Bleichenbacher猫的9条命，它又一次划伤了

Question

Bleichenbacher演示了一个针对RSA实现的填充甲骨文攻击，该实现遵循PKCS #1 v1.5。多年来，各种缓解技术被开发为OAEP，并限制了一段时间内的查询执行次数。在随机预言模型中，OAEP一直是证明安全的。

2018年11月，Ronen et.al在的9个生命:TLS实现上的新缓存攻击中证明了Bleichenbacher仍然适用。

• 新的攻击在高层是如何运作的？
• 哪些TLS实现受到影响？
• 怎样才能减轻攻击的影响？

Answer 1

• 新的攻击在高层是如何运作的？

In

他们使用兽兽-like 浏览器攻击中的人，使用类高速缓存攻击对到易受攻击的服务器的任何TLS连接执行降级攻击。由此，他们展示了使用类似缓存的攻击的可行性。

更详细的

即使这些年来，针对填充oracle攻击部署了许多缓解技术，它们表明，一些实现仍然容易受到各种微体系结构侧通道的攻击。它们的目标是通过微架构侧通道泄漏信息的PKCS #1 v1.5实现。

攻击者需要3种功能：

1. 侧通道能力:攻击者必须能够在受害机器上执行代码来安装微体系结构侧通道攻击。他们使用Flush+Reload攻击。
2. 特权网络位置能力:攻击者必须位于中间位置，这样才能利用私钥填充甲骨文攻击。攻击者将通信降级为与贾格 et的TLS 1.2RSA密钥交换。S进攻，用兽法。
3. 解密能力:攻击者需要一种在目标系统上开始解密他选择的密文的能力。他们利用了Bleichenbacher和马槽攻击的攻击。

--攻击的具体场景：

• TLS服务器与攻击者的虚拟机共享的物理设备。这需要一个坚定的对手。
• 第二和第三种方法可以通过控制服务器和客户端之间的节点来实现。

注意:Manger的攻击需要\log_2(N)完美的Oracle查询。Bleichenbacher的攻击需要数以百万计的甲骨文呼叫，但可以容忍虚假的否定。由于一个错误，他们发起了一次改进的Manger攻击，只有6144个查询。

尽管浏览器的超时限制了攻击，但它们能够通过使用共享相同公钥证书的TLS服务器来并行攻击。

• 哪些TLS实现受到影响？

他们测试了以下实现：

• OpenSSL
• 亚马逊s2n
• MbedTLS
• 苹果CoreTLS
• Mozilla NSS
• WolfSSL
• GnuTLS
• BearSSL
• BoringSSL

除了BearSSL和BoringSSL之外，所有这些都受到它们的攻击的影响。

• 怎样才能减轻攻击的影响？
• 保持系统的最新更新:不要支持不同的版本。
• 向后兼容性是这一攻击的主要问题。如果您的服务器可以降级为早期版本，则TLS1.3安全性对您没有帮助。
• 反对RSA密钥交换。
• 证书分离:不要使用相同的密钥进行签名和RSA密钥交换.
• 固定时间代码和安全API，如在BearSLL和BoringSSL API中.
• 使用大的RSA密钥。攻击需要\approx \log N甲骨文调用。使用大键>2048-bits可以降低攻击的实用性。
• 减少TLS握手超时，以使MitM攻击更加困难。
• 使用BearSSL或BoringSSL

注:火狐中30秒的超时时间可以扩展，请参阅禤浩焯等人的不完美的前向保密: Diffie-Hellman如何在实践中失败.。阿尔。

注2：SecuirtySO中有一个关于受影响密码套件的相关问题。