Επιθε σεις ενδια μεσου στο πρωτο κολλο TLS

Transcript

1 ΕΘΝΙΚΟ ΚΑΙ ΚΑΠΟΔΙΣΤΡΙΑΚΟ ΠΑΝΕΠΙΣΤΗΜΙΟ ΑΘΗΝΩΝ ΣΧΟΛΗ ΘΕΤΙΚΩΝ ΕΠΙΣΤΗΜΩΝ ΤΜΗΜΑ ΠΛΗΡΟΦΟΡΙΚΗΣ ΚΑΙ ΤΗΛΕΠΙΚΟΙΝΩΝΙΩΝ ΠΤΥΧΙΑΚΗ ΕΡΓΑΣΙΑ Επιθε σεις ενδια μεσου στο πρωτο κολλο TLS Δημήτρης Σ. Μωραϊτης Επιβλε ποντες: Άγγελος Κιαγια ς, Επίκουρος Καθηγητής ΑΘΗΝΑ Μα ρτιος 2012

2 ΠΤΥΧΙΑΚΗ ΕΡΓΑΣΙΑ Επιθέσεις ενδιάμεσου στο πρωτόκολλο TLS Δημήτρης Σ. Μωραϊτης Α.Μ.: 1134 ΕΠΙΒΛΕΠΟΝΤΕΣ: Άγγελος Κιαγια ς, Επίκουρος Καθηγητής

3 ΠΕΡΙΛΗΨΗ Το TLS και ο πρόγονος του, το SSL, είναι τα κυρια κρυπτογραφικά πρωτόκολλα που χρησιμοποιουνται στο διαδίκτυο. Στόχος αυτής της εργασίας είναι η μελέτη των πιθανων επιθέσεων ενδιάμεσου (man-in-the-middle) σε συνδέσεις TLS, καθως και η ανάπτυξη εκπαιδευτικων εργαλείων λογισμικου που διευκολυνουν τέτοιου τυπου επιθέσεις. ΘΕΜΑΤΙΚΗ ΠΕΡΙΟΧΗ: Ασφάλεια συστημάτων ΛΕΞΕΙΣ ΚΛΕΙΔΙΑ: ασφάλεια στο διαδίκτυο, επιθέσεις ενδιάμεσου, κρυπτογραφία, TLS, SSL, HTTPS

4 ΠΕΡΙΕΧΟΜΕΝΑ ΠΡΟΛΟΓΟΣ ΤΟ ΠΡΩΤΟΚΟΛΛΟ TLS Περιγραφή Ιστορία Secure Network Programming API SSL 1.0, 2.0 & TLS 1.0 (SSL 3.1) TLS 1.1 (SSL 3.2) TLS 1.2 (SSL 3.3) Εφαρμογές Ασφάλεια Ευπα θειες Δομή Πρωτόκολλο εφαρμογής Χειραψία TLS Απλή χειραψία Χειραψία με αυθεντικοποίηση πελα τη Σύντομη χειραψία Υλοποιήσεις Πρότυπα X Περιγραφή Πιστοποιητικά Ασφάλεια ΕΠΙΘΕΣΕΙΣ MAN-IN-THE-MIDDLE ΣΤΟ SSL/TLS Self signed certificate attack... 39

5 3.2 Compelled certificate creation attack Short Chosen-Prefix collisions for MD5 and the creation of a rogue CA certificate SSLSniff Null prefix attack OSCP attack SSLstrip Renegotiation attack Cipher Block Chaining attacks & BEAST ΚΡΙΤΙΚΗ ΚΑΙ ΠΡΟΤΑΣΕΙΣ ΒΕΛΤΊ ΩΣΗΣ Certificate Pinning DNSSec Trust Agility - Perspectives & Convergence.io Sovereign Keys Certificate Authority Transparency and Auditability Monkeysphere Identity based encryption Άλλα ΕΡΓΑΛΕΙΑ ΠΟΥ ΑΝΑΠΤΥΧΘΗΚΑΝ TwistedEve Εγκατα σταση Χρήση Χειροκίνητη παρεμβαση σε μη κρυπτογραφημένες συνδέσεις Αυτόματη παρέμβαση σε μη κρυπτογραφημένες συνδέσεις Παρέμβαση σε συνδέσεις TLS Πληροφορίες για συνδέσεις TLS TLSLite... 64

6 6.ΣΥΜΠΕΡΑΣΜΑΤΑ ΠΙΝΑΚΑΣ ΟΡΟΛΟΓΙΑΣ ΣΥΝΤΜΗΣΕΙΣ ΑΡΚΤΙΚΟΛΕΞΑ ΑΚΡΩΝΥΜΙΑ ΠΑΡΑΡΤΗΜΑ Ι ΠΑΡΑΡΤΗΜΑ ΙΙ ΑΝΑΦΟΡΕΣ

7 ΠΡΟΛΟΓΟΣ Το διαδίκτυο διευρυνει συνεχως τον ρόλο που επιτελεί σε όλο και περισσότερες πλευρές της ανθρωπινης δραστηριότητας. Αυτή η τάση καθιστά επιτακτικότερη την ανάγκη για κρυπτογραφικά πρωτόκολλα ανθεκτικά σε απόπειρες υποκλοπής και μεταβολής του περιεχομένου της επικοινωνίας. Το πιο διαδεδομένο τέτοιο πρωτόκολλο στο διαδίκτυο σήμερα είναι το TLS και ο πρόγονός του, τo SSL. Ενα πρωτόκολλο επικοινωνίας για να θεωρείται ασφαλές πρέπει να παρέχει ι) μυστικότητα της επικοινωνίας ιι) ακεραιότητα των δεδομένων και ιιι) αυθεντικοποίηση των συμμετεχόντων. Τα τελευταία χρόνια γινόμαστε μάρτυρες συνεχων επιθέσεων σε κρυπτογραφημένες συνδέσεις TLS, που πραγματοποιουνται από ιδιωτες, εταιρείες, αλλά και κυβερνήσεις κρατων όπως η Κίνα, το Ιράν και η Συρία, που συχνά λειτουργουν σαν ενδιάμεσοι σε συνδέσεις πολιτων με κρυπτογραφημένες υπηρεσίες στο διαδίκτυο. Στόχοι των επιθέσεων αυτων είναι η παρακολουθηση, ή παρεμπόδιση της επικοινωνίας, ή η μεταβολή του περιεχομένου της. Στην εργασία αυτή θα μελετήσουμε την ασφάλεια του πρωτοκόλλου TLS και τις γνωστές επιθέσεις ενδιάμεσου που το αφορουν. Θα δουμε πως εξελίχθηκε το TLS/SSL για να ξεπεράσει τις πραγματικές και θεωρητικές επιθέσεις που δημοσιευτηκαν και θα αποπειραθουμε αξιολογήσουμε τις κυριες τρέχουσες αδυναμίες του και τις πιθανές λυσεις που έχουν προταθεί, κάποιες από τις οποίες μόλις τους τελευταίους μήνες. Τέλος, θα παρουσιάσουμε το TwistedEve, ένα εξειδικευμένο εργαλείο λογισμικου που αναπτυχθηκε στα πλαίσια αυτής της μελέτης και διευκολυνει ορισμένους τυπους επιθέσεων ενδιάμεσου. Προορίζεται για εκπαιδευτική χρήση και θα χρησιμοποιηθεί στα πλαίσια εργασίας του μαθήματος Προστασία και Ασφάλεια Υπολογιστικων Συστημάτων που διδάσκεται στο τμήμα Πληροφορικής και Τηλεπικοινωνιων του ΕΚΠΑ. Διδάσκων του μαθήματος και επιβλέπων της παρουσης εργασίας είναι ο επίκουρος καθηγητής Αγγελος Κιαγιάς. Τον ευχαριστω θερμά για τη βοήθεια του, την υπομονή που έδειξε μέχρι να ολοκληρωσω τη μελέτη αυτή εν μέσω πολλαπλων παράλληλων υποχρεωσεων και κυρίως για την ευκαιρία που μου έδωσε να ασχοληθω σε βάθος με ένα θέμα τόσο φλέγον για την ασφάλεια του διαδικτυου που όχι μόνο αφορά άμεσα τη δουλειά μου, αλλά έχει και σημαντικές κοινωνικές προεκτάσεις.

8 Επίσης, θα ήθελα να ευχαριστήσω τους συναδέλφους και συνεταίρους μου στην unweb.me για την υπομονή που έδειξαν όταν παραμελουσα τις εκεί υποχρεωσεις μου για να ασχοληθω με αυτή την εργασία και κυρίως τον Μάρκο Γωγουλο, για την ενθάρρυνση και τις ιδέες του γυρω από το θέμα. Τέλος, δεν μπορω να μην ευχαριστήσω τους γονείς μου, που με στήριξαν με πολλους τρόπους από την αρχή της φοιτητικής μου σταδιοδρομίας.

9 1. Το πρωτο κολλο TLS 1.1 Περιγραφή Το TLS είναι ένα κρυπτογραφικό πρωτόκολλο που έχει σαν πρωτευοντες στόχους την ιδιωτικότητα και την ακεραιότητα των δεδομένων κατά την επικοινωνία ανάμεσα σε μια εφαρμογή πελάτη (client) και σε μια εφαρμογή εξυπηρετητή (server). Πιο συγκεκριμένα, οι στόχοι του TLS σε σειρά προτεραιότητας είναι οι εξής: 1. Κρυπτογραφική ασφάλεια 2. Διαλειτουργικότητα 3. Επεκτασιμότητα 4. Σχετική αποδοτικότητα To TLS χρησιμοποιείται ως ενδιάμεσο πρωτόκολλο μεταξυ του επιπέδου εφαρμογων και του επιπέδου μεταφοράς. Χρησιμοποιεί ασυμμετρη κρυπτογραφία για ανταλλαγή κλειδιων, συμμετρική κρυπτογραφία για ιδιωτικότητα και κωδικες επαλήθευσης αυθεντικοποίησης μηνυμάτων (Message Authentication Codes) για επαλήθευση της ακεραιότητας των δεδομένων. Το TLS είναι πρότυπο του IETF, με τελευταία ανανέωση στο RFC5246 και βασίζεται στις προδιαγραφές του παλαιότερου πρωτοκόλλου SSL που αναπτυχθηκε από τη Netscape Communications. Αρκετές εκδόσεις του πρωτοκόλλου χρησιμοποιουνται ευρέως σε εφαρμογές όπως ο παγκόσμιος ιστός (www), η ηλεκτρονική αλληλογραφία ( ), η διαδικτυακή τηλεφωνία (VoIP), κ.α. Καθως τα περισσότερα από τα παραπάνω πρωτόκολλα μπορουν να χρησιμοποιηθουν τόσο χωρίς, όσο και με το TLS, είναι απαραίτητο η εφαρμογή εξυπηρετητή να δηλωσει αν υποστηρίζει το TLS. Αυτό μπορεί να γίνει με δυο τρόπους. Ο πρωτος είναι να διατεθεί μια ξεχωριστή πόρτα επικοινωνίας που θα υποστηρίζει χρήση του TLS. Για παράδειγμα το HTTPS που είναι HTTP πάνω από TLS, συνήθως χρησιμοποιεί την πόρτα 443 αντί για την πόρτα 80 που χρησιμοποιεί παραδοσιακά το απλό HTTP. Ο δευτερος τρόπος είναι να χρησιμοποιηθεί η ίδια πόρτα με την υπηρεσία χωρίς TLS αλλά να δοθεί η δυνατότητα στην εφαρμογή πελάτη να μετατρέψει τη συνδεσή σε TLS στέλνοντας μια ειδική εντολή στα πλαίσια του αρχικου Δημήτρης Μωραϊτης 9

10 πρωτοκόλλου. Ενα τέτοιο παράδειγμα είναι η εντολή STARTTLS στα πρωτόκολλα SMTP, IMAP & POP. Οταν ο πελάτης και ο εξυπηρετητής αποφασίσουν να ξεκινήσουν μια συνδεση TLS, καταρχήν διαπραγματευονται τις παραμέτρους της επικοινωνίας μέσα από μια διαδικασία χειραψίας (TLS Handshake). 1. Η χειραψία ξεκινά με τον πελάτη να ζητάει μια ασφαλή συνδεση, στέλνοντας τη λίστα με τις σουίτες κρυπταλγορίθμων (cipher suite = κρυπταλγόριθμος + συνάρτηση κατακερματισμου) που υποστηρίζει 2. O εξυπηρετητής επιλέγει από τη λίστα αυτή το ισχυρότερο από τα cipher suites που υποστηρίζει ο ίδιος και ενημερωνει τον πελάτη για την απόφαση 3. Ο εξυπηρετητής στέλνει την ταυτότητά του στη μορφή ενός ψηφιακου πιστοποιητικου Χ.509. Το πιστοποιητικό περιέχει το όνομα του εξυπηρετητή, την αρχή πιστοποίησης και το δημόσιο κλειδί του εξυπηρετητή. 4. Ο πελάτης επαληθευει την εγκυρότητα του πιστοποιητικου, ενδεχομένως επικοινωνωντας με την αρχή πιστοποίησης 5. Προκειμένου να παραχθουν τα κλειδιά συνεδρίας (session keys), ο πελάτης κρυπτογραφεί έναν τυχαίο αριθμό με το δημόσιο κλειδί του εξυπηρετητή και στέλνει το αποτέλεσμα. Ο εξυπηρετητής είναι ο μόνος που μπορεί να αποκρυπτογραφήσει το μήνυμα, με τη βοήθεια του ιδιωτικου κλειδιου του 6. Με βάση τον αριθμό αυτό, τόσο ο πελάτης όσο και ο εξυπηρετητής παράγουν τα κλειδιά συνεδρίας για κρυπτογράφηση και αποκρυπτογράφηση του περιεχομένου Μετά από αυτά τα βήματα ξεκινά η ασφαλής συνδεση, τα περιεχόμενα της οποίας κρυπτογραφουνται μέχρι το τέλος της συνδεσης. Αν αποτυχει κάποιο από τα παραπάνω βήματα η χειραψία αποτυγχάνει και δεν ξεκινά ασφαλής συνδεση. 1.2 Ιστορία Secure Network Programming API Πρωιμες ερευνητικές προσπάθεις στην ασφάλεια επιπέδου μεταφοράς (Transport Layer Security) περιελάμβαναν το Secure Network Programming (SNP) API, που το 1993 διερευνησε την προσέγγιση ενός ασφαλους επιπέδου μεταφοράς που προσομοιάζει Δημήτρης Μωραϊτης 10

11 Berkeley Sockets προκειμένου να διευκολυνει την προσαρμογή προυπαρχόντων εφαρμογων SSL 1.0, 2.0 & 3.0 Το πρωτόκολλο SSL αναπτυχθηκε αρχικά από την Netscape και κατά κυριο λόγο από τον μηχανικό Kipp Hickman. Η έκδοση 1.0 δε δημοσιευτηκε ποτέ. Η έκδοση 2.0 κυκλοφόρησε το Φεβρουάριο του 1995 αλλά είχε μια σειρά από προβλήματα ασφαλείας που τελικά οδήγησαν στη σχεδίαση του SSL 3.0. Το SSL 3.0 κυκλοφόρησε το 1996 και ήταν ένας πλήρης ανασχεδιασμός του πρωτοκόλλου που έγινε από τον Paul Kocher σε συνεργασία με τους μηχανικους της Netscape, Phil Karlton & Alan Freir. Οι επόμενες εκδόσεις του SSL/TLS βασίζονται στο SSL v TLS 1.0 (SSL 3.1) To TLS 1.0 ορίστηκε καταρχήν στο RFC 2246 τον Ιανουάριο του 1999 σαν μια αναβάθμιση του SSL Version 3.0. Οι αλλαγές ανάμεσα στο TLS 1.0 και το SSL 3.0 δεν είναι μεγάλες, αλλά είναι αρκετές ωστε μην υπάρχει διαλειτουργικότητα ανάμεσα στα 2 πρωτόκολλα. Το TLS 1.0 περιλαμβάνει ένα μηχανισμό για την υποβάθμιση του πρωτοκόλλου επικοινωνίας σε SSL TLS 1.1 (SSL 3.2) To TLS 1.1 ορίστηκε στο RFC 4346 τον Απρίλη του Είναι μια αναβάθμιση από την έκδοση 1.0. Οι βασικές αλλαγές σε αυτή την έκδοση είναι οι παρακάτω: Προσθήκη προστασίας ενάντια σε επιθέσεις Cipher block chaining (CBC). Ο υπονοουμενος Πίνακας Αρχικοποίησης (Initialization Vector) αντικαταστάθηκε από ένα ρητό IV. Αλλαγές στη διαχείριση padding errors. Υποστήριξη για καταχωρηση παραμέτρου στο IANA TLS 1.2 (SSL 3.3) Το TLS 1.2 ορίστηκε στο RFC 5246 τον Αυγουστο του Βασίζεται στο TLS 1.1 με κυριες διαφορές τις παρακάτω: Ο συνδυασμός MD5-SHA-1 στην ψευδοτυχαία συνάρτηση (PRF) αντικαταστάθηκε από τον SHA-256, με δυνατότητα χρήσης PRF οριζόμενο από την cipher-suite. Δημήτρης Μωραϊτης 11

12 Ο συνδυασμός MD5-SHA-1 στο hash του μηνυματος Finished αντικαταστάθηκε από τον SHA-256, με δυνατήτητα χρήσης διαφορετικων αλγοριθμων ανάλογα με το cipher-suite. Ο συνδυασμός MD5-SHA-1 στο ψηφιακά υπογραγραμμένο στοιχείο αντικαταστάθηκε με ένα μοναδικό hash που ορίζεται κατά τη διάρκεια της χειραψίας με προεπιλογή το SHA- 1. Βελτιωσεις στις δυνατότητες του πελάτη και του εξυπηρερητή να ορίζουν ποιους αλγορίθμους αποδέχονται για hashing και ψηφιακές υπογραφές. Επέκταση της υποστήριξης κρυπταλγορίθμων για αυθεντικοποιημένη κρυπτογραφία Προστέθηκε ορισμός των επεκτάσεων του TLS, καθως και Advanced Encryption Standard ciphersuites. To TLS 1.2 βελτιωθηκε περαιτέρω στο RFC 6176 το Μάρτιο του 2011, με την αφαίρεση της προς τα πίσω συμβατότητας που επιτρέπει την υποβάθμιση του πρωτοκόλλου σε SSL Εφαρμογε ς Κατά τη σχεδίαση εφαρμογων, το ΤLS συνήθως υλοποιείται πάνω από οποιοδήποτε πρωτόκολλο επιπέδου μεταφοράς (ΟSI level 4), ενθυλακωνοντας πρωτόκολλα εφαρμογων όπως τα ΗTTP, FTP, SMTP, NNMP & XMMP. Κατά κυριο λόγω έχει χρησιμοποιηθεί πάνω από αξιόπιστα πρωτόκολλα μεταφοράς όπως το TCP, αλλά υπάρχουν και υλοποιήσεις με datagram oriented πρωτόκολλα όπως τα UDP & DCCP/DTLS. Εξέχουσα εφαρμογή του TLS είναι η χρήση του για την διασφάλιση επικοινωνιων στον παγκόσμιο ιστό με το πρωτόκολλο HTTPS που είναι η ενθυλάκωση του πρωτοκόλλου HTTP από το TLS. Το HTTPS είναι απαραίτητο σε εφαρμογές ηλεκτρονικου εμπορίου και ηλεκτρονικής τραπεζικής. Το πρωτόκολλο SMTP για την αποστολή ηλεκτρονικου ταχυδρομείου προστατευεται όλο και συχνότερα από το TLS. Οι εφαρμογές αυτές χρησιμοποιουν ψηφιακά πιστοποιητικά για να ταυτοποιήσουν τα εμπλεκόμενα μέλη. Το TLS μπορεί επίσης να χρησιμοποιηθεί για την ενθυλάκωση μιας ολόκληρης στοίβας δικτυακων πρωτοκόλλων, επιτρέποντας έτσι τη δημιουργία ιδεατων εικονικων δικτυων (VPN), με παράδειγμα την περίπτωση του OpenVPN. Σε συγκριση με παραδοσιακές Δημήτρης Μωραϊτης 12

13 τεχνολογίες VPN με βάση το IPsec, το TLS προσφέρει πλεονεκτήματα στη διασχιση firewall και δικτυων με NAT. Το TLS είναι ο κυριος τρόπος προστασίας για το πρωτόκολλο SIP που χρησιμοποιείται σε εφαρμογές δικτυακής τηλεφωνίας VoIP. 1.4 Ασφα λεια Το TLS περιλαμβάνει μια σειρά από μέτρα ασφαλείας: Προστασία από την υποβάθμιση του πρωτοκόλλου σε προηγουμενη (λιγότερο ασφαλή) έκδοση ή πιο αδυναμο cipher suite Αρίθμηση των μηνυμάτων εφαρμογής με αριθμό σειράς που χρησιμοποιείται από κωδικες αυθεντικοποίησης μηνυμάτων (MACs) Χρήση συνοψης μηνυμάτων (message digest) με κλειδί, ωστε μόνο κάποιος που έχει το κλειδί να μπορεί να ελέγξει το MAC. Το μήνυμα που ολοκληρωνει τη χειραψία ("Finished") στέλνει ένα hash όλων των μηνυμάτων χειραψίας που έχουν δει και τα δυο μέλη Η ψευδοτυχαία συνάρτηση χωρίζει τα δεδομένα εισόδου στα δυο και επεξεργάζεται κάθε ένα με διαφορετικό αλγόριθμο κατακερματισμου (MD5 & SHA-1) και στη συνέχεια εκτελεί πράξη XOR για να κατασκευάσει το MAC. Αυτό παρέχει προστασία ακόμα και αν ένας από τους αλγορίθμους είναι ευάλωτος - Μόνο στο TLS To SSL 3.0 βελτιωνει το SSL 2.0 προσθέτοντας ciphers βασισμένους στον SHA-1 και υποστήριξη ταυτοποίησης πιστοποιητικων Από πλευράς ασφαλείας, το SSL 3.0 πρέπει να θεωρείται λιγότερο επιθυμητό από το TLS 1.0. Τα cipher suites του SSL 3.0 έχουν λιγότερη ασφαλή διαδικασία παραγωγής κλειδιου. Το μισό κλειδί εξαρτάται απόλυτα από τη συνάρτηση κατακερματισμου MD5 που δεν είναι ανθεκτική σε συγκρουσεις, οπότε δε θεωρείται ασφαλής. Στο TLS 1.0, το κυριο κλειδί που παράγεται εξαρτάται τόσο από τον MD5 όσο και από τον SHA-1, οπότε η διαδικασία παραγωγής του δε θεωρείται αδυναμη. Για αυτό το λόγο οι υλοποιήσεις του SSL 3.0 δεν μπορουν να πιστοποιηθουν κάτω από το FIPS Ευπα θειες Μια αδυναμία στη διαδικασία επαναδιαπραγμάτευσης που ανακαλυφτηκε τον Αυγουστο του 2009 επιτρέπει την εισαγωγή απλου κειμένου στις συνεδρίες SSL 3.0 & TLS 1.0. Για Δημήτρης Μωραϊτης 13

14 παράδειγμα, επιτρέπει σε έναν επιτιθέμενο που μπορεί να υποκλέψει μια https συνδεση, να προσθέσει τις δικές του αιτήσεις στην αρχή της συνομιλίας του πελάτη με τον εξυπηρετητή. Ο επιτιθέμενος δεν μπορεί όμως να αποκρυπτογραφήσει τα δεδομένα της επικοινωνίας πελάτη - εξυπηρετητή οπότε δεν πρόκειται για μια τυπική επίθεση ενδιάμεσου. Αν ο χρήστης δεν προσέχει τη σχετική ένδειξη της εφαρμογής πελάτη για ασφαλείς συνδέσεις, τότε η επίθεση αυτή μπορεί να μετατραπεί σε πραγματική επίθεση ενδιάμεσου. Ενα βραχυπρόθεσμο μέτρο διόρθωσης είναι για τους εξυπηρετητές να σταματήσουν να επιτρέπουν τη διαδικασία επαναδιαπραγμάτευσης, το οποίο δε δημιουργεί προβλήματα όταν δεν χρησιμοποιείται αυθεντικοποίηση και του πελάτη με πιστοποιητικό. Για τη διόρθωση του προβλήματος έχει προταθεί μια επέκταση του TLS. Απαιτεί από τον πελάτη και τον εξυπηρετητή να περιλάβουν και να επαληθευσουν πληροφορίες για τις προηγουμενες χειραψίες σε κάθε χειραψία επαναδιαπραγμάτευσης. Η επέκταση αυτή είναι προτεινόμενο πρότυπο με τον αριθμό RFC 5746 και έχει ήδη υλοποιηθεί από την OpenSSL και άλλες βιβλιοθήκες. Πέρα από επιθέσεις στο ίδιο το πρωτόκολλο, υπάρχουν και μια σειρά από επιθέσεις σε υλοποιήσεις του: Σε παλιότερες υλοποιήσεις, κάποιες αρχές πιστοποίησης δεν όριζαν ρητά την παράμετρο basicconstraints CA=FALSE στα πιστοποιητικά που υπέγραφαν για κόμβους φυλλα. Σαν αποτέλεσμα τα πιστοποιητικά αυτά μπορουσαν να χρησιμοποιηθουν για να υπογραφουν πλαστά πιστοποιητικά. Επιπλέον, κάποιες πρωιμες εφαρμογές πελάτη (π.χ. Microsoft Internet Explorer 6) δεν έλεγχαν καν το σχετικό πεδίο, πράγμα που μπορεί να χρησιμοποιηθεί για επιθέσεις ενδιάμεσου σε όλες τις πιθανές συνδέσεις SSL Κάποιες υλοποιήσεις, ανάμεσα στις οποίες παλιότερες εκδόσεις του Microsoft Cryptographic API, του Network Security Services και του GnuTLS, σταματουν την ανάγνωση χαρακτήρων μετά τον χαρακτήρα null στο πεδίο ονόματος του πιστοποιητικου, πράγμα που μπορεί να χρησιμοποιηθεί για να ξεγελαστεί η εφαρμογή πελάτη, πιστευοντας ότι το πιστοποιητικό προήλθε από τον πραγματικό εξυπηρετητή. π.χ. το paypal.com\0.badguy.com θα θεωρουσαν ότι προέρχεται από το paypal.com αντί για το badguy.com Οι εφαρμογές πελάτη (π.χ. web browsers) υλοποίησαν μηχανισμους υποβάθμισης της έκδοσης του πρωτοκόλλου SSL/TLS σε προηγουμενες εκδόσεις για λόγους συμβατότητας. Η προστασία που προσφέρει το SSL/TLS Δημήτρης Μωραϊτης 14

15 ενάντια στην υποβάθμιση της έκδοσης του πρωτοκόλλου από μία ενεργή επίθεση ενδιάμεσου μπορεί να καταστεί άχρηστη από τέτοιους μηχανισμους Το SSL 2.0 είναι ελλιπές με αρκετους τρόπους: Τα ίδια κρυπτογραφικά κλειδιά χρησιμοποιουνται για την αυθεντικοποίηση των μηνυμάτων και την κρυπτογράφηση Το SSL 2.0 έχει μια αδυναμη κατασκευή MAC που χρησιμοποιεί τη συνάρτηση κατακερματισμου MD5 με ένα μυστικό πρόθεμα, που το καθιστά ευάλωτο σε επιθέσεις επέκτασης μήκους Το SSL 2.0 δεν προστατευει την χειραψία, πράγμα που σημαίνει ότι μια επίθεση υποβάθμισης της έκδοσης μπορεί να μη γίνει καν αντιληπτή Το SSL 2.0 κλείνει την TCP συνδεση για να σηματοδοτήσει το τέλος των δεδομένων. Αυτό σημαίνει ότι είναι εφικτές επιθέσεις περικοπής: Ο επιτιθέμενος απλά πλαστογραφεί ένα TCP FIN και ο παραλήπτης δεν μπορεί να ξέρει ότι το μήνυμα δεδομένων δε μεταφέρθηκε ολόκληρο. Το SSL 3.0 διορθωνει αυτό το πρόβλημα με μια ρητή προειδοποίηση κλεισίματος Το SSL 2.0 υποθέτει μια μόνο υπηρεσία και ένα πιστοποιητικό για συγκεκριμένο όνομα δικτυακου τόπου, πράγμα που συγκρουεται με το στανταρ του virtual hosting στου web servers. Αυτό σημαίνει ότι πολλές ιστοσελίδες είναι πρακτικά αδυνατο να χρησιμοποιήσουν SSL. Το SSL 2.0 είναι απενεργοποιημένο στους Internet Explorer 7 η μεγαλυτερο, Mozilla Firefox 2 η μεγαλυτερο, Opera 9.5 ή μεγαλυτερο και Safari. Ο Mozilla Firefox, αν στείλει ένα TLS ClientHello και δει ότι ο εξυπηρετητής δε μπορεί να ολοκληρωσει τη χειραψία, τότε θα προσπαθήσει να υποβαθμίσει το πρωτόκολλο σε SSL 3.0 με ένα ClientHello σε φορμά SSL 2.0 προκειμένου να μεγιστοποιήσει την πιθανότητα επιτυχους χειραψίας με παλιότερους εξυπηρετητές. Τροποποιήσεις του αρχικου πρωτοκόλλου όπως το False Start που υιοθετεί ο Google Chrome ή το Snap Start, έχει αναφερθεί ότι εισάγουν περιορισμένες επιθέσεις υποβάθμισης της έκδοσης του πρωτοκόλλου, η ότι επιτρέπουν παρεμβάσεις στη λίστα με τα cipher suite που στέλνονται από τον πελάτη στον εξυπηρετητή. Ενας επιτιθέμενος μπορεί να επηρεάσει την επιλογή του cipher suite προκειμένου να υποβαθμίσει την ασφάλειά του, επιλέγοντας είτε ένα πιο αδυναμο συμμετρικό αλγόριθμο κρυπτογράφησης ή μια πιο αδυναμη ανταλλαγή κλειδιων. Δημήτρης Μωραϊτης 15

16 1.5 Δομή To TLS ανταλλάσει έγγραφα (records) που ενθυλακωνουν τα δεδομένα που ανταλλάσονται. Τα πακέτα μπορεί να είναι συμπιεσμένα, παραγεμισμένα (padded), κρυπτογραφημένα, ή και να περιέχουν κωδικες αυθεντικοποίησης μηνυμάτων (MAC), ανάλογα με την κατάσταση της συνδεσης. Κάθε έγγραφο έχει ένα πεδίου τυπου περιεχομένου (Content type) που ορίζει τον τυπο του εγγράφου, ένα πεδίο μήκους και ένα πεδίο έκδοσης του TLS. Πρωτο κολλο εγγρα φων Στον παρακάτω πίνακα φαίνεται η γενική δομή όλων των εγγράφων του ΤLS. Θε ση Περιεχο μενο Μήκος σε bytes 0 Τυπος μηνυματος 1 1 Εκδοση (major, minor) 2 3 Μήκος 2 5 Μήνυμα(τα) πρωτοκόλλου m 5+m MAC (προαιρετικά) n 5+m+n Παραγέμισμα (μόνο σε block ciphers) p Τύπος μηνύματος Το πεδίο αυτό καθορίζει τον τυπο του εγγράφου όπου βασίζεται το μήνυμα και μπορεί να πάρει μία τιμή από τις παρακάτω. Hex Dec Type 0x14 20 ChangeCipherSpec 0x15 21 Alert 0x16 22 Handshake 0x17 23 Application Έκδοση Το πεδίο αυτό καθορίζει την κυρια και δευτερευουσα έκδοση του TLS για το μεταδιδόμενο μήνυμα. Δημήτρης Μωραϊτης 16

17 Κύρια ε κδοση M Δευτερεύουσα ε κδοση M Έκδοση SSL/TLS V 3 0 SSL TLS TLS TLS 1.2 Μήκος Το μήκος του μηνυματος πρωτοκόλλου, όχι πάνω από 2 14 bytes (16 KiB). Μηνύμα(τα) πρωτοκο λλου Ενα ή περισσότερα μηνυματα πρωτοκόλλου. Το πεδίο αυτό μπορεί να είναι κρυπτογραφημένο, ανάλογα με την κατάσταση της συνδεσης. MAC & Παραγε μισμα (padding) Κωδικας αυθεντικοποίησης μηνυματος, υπολογισμένος από το μήνυμα πρωτοκόλλου, με επιπλέον υλικό κλειδιου. Το πεδίο αυτό μπορεί να είναι κρυπτογραφημένο, ή να λείπει τελείως, ανάλογα με την κατάσταση της συνδεσης. Κανένα MAC ή Padding δεν μπορεί να βρίσκεται στο τέλος των εγγράφων TLS πριν να ολοκληρωθεί η διαπραγμάτευση όλων των κρυπταλγόριθμων και παραμέτρων με την αποστολή ενός εγγράφου CipherStateChange (δείτε παρακάτω). Πρωτο κολλο χειραψίας Τα περισσότερα μηνυματα που ανταλλάσσονται κατά την εγκαθίδρυση μιας TLS συνεδρίας βασίζονται σε αυτό το έγγραφο, εκτός αν συμβεί κάποιο σφάλμα ή προειδοποίηση από το Alert protocol (δείτε παρακάτω). Πολλαπλά μηνυματα χειραψίας μπορουν να συνυπάρχουν στο ίδιο έγγραφο. Θε ση Περιεχο μενο Μήκος σε bytes Εκδοση (major, minor) 2 3 Μήκος 2 5 Τυπος μηνυματος 1 Δημήτρης Μωραϊτης 17

18 6 Μήκος δεδομένων χειραψίας 3 9 Δεδομένα μηνυματος χειραψίας n 9+n Τυπος μηνυματος 1 10+n Μήκος δεδομένων χειραψίας 3 13+n Δεδομένα μηνυματος χειραψίας m 13+n+m... Τύπος μηνύματος Το πεδίο αυτό καθορίζει τον τυπο του μηνυματος και μπορεί να πάρει μία τιμή από τις παρακάτω. Τιμή Τύπος 0 HelloRequest 1 ClientHello 2 ServerHello 11 Certificate 12 ServerKeyExchange 13 CertificateRequest 14 ServerHelloDone 15 CertificateVerify 16 ClientKeyExchange 20 Finished Μήκος δεδομε νων χειραψίας Πεδίο τριων byte που ορίζει το μήκος των δεδομένων της χειραψίας, χωρίς να υπολογίζεται η κεφαλίδα. Πρωτο κολλο ειδοποιήσεων Κατά τη διάρκεια μιας τυπικής συνδεσης δεν ανταλλάσσονται έγγραφα του πρωτοκόλλου ειδοποιήσεων. Οποιαδήποτε όμως στιγμή, από την έναρξη της χειραψίας έως το κλείσιμο της συνεδρίας μπορεί να σταλεί μήνυμα με βάση το παρακάτω έγγραφο. Στην περίπτωση που το επίπεδο ειδοποίησης (alert level) είναι ορισμένο ως Δημήτρης Μωραϊτης 18

19 τερματικό σφάλμα (fatal error), η συνδεση διακόπτεται αμέσως μετά την αποστολή του εγγράφου ειδοποίησης. Στην περίπτωση που το επίπεδο ειδοποίησης είναι απλή προειδοποίηση (warning), η άλλη πλευρά μπορεί να επιλέξει είτε να συνεχίσει κανονικά, είτε να κλείσει τη συνεδρία αν αποφασίσει ότι δεν είναι πλέον αρκετά αξιόπιστη, με προαιρετική αποστολή σχετικου μηνυματος. Θε ση Περιεχο μενο Μήκος σε bytes Εκδοση (major, minor) 2 3 Μήκος 2 5 Επίπεδο ειδοποίησης 1 6 Περιγραφή 1 7 MAC (προαιρετικά) n 7+n Παραγέμισμα (μόνο σε block ciphers) p Επίπεδο ειδοποίησης Κωδικο ς Επίπεδο Κατα σταση σύνδεσης 1 προειδοποίηση Η συνδεση ή η ασφάλεια ίσως είναι ασταθής 2 σφάλμα Η συνδεση ή η ασφάλεια έχει εκτεθεί, ή έχει συμβεί ανεπανόρθωτο σφάλμα Περιγραφή Κωδικο ς Περιγραφή Επίπεδο Σημείωση 0 Ειδοποίηση διακοπής προειδοποίηση/ σφάλμα 10 Απρόσμενο μήνυμα σφάλμα 20 Λανθασμένο MAC εγγράφου 21 Αποτυχία αποκρυπτογράφησης σφάλμα σφάλμα 22 Υπερχείλιση εγγράφου σφάλμα TLS only 30 Αποτυχία αποσυμπίεσης σφάλμα Λάθος υλοποίηση SSL/TLS ή αλλοιωμένο περιεχόμενο μηνυματος. TLS only, reserved Δημήτρης Μωραϊτης 19

20 40 Αποτυχία χειραψίας σφάλμα 41 Χωρίς πιστοποιητικό προειδοποίηση/ σφάλμα 42 Κακό πιστοποιητικό προειδοποίηση/ σφάλμα 43 Μη υποστηριζόμενο πιστοποιητικό 44 Ανακληθέν πιστοποιητικό προειδοποίηση/ σφάλμα προειδοποίηση/ σφάλμα 45 Ληγμένο πιστοποιητικό προειδοποίηση/ σφάλμα 46 Αγνωστο πιστοποιητικό προειδοποίηση/ σφάλμα 47 Λάθος παράμετρος σφάλμα 48 Αγνωστη αρχή πιστοποίησης 49 Απαγόρευση πρόσβασης 50 Σφάλμα αποκωδικοποίησης 51 Σφάλμα αποκρυπτογράφησης σφάλμα σφάλμα σφάλμα προειδοποίηση/ σφάλμα SSL 3.0 only, reserved π.χ. το πιστοποιητικό έχει ενεργοποιημένη μόνο τη χρήση αυθεντικοποίησης εξυπηρετητή ενω παρουσιάζεται ως πιστοποιητικό πελάτη TLS only TLS only TLS only TLS only 60 Περιορισμός εξαγωγής σφάλμα TLS only, reserved 70 Εκδοση πρωτοκόλλου σφάλμα TLS only 71 Ανεπαρκής ασφάλεια σφάλμα TLS only 80 Εσωτερικό σφάλμα σφάλμα TLS only 90 Ακυρωση από το χρήστη 100 Χωρίς επαναδιαπραγμάτευση 110 Μη υποστηριζόμενη επέκταση 111 Αδυναμία λήψης πιστοποιητικου 112 Μη αναγνωρισμένο όνομα 113 Κακή απάντηση κατάστασης πιστοποιητικου σφάλμα προειδοποίηση προειδοποίηση προειδοποίηση προειδοποίηση σφάλμα TLS only TLS only TLS only TLS only TLS only. Το όνομα εξυπηρετητή που έχει οριστεί δεν υποστηρίζεται από τον εξυπηρετητή TLS only Δημήτρης Μωραϊτης 20

21 114 Λάθος τιμή κατακερματισμου πιστοποιητικου 115 Αγνωστη ταυτότητα PSK (χρησιμοποιείται στο TLS-PSK & TLS- SRP) σφάλμα σφάλμα TLS only TLS only Πρωτο κολλο ChangeCipherSpec Θε ση Περιεχο μενο Μήκος σε bytes Εκδοση (major, minor) 2 3 Μήκος 2 5 Τυπος πρωτοκόλλου CCS 1 Τύπος πρωτοκο λλου CCS Για μελλοντική χρήση. Για την ωρα υπάρχει μόνο ένα πρωτόκολλο ChangeCipherSpec Πρωτο κολλο εφαρμογής Θε ση Περιεχο μενο Μήκος σε bytes Εκδοση (major, minor) 2 3 Μήκος 2 5 Τυπος πρωτοκόλλου CCS 1 Μήκος Μήκος των δεδομένων εφαρμογής, χωρίς να υπολογίζεται η κεφαλίδα του πρωτοκόλλου και με συνυπολογισμό του MAC και του παραγεμίσματος MAC 20 bytes για HMAC βασισμένο στον SHA-1, 16 bytes για HMAC βασισμένο στον MD5 Παραγε μισμα Μεταβλητό μήκος. Το τελευταίο byte περιλαμβάνει το μήκος του παραγεμίσματος. Δημήτρης Μωραϊτης 21

22 1.6 Χειραψία TLS Παρακάτω θα εξετάσουμε αναλυτικά 3 σενάρια χειραψίας TLS. Το πιο συνηθες είναι αυτό της απλής χειραψίας, όπου ο εξυπηρετητής (αλλά όχι ο πελάτης) αυθεντικοποιείται με χρήση πιστοποιητικου. Στο δευτερο σενάριο ο πελάτης αυθεντικοποιείται και αυτός με πιστοποιητικό Χ.509. Το τρίτο σενάριο αφορά συνδέσεις TLS όπου έχει ήδη γίνει μια φορά η διαπραγμάτευση της συνδεσης και η παραγωγή κλειδιων, οπότε μια νέα συνδεση μπορεί να επαναχρησιμοποιήσει τον κωδικό και τις παραμέτρους της προηγουμενης συνεδρίας εφόσον και οι δυο πλευρές έχουν το κυριο μυστικό κλειδί (master secret). Το TLS προβλέπει και χειραψίες χωρίς καθόλου αυθεντικοποίηση όπου τα κλειδιά κρυπτογράφησης αποφασίζονται από κοινου με βάση τον αλγόριθμο Diffie Hellman (DH-ANON). Αυτου του τυπου οι συνεδρίες δεν είναι ανθεκτικές σε επιθέσεις ενδιάμεσου και δεν υποστηρίζονται από τους περισσότερους εξυπηρετητές Απλή χειραψία 1. Φάση διαπραγμάτευσης Ο πελάτης στέλνει ένα μήνυμα ClientHello ορίζοντας τη μέγιστη έκδοση του TLS που υποστηρίζει, έναν τυχαίο αριθμό, καθως και μια λίστα με υποστηριζόμενες σουίτες κρυπταλγορίθμων και μεθόδους συμπίεσης. Ο εξυπηρετητής απαντά με ένα μήνυμα ServerHello που περιλαμβάνει την επιλεγμένη έκδοση του TLS, έναν τυχαίο αριθμό, την επιλεγμένη σουίτα κρυπταλγορίθμων και μέθοδο συμπίεσης, από τις επιλογές που προσέφερε ο πελάτης. Η έκδοση του TLS που επιλέγεται θα πρέπει να είναι η μεγαλυτερη δυνατή που υποστηρίζεται και από τον πελάτη και από τον εξυπηρετητή. Ο εξυπηρετητής στέλνει ένα μήνυμα Certificate που περιλαμβάνει το X.509 πιστοποιητικό του Ο πελάτης απαντά με ένα μήνυμα ClientKeyExchange που μπορεί να περιέχει ένα PreMasterSecret, ένα δημόσιο κλειδί, ή και τίποτα, ανάλογα με τον επιλεγμένο κρυπταλγόριθμο. Το PreMasterSecret κρυπτογραφείται με το δημόσιο κλειδί του πιστοποιητικου εξυπηρετητή. Ο πελάτης και ο εξυπηρετητής χρησιμοποιουν τις τυχαίες τιμές και το PreMasterSecret για να υπολογίσουν από κοινου ένα κυριο μυστικό κλειδί Δημήτρης Μωραϊτης 22

23 (master secret). Ολα τα υπόλοιπα δεδομένα κλειδιου που θα παραχθουν κατά τη διάρκεια της συνδεσης βασίζονται σε αυτό το κυριο μυστικό το οποίο τροφοδοτείται σε προσεκτικά σχεδιασμένες ψευδοτυχαίες συναρτήσεις. 2. Ο πελάτης στέλνει τωρα ένα έγγραφο ChangeCipherSpec που ουσιαστικά ενημερωνει τον εξυπηρετητή πως οτιδήποτε του πει ο πελάτης από εκείνη τη στιγμή και έπειτα θα είναι αυθεντικοποιημένο και κρυπτογραφημένο, εφόσον το πιστοποιητικό εξυπηρετητή περιλαμβάνει παραμέτρους κρυπτογράφησης. Ο πελάτης στέλνει ένα κρυπτογραφημένο μήνυμα Finished που περιλαμβάνει μια τιμή κατακερματισμου και ένα MAC για όλα τα προηγουμενα μηνυματα χειραψίας. Ο εξυπηρετητής θα αποπειραθεί να αποκρυπτογραφήσει το μήνυμα του πελάτη και να επαληθευσει την τιμή κατακερματισμου και το MAC. Αν η επαλήθευση αποτυχει, η διαπραγμάτευση θεωρείται αποτυχημένη και η συνδεση διακόπτεται. 3. Ο εξυπηρετητής στέλνει ένα έγγραφο ChangeCipherSpec που ουσιαστικά ενημερωνει τον πελάτη πως οτιδήποτε του πει από αυτό το σημείο και έπειτα θα είναι αυθεντικοποιημένο και κρυπτογραφημένο εφόσον έχουν διαπραγματευτεί κρυπτογράφηση. Ο εξυπηρετητής στέλνει το δικό του αυθεντικοποιημένο και κρυπτογραφημένο μήνυμα Finished. Ο πελάτης πραγματοποιεί την ίδια αποκρυπτογράφηση και επαλήθευση με παραπάνω. 4. Φάση εφαρμογής: η χειραψία ολοκληρωνεται και ενεργοποιείται το πρωτόκολλο εφαρμογής. Τα μηνυματα εφαρμογής που ανταλλάσσονται ανάμεσα στον πελάτη και τον εξυπηρετητή θα είναι επίσης αυθεντικοποιημένα και πιθανως κρυπτογραφημένα ακριβως όπως το μήνυμα Finished Χειραψία με αυθεντικοποίηση πελα τη 1. Φάση διαπραγμάτευσης Ο πελάτης στέλνει ένα μήνυμα ClientHello ορίζοντας τη μέγιστη έκδοση του TLS που υποστηρίζει, έναν τυχαίο αριθμό, καθως και μια λίστα με υποστηριζόμενες σουίτες κρυπταλγορίθμων και μεθόδους συμπίεσης. Δημήτρης Μωραϊτης 23

24 Ο εξυπηρετητής απαντά με ένα μήνυμα ServerHello που περιλαμβάνει την επιλεγμένη έκδοση του TLS, έναν τυχαίο αριθμό, την επιλεγμένη σουίτα κρυπταλγορίθμων και μέθοδο συμπίεσης, από τις επιλογές που προσέφερε ο πελάτης. Η έκδοση του TLS που επιλέγεται θα πρέπει να είναι η μεγαλυτερη δυνατή που υποστηρίζεται και από τον πελάτη και από τον εξυπηρετητή. Ο εξυπηρετητής στέλνει ένα μήνυμα Certificate που περιλαμβάνει το X.509 πιστοποιητικό του. Ο εξυπηρετητής ζητά ένα πιστοποιητικό από τον πελάτη με ένα μήνυμα CertificateRequest. Ο εξυπηρετητής στέλνει ένα μήνυμα ServerHelloDone ενημερωνοντας ότι έχει ολοκληρωσει τη διαπραγμάτευση χειραψίας. Ο πελάτης απαντά με ένα μήνυμα Certificate που περιλαμβάνει το X.509 πιστοποιητικό του. Ο πελάτης στέλνει ένα μήνυμα ClientKeyExchange που μπορεί να περιέχει ένα PreMasterSecret, ένα δημόσιο κλειδί, ή και τίποτα, ανάλογα με τον επιλεγμένο κρυπταλγόριθμο. Το PreMasterSecret κρυπτογραφείται με το δημόσιο κλειδί του πιστοποιητικου εξυπηρετητή. Ο πελάτης στέλνει ένα μήνυμα CertificateVerify που είναι μια υπογραφή των προηγουμενων μηνυμάτων χειραψίας χρησιμοποιωντας το ιδιωτικό κλειδί του πιστοποιητικου πελάτη. Η υπογραφή μπορεί να επαληθευτεί με το δημόσιο κλειδί του πιστοποιητικου πελάτη. Με τον τρόπο αυτό ο εξυπηρετητής επαληθευει ότι το πιστοποιητικό ανήκει όντως στον πελάτη, από τη στιγμή που ο τελευταίος έχει πρόσβαση στο ιδιωτικό κλειδί του πιστοποιητικου. Ο πελάτης και ο εξυπηρετητής χρησιμοποιουν τις τυχαίες τιμές και το PreMasterSecret για να υπολογίσουν από κοινου ένα κυριο μυστικό κλειδί (master secret). Ολα τα υπόλοιπα δεδομένα κλειδιου που θα παραχθουν κατά τη διάρκεια της συνδεσης βασίζονται σε αυτό το κυριο μυστικό το οποίο τροφοδοτείται σε προσεκτικά σχεδιασμένες ψευδοτυχαίες συναρτήσεις. 2. Ο πελάτης στέλνει τωρα ένα έγγραφο ChangeCipherSpec που ουσιαστικά ενημερωνει τον εξυπηρετητή πως οτιδήποτε του πει ο πελάτης από εκείνη τη Δημήτρης Μωραϊτης 24