Atasco de tráfico (seguridad informática)

Vulnerabilidad de seguridad en el intercambio de claves Diffie-Hellman

Logjam es una vulnerabilidad de seguridad en sistemas que utilizan el intercambio de claves Diffie-Hellman con el mismo número primo. Fue descubierta por un equipo de científicos informáticos y se informó públicamente el 20 de mayo de 2015. ^[1] Los descubridores pudieron demostrar su ataque en sistemas DH de 512 bits ( grado de exportación de EE. UU. ). Estimaron que un atacante a nivel estatal podría hacerlo en sistemas de 1024 bits, ampliamente utilizados en ese momento, lo que permitiría descifrar una fracción significativa del tráfico de Internet. Recomendaron actualizar a al menos 2048 bits para sistemas primos compartidos. ^{[2] [3] [4]}

Detalles

El intercambio de claves Diffie-Hellman depende para su seguridad de la presunta dificultad de resolver el problema del logaritmo discreto . Los autores aprovecharon el hecho de que el algoritmo de criba de campo numérico , que generalmente es el método más eficaz para encontrar logaritmos discretos, consta de cuatro grandes pasos computacionales, de los cuales los primeros tres dependen solo del orden del grupo G, no del número específico cuyo logaritmo finito se desea. Si los resultados de los primeros tres pasos se calculan previamente y se guardan, se pueden usar para resolver cualquier problema de logaritmo discreto para ese grupo primo en un tiempo relativamente corto. Esta vulnerabilidad se conocía ya en 1992. ^[5] Resulta que gran parte del tráfico de Internet solo usa uno de un puñado de grupos que son del orden de 1024 bits o menos.

Un enfoque que permitió esta vulnerabilidad que los autores demostraron fue el uso de un atacante de red de tipo man-in-the-middle para degradar una conexión de Transport Layer Security (TLS) para utilizar criptografía de grado de exportación DH de 512 bits , lo que les permitió leer los datos intercambiados e inyectar datos en la conexión. Afecta a los protocolos HTTPS , SMTPS e IMAPS , entre otros. Los autores necesitaron varios miles de núcleos de CPU durante una semana para precomputar los datos de un único primo de 512 bits. Sin embargo, una vez hecho esto, los logaritmos individuales se podían resolver en aproximadamente un minuto utilizando dos CPU Intel Xeon de 18 núcleos. ^[6] Su CVE ID es CVE - 2015-4000. ^[7]

Los autores también estimaron la viabilidad del ataque contra primos Diffie-Hellman de 1024 bits. Por diseño, muchas implementaciones de Diffie-Hellman usan el mismo primo pregenerado para su campo. Esto se consideró seguro, ya que el problema del logaritmo discreto todavía se considera difícil para primos lo suficientemente grandes, incluso si el grupo es conocido y reutilizado. Los investigadores calcularon el costo de crear un precomputación logjam para un primo de 1024 bits en cientos de millones de dólares, y notaron que esto estaba dentro del rango del Programa Criptológico Consolidado de EE. UU. de $10.5 mil millones del año fiscal 2012 (que incluye a la NSA ). Debido a la reutilización de primos, generar un precomputación para solo un primo rompería dos tercios de las VPN y una cuarta parte de todos los servidores SSH a nivel mundial. Los investigadores notaron que este ataque se ajusta a las afirmaciones en documentos filtrados de la NSA de que la NSA es capaz de romper gran parte de la criptografía actual. Recomiendan utilizar números primos de 2048 bits o más como defensa o cambiar al algoritmo Diffie-Hellman de curva elíptica (ECDH). ^{[1] Sin embargo, los investigadores de seguridad Eyal Ronen y} Adi Shamir cuestionaron las afirmaciones sobre las implicaciones prácticas del ataque en su artículo "Revisión crítica del secreto de reenvío imperfecto". ^[8]

Respuestas

• El 12 de mayo de 2015, Microsoft lanzó un parche para Internet Explorer . ^[9]
• El 16 de junio de 2015, el Proyecto Tor proporcionó un parche para Logjam al navegador Tor . ^[10]
• El 30 de junio de 2015, Apple lanzó un parche para los sistemas operativos OS X Yosemite y iOS 8. ^{[11] [12]}
• El 30 de junio de 2015, el proyecto Mozilla lanzó una solución para el navegador Firefox . ^[13]
• El 1 de septiembre de 2015, Google lanzó una solución para el navegador Chrome . ^[14]
• El 6 de diciembre de 2017, IETF publicó el RFC  8270 denominado "Aumentar el tamaño mínimo recomendado del módulo Diffie-Hellman de Secure Shell a 2048 bits".

Véase también

• BEAST (seguridad informática)
• BREACH (exploit de seguridad)
• DELITO
• CANICHE
• Criptografía controlada por servidor

Referencias

1. "El ataque de Logjam". weakdh.org . 20 de mayo de 2015. Archivado desde el original el 29 de marzo de 2021 . Consultado el 20 de mayo de 2015 .
2. Dan Goodin (20 de mayo de 2015). «Un ataque que paraliza el protocolo HTTPS amenaza a decenas de miles de servidores web y de correo». Ars Technica . Archivado desde el original el 19 de mayo de 2017. Consultado el 30 de abril de 2022 .
3. Charlie Osborne (20 de mayo de 2015). "La falla de seguridad de Logjam deja vulnerables a los principales sitios web y servidores de correo HTTPS". ZDNet . Archivado desde el original el 23 de mayo de 2015. Consultado el 23 de mayo de 2015 .
4. Valentino-DeVries, Jennifer (19 de mayo de 2015). «New Computer Bug Exposes Broad Security Flaws» (Nuevo error informático expone amplias fallas de seguridad) . The Wall Street Journal . Archivado desde el original el 24 de febrero de 2022. Consultado el 30 de abril de 2022 .
5. Whitfield Diffie, Paul C. Van Oorschot y Michael J. Wiener "Authentication and Authenticated Key Exchanges", en Designs, Codes and Cryptography, 2, 107–125 (1992), Sección 5.2, disponible como Apéndice B a Método y aparato para mejorar la seguridad del software y distribuir software : "Si q se ha elegido correctamente, extraer logaritmos módulo q requiere un precálculo proporcional a aunque después se pueden calcular logaritmos individuales con bastante rapidez". ${\displaystyle L(q)=e^{\sqrt {\ln q\times \ln \ln q}}}$
6. Adrian, David; Bhargavan, Karthikeyan; Durumeric, Zakir; Gaudry, Pierrick; Green, Matthew; Halderman, J. Alex; Heninger, Nadia ; Springall, Drew; Thomé, Emmanuel; Valenta, Luke; VanderSloot, Benjamin; Wustrow, Eric; Zanella-Béguelin, Santiago; Zimmermann, Paul (octubre de 2015). «Secreto de reenvío imperfecto: cómo falla Diffie-Hellman en la práctica» (PDF) . Archivado (PDF) desde el original el 27 de febrero de 2020. Consultado el 23 de mayo de 2015 .Publicado originalmente en Proc. 22nd Conf. on Computers and Communications Security (CCS). Republicado en CACM, enero de 2019, págs. 106-114, con Technical Perspective, "Attaching Cryptographic Key Exchange with Precomputation", por Dan Boneh, pág. 105.
7. "CVE-2015-4000". Lista de vulnerabilidades y exposiciones comunes . The MITRE Corporation. 15 de mayo de 2015. Archivado desde el original el 11 de agosto de 2015. Consultado el 16 de junio de 2015 .
   "El protocolo TLS 1.2 y anteriores, cuando un conjunto de cifrados DHE_EXPORT está habilitado en un servidor pero no en un cliente, no transmite correctamente una opción DHE_EXPORT, lo que permite a los atacantes intermediarios realizar ataques de degradación del cifrado reescribiendo un ClientHello con DHE reemplazado por DHE_EXPORT y luego reescribiendo un ServerHello con DHE_EXPORT reemplazado por DHE, también conocido como el problema 'Logjam'".
8. Ronen, Eyal; Shamir, Adi (octubre de 2015). "Revisión crítica de Imperfect Forward Secrecy" (PDF) . Archivado (PDF) desde el original el 2021-12-11 . Consultado el 2022-04-30 .
9. "Boletín de seguridad de Microsoft MS15-055. Una vulnerabilidad en Schannel podría permitir la divulgación de información (3061518)". Microsoft Corporation . 12 de mayo de 2015. Archivado desde el original el 3 de julio de 2015. Consultado el 2 de julio de 2015. Esta actualización de seguridad resuelve una vulnerabilidad en Microsoft Windows que facilita la explotación de la técnica Logjam, divulgada públicamente, [...] La actualización de seguridad soluciona la vulnerabilidad aumentando la longitud mínima permitida de la clave DHE a 1024 bits.
10. Perry, Mike (16 de junio de 2015). "Tor Browser 4.5.2 ya está disponible". El Proyecto Tor. Archivado desde el original el 20 de junio de 2015. Consultado el 20 de junio de 2015 .
11. "Acerca del contenido de seguridad de OS X Yosemite v10.10.4 y la actualización de seguridad 2015-005". Apple Inc. 23 de enero de 2017. Este problema, también conocido como Logjam, [...] se solucionó aumentando el tamaño mínimo predeterminado permitido para las claves efímeras DH a 768 bits.
12. "Acerca del contenido de seguridad de iOS 8.4". Apple Inc. 18 de agosto de 2020. Este problema, también conocido como Logjam, [...] se solucionó aumentando el tamaño mínimo predeterminado permitido para las claves efímeras DH a 768 bits.
13. "Mozilla Foundation Security Advisory 2015-70 - NSS acepta claves DHE de longitud de exportación con conjuntos de cifrado DHE regulares". Mozilla . Archivado desde el original el 2015-07-07 . Consultado el 2015-07-04 . CORREGIDO EN Firefox 39.0 [...] Este ataque [...] se conoce como "Ataque Logjam". Este problema se corrigió en la versión 3.19.1 de NSS al limitar la menor fortaleza de las claves DHE admitidas para usar números primos de 1023 bits.
14. Zhi, Vivian (1 de septiembre de 2015). «Actualizaciones del canal estable». Lanzamientos de Chrome . Archivado desde el original el 16 de octubre de 2015. Consultado el 6 de noviembre de 2015 .

Enlaces externos

• El ataque del atasco
• NSA en P/poly: El poder de la precomputación - Shtetl Optimizedl