Logjam: Vulnerabilidades do TLS (CVE-2015-4000)

Red Hat Product Security foi informado de diversos problemas com conexões TLS usando o protocolo de troca de chave Diffie-Hellman (DH).

Informações de Fundo

As conexões do TLS, que utilizam o protocolo de troca de chave Diffie-Hellman, são vulneráveis ao ataque, no qual um atacante intermediário pode reduzir conexões vulneráveis do TLS para criptografia de grau de exportação de 512-bits. O ataque afeta qualquer servidor que suporta as cifras DHE_EXPORT. Este ataque pode sre conduzido pela pré-computação dos primários 512 bits em dois conjuntos comuns de parâmetros fracos de Diffie-Hellman, ou seja Apache httpd versões 2.1.5 para 2.4.7, e todas as versões do OpenSSL.

O Logjam research paper discute os seguintes problemas relacionados às chaves fracas de DH:

1. O uso dos conjuntos de cifras DHE_EXPORT no protocolo de TLS, ou chaves DHE com força de cífras com grau de exportação: estas chaves possuem 512 bits em tamanho e com o tempo e uso da energia de computação, podem quebrar. Isto é um problema com Perfect-Forward Secrecy (PFS) pois um antacante poderia gravar o trávego e depois descriptografá-lo.

2. O uso de números primos pré-computados que são fornecidos com certos pacotes amplamente utilizados, tais como certas versões do Apache httpd ** e * sshd: essa fraqueza permite um atacante pré-computar tais primos uma vez, e usá-los para decifrar todo o tráfego que utiliza esses números primos para estabelecer uma conexão TLS.

3. Um defeito no protocolo TLS, que pode levar a uma redução do DHE para DHE_EXPORT: este problema foi atribuído CVE-2015-4000.

Impacto

Estes cenários de ataque abaixo são possíveis utilizando os problemas mencionados acima:

1. Descriptografia offline de conexões DHE fracas
   Este ataque requer que os padrões do servidor usem um Diffie-Hellman com parâmetros de 512 bits. Isso permite que um adversário de rede passiva, que é capaz de gravar a comunicação entre um cliente e um servidor, descriptografe essa comunicação.

2. DHE_EXPORT downgrade e descriptografia offline da extenção do TLS False Start
   Este ataque requer que um servidor suporte conjuntos de cifras de DHE_EXPORT ou use parâmetros de 512 bits em cifras de DHE de não-exportação. O cliente deve estar utilizando a extensão TLS False Start. Nestas circunstâncias, um invasor pode gravar a comunicação entre um cliente e um servidor e, em seguida, descriptografar essa comunicação.

3. Impersonalização do servidor de redução e intermediário de DHE_EXPORT
   Este é um ataque semelhante ao ataque anterior, mas não exige que a extensão TLS False Start esteja ativada. Ao invés disso, o atacante precisa confiar que o cliente irá aguardar um longo tempo para ser concluído. Isso ocorre porque o atacante deve calcular a chave de conexão durante o processo de conclusão, computação que leva um longo tempo.

Resolução

SSL/TLS Servers

No ataque MITM, o atacante tenta se conectar ao servidor usando os conjuntos de cifras de DHE_EXPORT em nome do cliente. Isto é possível devido à uma falha no protocolo TLS na forma que os conjuntos de cifras DHE e DHE_EXPORT são compostos. Usando esta falha de protocolo, um ataque MITM activa pode ser realizado desde que o servidor suporta conjuntos de cifras DHE_EXPORT.

Este problema não afeta as versões atuais dos pacotes openssl como são distribuídos com o Red Hat Enterprise Linux 6 e 7, pois eles não incluem conjuntos de cifras de DHE_EXPORT ou qualquer outro conjunto de cifras de exportação de grau em sua lista de cifras PADRÃO. (Os aplicativos que usam a preferência de cifra PADRÃO não usarão conjuntos de cifras de grau de exportação. No entanto, a configuração específica do aplicativo pode reativar o uso de cifras de exportação.) Por favor, note que este é apenas o caso quando openssl é usado por uma rede servidor. Para obter informações sobre as questões do cliente por favor veja abaixo.

Os pacotes openssl no Red Hat Enterprise Linux 7 excluíam conjuntos de cifras de grau de exportação do DEFAULT quando usado como um servidor desde seu lançamento inicial. No Red Hat Enterprise Linux 6, a alteração foi feita através do conselho RHBA-2014:1525 lançado com oparte do Red Hat Enterprise Linux 6.6.

Red Hat Enterprise Linux 5 suporta o conjunto de cifras de grau de exportação em sua lista cifra padrão. A Red Hat não planeja alterar a lista de cifras padrão no Red Hat Enterprise Linux 5, porque isso é classificado como CVE impacto moderado. Para obter mais informações sobre quais Conselhos sobre segurança que são abordados na Fase de Produção 3, por favor visite a página [Red Hat Enterprise Linux Ciclo de Vida] (https://access.redhat.com/support/policy/updates/errata#Production_3_Phase).

SSL/TLS Clients

Como os clientes não controlam os conjuntos de cifras controlados pelo servidor SSL/TLS, a única defesa é rejeitar pequenos primos na conclusão do DHE. Exigir primos maiores podem prevenir os ataques de downgrade mencionados acima.

O OpenSSL upstream aborda os dois últimos problemas, aumentando o tamanho mínimo de parâmetros DH que um cliente pode aceitar, para 768 bits. Desta forma, mesmo se um atacante MITM reduzir a conexão, o cliente irá rejeitar se menos de 768 bits forem utilizados, o que é considerado facilmente quebrável.

Atualmente, todas as versões dos pacote NSS como distribuídos com o Red Hat Enterprise Linux aceitam parâmetros de DHE de 512 bits. O seguinte erro upstream e reclamação relacionada para reparar este problema e aumentar o limite para 1.023 bits:

• https://bugzilla.mozilla.org/show_bug.cgi?id=1138554
• https://hg.mozilla.org/projects/nss/rev/ae72d76f8d24

Esta mudança está sendo investigada pelo Red Hat Security Product e pode ser portado de volta para pacotes pacotes NSS relevantes no Red Hat Enterprise Linux.

Openswan/Libreswan

O ataque de downgrade Logjam contra TLS não se aplica ao IKE em Openswan e Libreswan. O daemon pluto fornecido pelos pacotes openswan * e *libreswan fornece os protocolos IKEv1 e IKEv2 para estabelecer túneis VPN IPsec, sendo que o ataque Logjam tem como alvo impasse TLS. O Openswan e Libreswan também têm grupos DH padrão acima de MODP1024, e não suportam MODP768 e inferiores.

JBoss products

Para obter mais informações sobre como mitigar a vulnerabilidade do Logjam nos produtos afetados JBoss, consulte o Logjam: TLS vulnerabilities (CVE-2015-4000) for JBoss products