Два бельгийских исследователя-безопасника из университета Левена забили еще пару гвоздей в гроб алгоритма шифрования RC4.

Опубликованный доклад, который, как ожидается, будет представлен на предстоящем в следующем месяце симпозиуме USENIX в Вашингтоне, описывает новые атаки на RC4, которые позволяют атакующему перехватывать cookie-файл жертвы и расшифровывать его за гораздо меньшее время, чем это считалось возможным ранее.

Доклад «All Your Biases Belong To Us: Breaking RC4 in WPA-TKIP and TLS«, написанный Мэти Ванхуфом (Mathy Vanhoef) и Фрэнком Писенсом (Frank Piessens), содержит описание обнаруженных особенностей алгоритма, которые позволяют взламывать шифрование на веб-сайтах, работающих по TLS с RC4, а также с WPA-TKIP, Wi-Fi Protected Access Temporal Key Integrity Protocol, с целью кражи cookie-файлов.

Ванхуф и Писенс привели примеры, как злоумышленник может использовать эти открытия для расшифровки cookie-файлов пользователя, которые должны были быть защищены шифрованным каналом. Тем не менее применение их атак не ограничивается cookie-файлами.

«Это означает, что злоумышленник может выполнять действия от имени жертвы (например, публиковать обновления статуса и отправлять сообщения), получать доступ к личной информации (например, к электронной почте и истории чата) и так далее», — сказали ученые.

По их словам, исследование сильно упрощает предварительную работу в этой области, что позволяет расшифровывать cookie в пределах 75 часов, и это придает атакам практический смысл. Продолжительность атак против реальных устройств им удалось сократить до 52 часов.

Исследователи заявили, что для того, чтобы провести атаку, нужно перехватить из TLS-потока несколько зашифрованных cookie-файлов, преобразовать их в вероятные значения cookie и продолжать перебор, пока не будет найдено правильное значение.

Из доклада:

«Чтобы взломать WPA-TKIP, мы разработали метод для генерирования большого числа идентичных пакетов. Пакет расшифровывается с помощью списка незашифрованных предположительных значений, а неподходящие кандидаты отбрасываются благодаря избыточной структуре пакетов. Из расшифрованного пакета мы извлекаем ключ TKIP MIC, который может быть использован для внедрения и расшифровки пакетов. На практике эту атаку можно провести за час. Мы также атакуем TLS, который используется в HTTPS, в этом случае мы показываем, как расшифровать защищенный cookie с вероятностью 94%, используя 9×2^27 шифротекстов. Мы внедряем в cookie известные данные, используем ABSAB-перекос Мантина и перебираем незашифрованные значения. Используя нашу технику генерации трафика, мы смогли выполнить атаку в пределах 75 часов».

Microsoft и другие ведущие технологические компании уже предприняли шаги в сторону отказа от RC4 в TLS, так же как и от других слабых алгоритмов вроде SHA-1. Этот доклад демонстрирует новые проблемы и объясняет, как исследователи вычисляли нужные значения cookie-файлов для расшифровки информации.

«В то время как предыдущие атаки против RC4 в TLS и WPA-TKIP были на грани практичности, наша работа превращает их в реальные и практичные, — говорится в докладе. — Мы считаем удивительным, что такое возможно сделать с использованием известных особенностей [алгоритма], и ожидаем, что атаки этих типов будут совершенствоваться и в дальнейшем».

Категории: Другие темы