Reklame
En novelle krypteringsfejl er dukket op for nylig, som kan udgøre en trussel mod online-privatliv. Døbt “LogJam,” bug'en opstår i TSL (Transport Security Layer), en krypteringsprotokol, der bruges til at autentificere servere og skjule indholdet af sikker webaktivitet (som dit bank login).
Fejlen tillader en mand-i-midten-angriberen at tvinge din browser, og den server, den er tilsluttet, til at bruge en svag form for kryptering, som er sårbar over for brute-force-angreb. Dette er relateret til 'FREAK' sårbarhed SuperFREAK: Ny sikkerhedsfejl i sikkerheden påvirker skrivebords- og mobilbrowsersikkerhedFREAK-sårbarheden er en, der påvirker din browser, og det er ikke begrænset til nogen browser eller ét enkelt operativsystem. Find ud af, om du er berørt, og beskyt dig selv. Læs mere opdaget og lappet tidligere i år. Disse bugs kommer på hælen på mere katastrofale sikkerhedsspørgsmål som heartbleed-bug Heartbleed - Hvad kan du gøre for at være sikker? Læs mere og ShellShock Værre end Heartbleed? Mød ShellShock: En ny sikkerhedstrussel til OS X og Linux Læs mere .
Mens patches findes i værkerne for de fleste større browsere, kan rettelsen muligvis lade tusinder af webservere være utilgængelige, indtil de er opgraderet med korrigeret kode.
En militær arv
I modsætning til de fleste sikkerhedssårbarheder, der er forårsaget blot ved programmerer tilsyn 1.000 iOS-apps har ødelæggende SSL-fejl: Sådan kontrollerer du, om du er berørtAFNetworking-fejlen giver iPhone- og iPad-brugere problemer, med 1000'erne af apps, der bærer en sårbarhed, der resulterer i SSL-certifikater fra at blive korrekt godkendt, hvilket muligvis letter identitetstyveri gennem man-i-midten angreb. Læs mere , er denne sårbarhed i det mindste delvist forsætlig. Tilbage i de tidlige 1990'ere, da pc-revolutionen kom i gang, var den føderale regering bekymret over, at eksport af stærk krypteringsteknologi til udenlandske kræfter kunne kompromittere dens evne til at spionere på andre nationer. På det tidspunkt blev stærk krypteringsteknologi lovligt betragtet som en form for våben. Dette gjorde det muligt for den føderale regering at sætte begrænsninger for dens distribution.
Som et resultat, da SSL (Secure Socket Layer, forgænger for TSL) blev udviklet, blev det udviklet i to varianter - den amerikanske version, som understøttede nøgler i fuld længde 1024 bit eller større, og den internationale version, der toppede med 512-bit nøgler, der er eksponentielt svagere. Når de to forskellige versioner af SSL snakker, falder de tilbage til den lettere brudte 512-bit nøgle. Eksportreglerne blev ændret på grund af tilbageslag med borgerrettigheder, men af bagudkompatibilitetsårsager har moderne versioner af TSL og SSL stadig støtte til 512 bit nøgler.
Desværre er der en fejl i den del af TSL-protokollen, der bestemmer, hvilken nøglængde der skal bruges. Denne fejl, LogJam, tillader en man-in-the-middle Hvad er et menneske i midten-angreb? Sikkerheds jargon forklaretHvis du har hørt om "mand-i-midten" -angreb, men ikke er helt sikker på, hvad det betyder, er dette artiklen for dig. Læs mere angriberen til at narre begge klienter til at tro, at de taler til et ældre system, der ønsker at bruge en kortere nøgle. Dette forringer styrken af forbindelsen og gør det lettere at dekryptere kommunikationen. Denne fejl er blevet skjult i protokollen i omkring tyve år og er først for nylig blevet afsløret.
Hvem er berørt?
Fejlen påvirker i øjeblikket ca. 8% af de øverste en million HTTPS-aktiverede websteder og et stort antal mailserver, der har en tendens til at køre forældet kode. Alle større webbrowsere påvirkes undtagen internet explorer. Påvirkede websteder viser den grønne https-lås øverst på siden, men ville ikke være sikre mod nogle angribere.
Browsere skabte er enige om, at den mest robuste løsning på dette problem er at fjerne al legacy support til 512-bit RSA-nøgler. Desværre vil dette gengives en del af Internettet, inklusive mange mailserver, ikke tilgængelige, indtil deres firmware er opdateret. For at kontrollere, om din browser er blevet lappet, kan du besøge et websted, der er oprettet af sikkerhedsforskerne, der opdagede angrebet, kl weakdh.org.
Angreb Praktisk
Så hvor sårbar er en 512-bit nøgle i disse dage, alligevel? For at finde ud af det, skal vi først se på nøjagtigt, hvad der angribes. Diffie-Hellman nøgleudveksling er en algoritme, der bruges til at give to parter mulighed for at blive enige om en delt symmetrisk krypteringsnøgle uden at dele den med en hypotetisk snooper. Diffie-Hellman-algoritmen er afhængig af et delt primnummer, indbygget i protokollen, der dikterer dets sikkerhed. Forskerne var i stand til at knække det mest almindelige af disse primater inden for en uge, hvilket gjorde det muligt for dem at dekryptere ca. 8% af internettrafikken, som var krypteret med den svagere 512-bit prime.
Dette sætter dette angreb inden for rækkevidde for en "kaffebarangreber" - en lille tyv snooping på sessioner via offentlig WiFi 3 farer ved at logge på offentlig Wi-FiDu har hørt, at du ikke bør åbne PayPal, din bankkonto og muligvis endda din e-mail, mens du bruger offentlig WiFi. Men hvad er de faktiske risici? Læs mere , og brute-tvinger nøgler efter faktum for at gendanne økonomiske oplysninger. Angrebet ville være trivielt for virksomheder og organisationer som NSA, der muligvis går meget i at oprette en mand i det midterste angreb til spionage. Uanset hvad repræsenterer dette en troværdig sikkerhedsrisiko, både for almindelige mennesker og enhver, der kan være sårbar over for snooping af mere magtfulde kræfter. Bestemt, nogen som Edward Snowden skal være meget forsigtig med at bruge usikret WiFi i overskuelig fremtid.
Mere foruroligende antyder forskerne også, at standard primlængder, der betragtes som sikre, ligesom 1024-bit Diffie-Hellman, kan være sårbar over for brute-force-angreb fra magtfulde regering organisationer. De foreslår at migrere til væsentligt større nøglestørrelser for at undgå dette problem.
Er vores data sikre?
LogJam-bug er en uvelkommen påmindelse om farerne ved regulering af kryptografi med henblik på national sikkerhed. En indsats for at svække De Forenede Staters fjender har ender med at skade alle og gør os alle mindre sikre. Det kommer på et tidspunkt, hvor FBI gør en indsats for at tvinge tech-virksomheder til inkluderer bagdøre i deres krypteringssoftware. Der er en meget god chance for, at hvis de vinder, vil konsekvenserne for de kommende årtier være lige så alvorlige.
Hvad synes du? Bør der være begrænsninger for stærk kryptografi? Er din browser sikker mod LogJam? Fortæl os det i kommentarerne!
Billedkreditter: US Navy Cyberwarfare, Hacker-tastatur, HTTP, NSA-tegn af Wikimedia
Andre er en forfatter og journalist med base i det sydvestlige USA, og det garanteres at forblive funktionelt op til 50 grader Celcius og er vandtæt til en dybde på 12 meter.
