Come rilevare l'attacco MITM NSA su SSL?

8

Come Bruce Schneider ha riportato qui ...

link

... l'NSA ha riferito di aver eseguito un attacco MITM su una compagnia in brasile e ha decifrato il traffico SSL compromettendo il loro router. I commentatori menzionano anche un attacco simile contro il DigiNotar CA qualche tempo fa.

La mia domanda è, in entrambi i casi, l'impronta digitale SHA1 del certificato SSL è stata modificata dall'attacco MITM? In teoria, se qualcuno prestasse attenzione e vedesse che l'impronta digitale era diversa, avrebbero potuto sapere che erano stati spiati, vero?

    
posta John 14.09.2013 - 00:58
fonte

2 risposte

11

and decrypted their SSL traffic by compromising a backbone router

No, è sbagliato (ma non influisce sul resto della domanda). Secondo tale affermazione, l'NSA ha compromesso un router appartenente all'obiettivo (non che ciò sia veramente importante). Ancora più importante, la compromissione del router non ha aiutato la decodifica del traffico SSL da parte della NSA: tutto ciò ha consentito alla NSA di eseguire un attacco man-in-the-middle sul flusso crittografato e firmato. Se tutti gli aspetti di SSL fossero stati mantenuti, quell'attacco sarebbe stato rilevato e la NSA non sarebbe stata in grado di decifrare il traffico legittimo.

La parte decisiva dell'attacco era che la NSA poteva creare un falso certificato per Google. Un certificato SSL contiene approssimativamente le seguenti parti:

  • Una descrizione di chi è il certificato (Google)
  • La chiave pubblica di quell'entità
  • Una descrizione di chi garantisce il certificato (CA)
  • Alcune magie matematiche che assicurano che solo il detentore della chiave privata della CA possa creare quel certificato

Sembra che la NSA conoscesse la chiave privata della CA, quindi potevano creare un certificato contenente una chiave pubblica diversa, che corrispondeva a una chiave privata creata dalla NSA invece della chiave privata detenuta da Google.

Poiché il certificato falso è diverso da quello originale, ha un'impronta digitale diversa. (Nota che questo potrebbe non essere il caso per le impronte digitali MD5: La resistenza alle collisioni di MD5 è sufficientemente rotta per consentire la creazione di due certificati con la stessa impronta digitale - ma non creare un certificato con la stessa impronta digitale di un certificato esistente, ma non è nota alcuna vulnerabilità di questo tipo per SHA-1. Pertanto, se si rileva che l'impronta digitale SHA-1 del certificato è errata, si sei attivamente uomo-in-the-middled.

Ciò ha un'importanza pratica limitata, perché devi essere in grado di recuperare il valore di SHA-1 in qualche modo in modo affidabile. Dove troverai una connessione affidabile per recuperare queste impronte digitali?

Diffusione della verifica tra più parti è un modo per resistere al compromesso di un piccolo numero di CA consentendo al contempo la navigazione in siti fino a quel momento sconosciuti.

    
risposta data 14.09.2013 - 01:21
fonte
0

Per rilevare un attacco MITM, è necessario un modo per comunicare con l'altro capo che non è facilmente manomesso da una terza parte. Se c'è un attacco MITM, la chiave che stai usando è diversa da quella che sta usando l'altra estremità, e i bit crittografici sono diversi.

Un modo classico per farlo è apparso in alcune delle prime unità di crittografia telefonica a chiave pubblica. Dopo l'impostazione della chiamata, verrà visualizzato un numero di 2 cifre basato sulla chiave pubblica in uso alle due estremità. Entrambe le parti avrebbero quindi verificato a voce di aver visto lo stesso numero. Un intruso dovrebbe essere in grado di sostituire perfettamente parte della conversazione degli utenti per farla franca con un attacco MITM.

Questo suggerisce un percorso verso soluzioni più generali. Gli attaccanti MITM esistenti di solito passano semplicemente attraverso il testo in chiaro (sebbene possano introdurre attacchi). Con un software appropriato su entrambe le estremità, l'attaccante del MITM deve generare una bugia coerente per entrambe le estremità. Potrebbe essere possibile far sì che l'attaccante lavori in modo arbitrario per generare quella bugia.

    
risposta data 03.04.2014 - 02:22
fonte

Leggi altre domande sui tag