Previous Entry Share Next Entry
2016-01

(no subject)

э, а я же правильно понимаю, что тут сделали универсальную атаку на Diffie-Hellman и всё, что на нём строится, да?

( https://weakdh.org/imperfect-forward-secrecy.pdf )

This entry was originally posted at http://wizzard.dreamwidth.org/449923.html. It has comment count unavailable comments. Please comment there using OpenID.

  • 1
worm_ii October 16th, 2015
В принципе, супротив Man-in-the-middle ни один протокол обмена ключами не устоит. Там какие-то есть заморочки, призванные это затруднить, и именно против них направлена атака (я в них совершенно не разбираюсь), а не против самого Диффи-Хеллмана, который в норме устойчив только к прослушке.
Другое дело, что на практике MITM-атаки очень сложно организовать и очень легко отразить (позвонить голосом по телефону, например).

Upd. Виноват, только первое предложение прочитал. Дальше там обсуждается аццкий брутфорс и утверждается, что "надо больше битов". Кажется, на этом пути никаких новых оптимизаций взлома не предлагается.

Edited at 2015-10-16 08:39 am (UTC)

sassa_nf October 16th, 2015
"В принципе, супротив Man-in-the-middle ни один протокол обмена ключами не устоит."

смотря что считать обменом ключами. Мотивация DH как раз для обмена ключами, но не предполагает zero knowledge. Можно ли считать тот кусочек секретной инфы, которым обмениваются заранее, ключом?

beldmit October 16th, 2015
Предлагается. ECDH.

Я не понял, почему все возбудились сейчас, если атаку обсосали в мае и уже тогда решили, что АНБ это всё уже разложило.

nponeccop October 16th, 2015
Поможет также рандомизация группы (прекалькуляция будет бессмысленна). Хез, можно ли сгенерировать "хорошую" рандомную группу.

arkanoid October 16th, 2015
На 1024bit, да. А ты проспал, когда все срочно побежали править конфиги? Этому еще предшествовали некоторые теоретические обсуждения.

juan_gandhi October 16th, 2015
Да, интересненько. Кроме больших ресурсов, используются еще social skills, типа у каждого второго пароль password1.

nponeccop October 16th, 2015
Эт где? Насколько я там понял, группы у всех одинаковые потому что это (использование одной из групп из короткого списка) прописано в RFC. Прописано оно там потому, что раньше рандомизация группы была не нужна для секьюрити, и можно было всем использовать хоть одну и ту же.

Edited at 2015-10-16 03:54 pm (UTC)

juan_gandhi October 16th, 2015
Ах вот как! RFC я не читал.

nponeccop October 16th, 2015
http://www.ietf.org/rfc/rfc5114.txt - вот чтоб не быть голословным. Там (в "новых" группах) вообще такая ситуация, что группа однозначно определяется требуемым параметром безопасности ("длиной ключа").
2. Additional Diffie-Hellman Groups ................................4
      2.1. 1024-bit MODP Group with 160-bit Prime Order Subgroup ......4
      2.2. 2048-bit MODP Group with 224-bit Prime Order Subgroup ......4
      2.3. 2048-bit MODP Group with 256-bit Prime Order Subgroup ......5
      2.4. 192-bit Random ECP Group ...................................6
      2.5. 224-bit Random ECP Group ...................................7
      2.6. 256-bit Random ECP Group ...................................7
      2.7. 384-bit Random ECP Group ...................................8
      2.8. 521-bit Random ECP Group ...................................9

nponeccop October 16th, 2015
Как я понял, всего лишь есть атака с прекалькуляцией, позволяющая получить оракула для дискретного логарифма в данной группе умножения по модулю.

Лечится разными способами:

- можно удлиннить группу
- можно рандомизировать группу
- можно отказаться от групп умножения по модулю и использовать дискретный логарифм в других группах (ECDH не уязвим)



109 October 16th, 2015
только на те имплементации, которые следуют RFC :)

amarao_san October 18th, 2015

Если я правильно описание атаки на арстехнике прочитал, то речь идет о том, что все почему-то используют одни и те же числа. И если их разгадать, то будет ой. А вот почему числа у разных коннектов одни и те же - пока не понял.


  • 1
?

Log in

No account? Create an account