Раскрыты детали новой атаки на различные реализации TLS

Исслeдoвaтeли изо кoмпaнии NCC Group рaскрыли свeдeния (PDF) o нoвoй aтaкe пo стoрoнним кaнaлaм, пoзвoляющeй чeрeз aнaлиз oстaтoчныx дaнныx в прoцeссoрнoм кэшe вoсстaнoвить сoдeржимoe, передаваемое при помощи каналы связи, зашифрованные при помощи протоколов TLS и QUIC. С некоторыми оговорками нападение затрагивает и протокол TLS 1.3. Атака может привыкать для перехвата зашифрованных сеансов рядом условии выполнения кода атакующего держи одном CPU с жертвой (например, на многопользовательских системах аль при возможности изолированного выполнения стих атакующего на системе жертвы) и наличия контроля ради сетевым шлюзом (например, через организацию подключения клиента к фиктивной точке доступа). Налет позволяет восстановить шифротекст, зашифрованный возле помощи RSA-ключа, через анализ добавочного заполнения (padding oracle), используемого угоду кому) выравнивания зашифрованных данных по границе блока. Манипулируя информацией о корректности блоков добавочного заполнения атакующий может как следует перебора определить содержимое шифротекста. Беспричинно как утечки состояний на основе активности сервера сделано давно блокированы в реализациях криптографических библиотек, в новой атаке во (избежание определения корректности блоков предлагается проверять следы работы библиотек в процессорном кэше. Ради атаки применимы различные техники извлечения остаточных данных с процессорного кэша, такие как Flush+Reload, Prime+Probe и методы возьми основе манипуляций с блоком предсказания переходов. Дегаже является достаточно эффективной и позволяет создать вновь все 2048 бит шифротекста RSA ради время, не превышающее 30 секунд. Геморрой была выявлена в ноябре 2018 лета и сообщена разработчикам библиотек, но детали раскрыты просто-напросто сейчас, после публикации исправлений. Загвоздка затрагивает реализации TLS в библиотеках OpenSSL, Amazon s2n, MbedTLS, Apple CoreTLS, Mozilla NSS, WolfSSL и GnuTLS. Отнюдь не подвержены атаки оказались библиотеки BearSSL и BoringSSL. В TLS 1.3 отнюдь не используется обмен ключами на основе RSA, оттого для атаки на TLS 1.3 применяется объездной манёвр, позволяющий откатить шифрованное сочленение на прошлую версию протокола выше спуфинг TCP-пакетов. Для атаки держи клиентские браузеры может применяться средство, напоминающий атаки BEAST и POODLE, и требующий запуска подконтрольного атакующему JavaScript-заключение в браузере жертвы (например, через подстановку заключение в любой незашифрованный HTTP-ответ присутствие наличии контроля за транзитным шлюзом). JavaScript-шифр используется для отправки на прикрытый сайт, с которым работает жертва, фиктивных запросов с изначально известными контрольными метками, которые используются атакующим к воссоздания отдельных шифрованных блоков. Где-то как для успешной атаки неизбежно проанализировать тысячи проверочных запросов, которые мало-: неграмотный удаётся отправить в рамках установленного в браузерах таймаута (как води 30 секунд), предложен метод распараллеливания подобных запросов минуя их отправку к различным TLS-серверам, держи которых используется сертификат с одним и тем а открытым ключом.