Logjam: Vulnérabilités TLS (CVE-2015-4000)

Red Hat Product Security a été informé d'un certain nombre de problèmes liés aux connexions TLS qui utilisent le protocole d'échange de clés Hellman (DH).

Informations générales

Les connexions TLS qui utilisent le protocole d'échange de clés Diffie-Hellman se révèlent être vulnérables à une attaque qui consiste à ce qu'au niveau de l'intercepteur, un attaquant soit en mesure de faire régresser des connexions TLS vulnérables à la cryptographie de grade d'exportation de 512 octets. L'attaque peut toucher n'importe quel serveur qui prenne en charge les algorithmes de chiffrement DHE_EXPORT. L'attaque peut être menée grâce au calcul préalable des nombres premiers de 512 bits en deux ensembles standard de paramètres faibles Diffie-Hellman, à savoir les versions httpd 2.1.5 à 2.4.7 d'Apache et toutes les versions d'OpenSSL.

Le Logjam research paper discute des problèmes suivants liés aux clés DH vulnérables :

1. L'utilisation de suites de chiffrement DHE_EXPORT avec le protocole TLS, ou de clés DHE de calibre de chiffrement export : ces clés ont une taille de 512 octets et si elles reçoivent suffisamment de puissance de calcul et avec assez de temps, elles peuvent être cassées. C'est surtout un problème avec PFS (Perfect Forward Secrecy) parce qu'un attaquant est alors en mesure d'enregistrer le trafic et de le déchiffrer par la suite.

2. L'utilisation des nombres premiers pré-calculés fournis avec certains packages communément utilisés, comme certaines versions httpd et sshd d'Apache : cette faiblesse permet à un attaquant de pré-calculer ces nombres premiers une fois pour toute, et de les utilisez pour décrypter tout trafic utilisant ces nombres premiers pour établir une connexion TLS.

3. Une défaillance du protocole TLS pouvant mener à une régression de DHE à DHE_EXPORT : ce problème a été assigné à CVE-2015-4000.

Impact

Les scénarios d'attaque suivants sont possibles avec les problèmes notés ci-dessus :

1. Décryptage de faibles connexions DHE en mode hors connexion
   Cette attaque exige que le serveur utilise la clé d'échange Diffie-Hellman par défaut avec des paramètres de 512 octets. Cela permet à un réseau adversaire passif qui soit en mesure d'enregistrer les communications entre un client et un serveur de décoder cette communication par la suite.

2. Régression de DHE_EXPORT et décryptage hors ligne de l'extension False Start de TLS.
   Cette attaque ne peut avoir lieu que si le serveur supporte des suites d'algorithmes de chiffrement DHE_EXPORT ou utilise des paramètres de 512 bits en chiffrements DHE non-export. Le client doit utiliser l'extension False Start de TLS. Dans ces circonstances, un attaquant peut enregistrer la communication entre un client et un serveur, puis décrypter cette communication.

3. Régression de DHE_EXPORT et emprunt d'identité du serveur intermédiaire.
   C'est un genre d'attaque qui ressemble à l'attaque précédente, mais qui ne requiert pas que l'extension False Start de TLS soit activée. L'attaquant doit, à la place, attendre un bon moment pour que l'échange de protocole s'établisse. C'est parce que l'attaquant doit calculer la clé de connexion pendant le protocole de transfert, et que ce calcul prend quelques minutes.

Résolution

Serveurs SSL/TLS

Pendant l'attaque MITM, l'attaquant tente de se connecter au serveur en utilisant des suites de chiffrement DHE_EXPORT au nom du client. Cela résulte d'une faille de protocole TLS sur la façon dont les suites de chiffrement DHE_EXPORT et DHE sont composées. En exploitant cette faille de protocole, il est possible de mener une attaque MITM activement si le serveur supporte les suites de chiffrement DHE_EXPORT.

Ce problème n'affecte pas les versions en cours des packages openssl tels qu'ils sont fournis dans Red Hat Enterprise Linux 6 et 7 car ces packages n'incluent pas les suite d'algorithmes de chiffrement DHE_EXPORT ou toute autre suite d'algorithme de chiffrement de grade export dans sa liste d'algorithmes de chiffrement par DÉFAUT. (Les applications qui utilisent les algorithmes de chiffrement par DÉFAUT n'utiliseront pas les suites d'algorithmes de chiffrement de grade export. Cependant, une configuration spécifique à l'application peut réactiver l'utilisation des algorithmes de chiffrement d'exportation.) Veuillez noter que c'est uniquement le cas quand openssl est utilisé par un serveur de réseau. Pour plus d'informations sur les problèmes côté client, veuillez lire ce qui suit.

Les packages openssl de Red Hat Enterprise Linux 7 excluaient les suites d'algorithmes de chiffrement de grade export de la liste par DÉFAUT quand celles-ci était utilisées comme serveur depuis leur sortie initiale. Dans Red Hat Enterprise Linux 6, le changement avait été effectué suite au conseil RHBA-2014:1525 dispensé dans Red Hat Enterprise Linux 6.6.

Red Hat Enterprise Linux 5 ne prend pas en charge la suite d'algorithmes de grade export dans sa liste d'algorithmes de chiffrement par défaut. Red Hat n'a pas l'intention de modifier la liste d'algorithmes de chiffrement par défaut dans Red Hat Enterprise Linux 5 car cette CVE est classifiée Impact modéré. Pour obtenir plus d'informations sur les Conseils de sécurité qui seront à l'étude en vue d'une résolution dans la Phase de production 3, consulter la page Red Hat Enterprise Linux Life Cycle.

Clients SSL/TLS

Comme les clients ne contrôlent pas les suites d'algorithmes de chiffrement par le serveur SSL/TLS, la seule défense possible est de rejeter les petits nombres premiers pendant le protocole de transfert DHE. Exiger des grands nombres premiers peut empêcher les attaques de régression mentionnées ci-dessus.

En amont, OpenSSL aborde les deux questions en suspens, en augmentant la taille minimale des paramètres DH qu'un client soit en mesure d'accepter à 768 octets. De cette façon, même si un attaquant MITM fait régresser la connexion, le client procédera au rejet si moins de 768 octets (ce qui présente une vulnérabilité) sont utilisés.

Actuellement, toutes les versions des packages NSS fournies dans Red Hat Enterprise Linux acceptent les paramètres DHE de 512 octets. Le bogue en amont suivant et sa validation sont censés régler ce problème et augmenter la limite à 1023 octets :

• https://bugzilla.mozilla.org/show_bug.cgi?id=1138554
• https://hg.mozilla.org/projects/nss/rev/ae72d76f8d24

Cette modifiction est à l'étude actuellement par l'équipe Red Hat Product Security et pourra être rétroportée dans les packages NSS de Red Hat Enterprise Linux concernés

Openswan/Libreswan

L'attaque de régression Logjam contre TLS ne s'applique pas à IKE dans Openswan et Libreswan. Le démon «pluto» fourni dans les packages openswan et libreswan fournissent des protocoles IKEv1 et IKEv2 pour mettre en place les tunnels de VPN IPsec alors que l'attaque Logjam cible TLS. Openswan et Libreswan ont également, par défaut, des groupes DH au dessus de MODP1024 et ne prennent pas en charge MODP768 ou en dessous.

Produits JBoss

Pour obtenir des informations sur la façon de mitiger la vulnérabilité Logjam dans les produits JBoss affectés, voir Logjam: TLS vulnerabilities (CVE-2015-4000) for JBoss products