Ny trussel:Krypteringen i SSL/TSL-protokollen kan brydes på 10 minutter

En sårbarhed i SSL og TLS kan nu udnyttes i praksis, så en hacker kan læse med i krypteret internettrafik. Løsningen er at opgradere til nyeste protokol, men det går meget langsomt.

SSL og TLS, som i dag har rollen som internettets sikre kommunikationskanaler, er under kraftig beskydning.

Dårligt har røgen lagt sig efter skandalen om den hollandske certifikatudsteder Diginotar, hvor hackere i månedsvis kunne bruge falske SSL-certifikater, før en ny sårbarhed dukker op.

Sikkerhedsforskere demonstrerede fredag på konferencen Ekoparty i Argentina, hvordan man med en stump Javascript kan bryde krypteringen, hvis man bruger protokollen TLS 1.0, eller SSL-forgængerne. Det skriver The Register.

Sårbarheden har i nogen tid medst været en teoretisk mulighed, som ikke vakte bekymring. Men nu har de to sikkerhedseksperter Thai Duong og Juliano Rizzo fundet en metode, der sætter hastigheden på angrebet så meget i vejret, at det kan bruges til noget.

Læs også: Bruce Schneier: Jeg har aldrig stolet på SSL – men der er intet alternativ

For at kunne læse med i data sendt via TLS, skal en hacker kunne efterligne den autentificerings-cookie, som bliver placeret hos en bruger. De 1.000-2.000 tegn, den indeholder, kan dekrypteres på ti minutter, viste forskerne med angrebet, de har døbt BEAST.

Løsningen på problemet er på papiret nem nok, for sårbarheden blev løst, da TLS-protokollen kom i version 1.1 i 2006. Siden er TLS også kommet i version 1.2. Men næsten ingen websider er skiftet til de nyeste protokoller, og mange holder også fast i de ældre SSL version 3 og version 2.

Brugernes browsere skal nemlig også følge med og opgraderes til de nye protokoller, og skifter en webside til de nyeste versioner, vil en stor gruppe brugere få en fejlmeddelelse og måske forsvinde som kunde i for eksempel en netbutik. Altså et klassisk hønen-og-ægget-problem.

Efter offentliggørelsen af BEAST-angrebet, har Google lovet at opgradere browseren Chrome, så der bliver taget højde for sårbarheden. Browsere som den nyeste Internet Explorer og Opera har indarbejdet TLS 1.2-protokollen, men bruger den ikke som standard.

Læs også: Danske Bank holder liv i usikker SSL-protokol fra 1990’erne

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (10)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Jesper Lund

Kunne udbyderne ikke bare bruge TLS 2.0 som default, og så lave fallback til de mindre sikre protokoller? Så virker alting, men det er langsommere at køre med de gamle protokoller.

Du mener vel TLS 1.2? Du skal have software som understøtter det, både på klient og server siden. Openssl 0.9.x (som de fleste bruger) har ikke TLS 1.2 understøttelse, og det varer længe inden alle servere kører med openssl 1.0. På klientsiden er det kun IE og Opera som understøtter TLS 1.2

  • 0
  • 0
Kristian Dalgård
  • 0
  • 0
Jesper Lund

Har prøvet at slå SSL 3.0 og TLS 1.0 fra i Google Chrome. Har endnu ikke fundet noget der virker uden TLS 1.0.

Hvor vil du hen med det? Denne svaghed i TLS 1.0 er det rene vand i forhold til sikkerhedsproblemerne med SSL 2.0.

Du skal have fat i en browser som understøtter TLS 1.2, hvilket p.t. kun er Opera og IE (sikkert kun nyere versioner som IE9 og måske IE8?).

En anden workaround (midlertidig forhåbentlig..) skulle være at bruge 128-bit RC4 i stedet 256-bit AES, da dette angreb er specifikt rettet mod AES.

  • 0
  • 0
Keld Simonsen

Joeh, jeg fejllæste artiklen. Men kan man bruge TLS 1.1 som default? TLS 1.2 understøttes ikke af mange.
Eller kan man bruge TLS 1.2 som default og så forhandle sig ned til den bedst mulige understøttede version?

Jeg bruger mest SSL via ssh, og er nok ikke kommet længere end til SSL version 1 og 2 - her ved jeg at den kan forhandle sig ned til SSL 1 fra en SSL 2. Er problemet aktuelt i ssh? Det lyder som om det er. Jeg kører OpenSSH 0.9.8. Hvordan sætter jeg den til at bruge TSL 1.1? Og er det fornuftigt? Kan ikke umiddelbart se hvordan det sal sættes.

  • 0
  • 0
Martin Clausen

Dette angreb er ikke rettet mod AES men mod block ciphers (herunder også fx DES og 3DES) i CBC mode - mere specifikt SSL protokollens brug af initialization vectors (IV). Da stream ciphers som fx RC4 typisk ikke benytter sig af initialization vectors / CBC, men bare benytter ren XOR, er de umiddelbart ikke berørt.

  • 1
  • 0
Jesper Lund

https://blog.mozilla.com/security/2011/09/27/attack-against-tls-protecte...

Firefox itself is not vulnerable to this attack. While Firefox does use TLS 1.0 (the version of TLS with this weakness), the technical details of the attack require the ability to completely control the content of connections originating in the browser which Firefox does not allow.

Så langt så godt.. men så er der lige problembarnet Java

The attackers have, however, found weaknesses in Java plugins that permit this attack. We recommend that users disable Java from the Firefox Add-ons Manager as a precaution. We are currently evaluating the feasibility of disabling Java universally in Firefox installs and will update this post if we do so.

Det stiller mig i lidt af et dilemma.. Jeg har lovet DanID at jeg altid vil holde min software sikkerhedsopdateret, men hvis jeg følger Mozilla's råd, kan jeg ikke køre NemID :-)

  • 0
  • 0
Log ind eller Opret konto for at kommentere