Перевірте Ваші сайти вразливість TLS Logjam

Пару місяців тому в протоколі TLS виявили уразливість, яка отримала назву Logjam. Проведені дослідження показали, що велика кількість серверів схильне до цієї проблеми, оскільки, застосовуючи захищені з'єднання, використовують типові і найбільш поширені прості ключі шифрування розміром 512 біт. Раніше, такої довжини цілком могло вистачити для захисту з'єднання клієнта з сервером. На сьогоднішній же день, проведені дослідження по обчисленню найбільш поширені ключів. Host-tracker пропонує функціонал, який дозволяє миттєво перевірити дану уразливість.



Logjam в дії
Виявлено три способи проведення Logjam атаки. Один із способів обумовлений налаштуваннями веб-сервера, який за замовчуванням використовує 512-бітні DH-ключі. Для злому таких ключів достатньо лише «прослухати» трафік сервера, а потім зайнятися розшифровкою. Два інших способи передбачають проведення атаки «людина посередині». Перший випадок передбачає використання спеціального механізму прискорення TLS-з'єднання, TLS False Start; у другому ж випадку цей механізм не потрібно. Проте обидва випадки передбачають примус сервера до зниження криптостійкості ключів до 512-бітних.

Більшість серверів і клієнтів, встановлюючи захищене з'єднання, використовують механізм шифрування, заснований на алгоритмі Діффі-Хеллмана (DH). Запитуючи з'єднання, клієнт може знизити стійкість шифрування до рівня експортних шифрів, використовують 512-бітні DH-ключі. Це можливо, якщо сервер підтримує набір експортних шифрів. Відповідно, підключився між клієнтом і сервером, зловмисник здатний перехопити трафік і від імені клієнта запросити пониження стійкості шифру. Дослідники також повідомляють, що при наявності продуктивних машин легко можна обчислити 768-бітові ключі, а спецслужби здатні розшифрувати і 1024-розрядні ключі.

Швидка перевірка Logjam
ХостТрекер пропонує функцію перевірки Logjam уразливості сервера. Цей функціонал дуже простий і доступний як опція сервісу швидкої перевірки. Щоб ним скористатися, достатньо лише встановити прапорець опції Logjam, а в текстове поле внести адресу сервера, який повинен бути перевірений. Через деякий час перевірка Logjam видасть результат, заснований на перевірці використовуються сервером наборів шифрів.



Якщо сервер підтримує експортні шифри, EDH шифри, тимчасовий DH-ключ довжиною 512 біт, то сервіс Logjam виявить дані налаштування і вкаже їх уразливості. Ці параметри слід виправити на сервері. Дослідники навіть запропонували інструкцію для правильного налаштування SSL-параметрів для різних серверів. Так, для сервера Apache запропоновано в параметрі SSLHonorCipherOrder встановити значення «On» — дана директива виставляє пріоритет на використання шифрів, заданих сервером. Також, у директиві SSLCipherSuite слід відключити експортні набори шифрів, а директивою SSLProtocol заборонити використання протоколів SSLv2 і SSLv3.

Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.