterson,Bertram Poettering和 Jacob Schuldt对RC4的攻击方法,比ItsikMantin和 Adi Shamir要更进一步。他们通过对RC4的前256个密文字节的每一位建立了统计。通过224次Session就可以破解出密文的前256个字节。而研究小组还在进一步改进算法,以期达到更好的效果。
对于依赖SSL/TLS的企业来说,重要的是必须意识到SSL/TLS的安全性问题。企业需要认真检查他们的SSL安全模块的加密算法实施。对此,研究小组给出的综合建议是:
鉴于CBC模式的块加密方式以及RC4流加密都出现了漏洞, 并且已经有了现实的攻击手法。企业最好是在SSL/TLS加密方式上选择更为安全的AES-GCM方式。
AES-GCM方式是一种新的块加密实现方式。它可以同时实现加密和认证两个步骤。不但可以避免类似于RC4加密这样的漏洞,同时也能够防范类似于Luck13 这样的时间差异分析的攻击手段。
不过,由于RC4方式的广泛使用, 企业在废弃SSL/TLS的RC4方式时,也需要注意用户是否会因为服务器端不支持RC4而产生的连接问题。当然,企业需要权衡用户使用的不便与采用RC4可能导致的后果。