パスワードを忘れた? アカウント作成
5310 story

mod_sslがOpenSSLのタイミング・アタック脆弱性に対応 8

ストーリー by Oliver
現実性は低いが詰めるべき穴 部門より

iida 曰く、 "OpenSSLに再びタイミング・アタックの脆弱性が指摘され、さっそくmod_sslが対応した模様。 OpenSSLのリリースも待たれるところだ。今のところ、Apache-SSLのページには目立った動きはない。
前は対称鍵への攻撃だったが、今度はRSA、つまり非対称鍵への攻撃。どうして可能なのか私にはよく理解できてないので、識者の方からコメントをいただきたい。"

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • 指摘者の論文 (スコア:2, 参考になる)

    by jbeef (1278) on 2003年03月21日 17時41分 (#283735) 日記
    この問題点を指摘した論文はこちらです。 OpenSSLには元々、RSA blinding(秘密鍵に対するタイミング攻撃から防衛する対策機能)が組み込まれているが、デフォルトでオフになっていたとのこと。

    タイミング攻撃対策が、ICカードなどタイミングが一定しやすいオフライン環境での暗号処理では必須と認識されてきたのに対し、この論文は、SSLのようなタイミングが一定しにくいと考えられてきた環境においても、十分に攻撃され得ることを実験で示したもののようです。

    この実験は、Apache + mod_SSLで構築したWebサーバにアクセスすることで秘密鍵を推定しようとするもので、以下の環境で試したとのことです。

    1. Ethernetスイッチでつないだ2台のコンピュータで、一方からもう一方へアクセスで
    2. 同じコンピュータ上で(別プロセスで)動いているApacheへのアクセスで
    3. バーチャルマシン上で動いているApacheへのアクセスで
    ネットワーク的に遠くにあるコンピュータへのタイミング攻撃が成功する可能性は小さいと考えられますが、論文では、上の2の実験が成功したことから、同じコンピュータ上で複数のドメイン用のサーバを提供するホスティングサービスにおいて、ある契約者が別の契約者の秘密鍵を盗むことができるという、現実的危険性を指摘しています。
  • OpenSSL のセキュリティ修正では、 OpenSSL Security Advisory [19 March 2003]: Klima-Pokorny-Rosa attack on RSA in SSL/TLS [openssl.org] というのも出ています。本ストーリーの timing 攻撃とは別の弱点です。

    FreeBSD の ports/security/oepnssl [freebsd.org] では、 0.9.7a_1 で timing 攻撃のほうだけ修正されています。 FreeBSD の core のほうはまだどちらも入っていません。 4.8-RELEASE [freebsd.org] に向けて準備している段階なので、修正が入るのが遅れるのでしょうか。

    OpenBSD [openbsd.org] 3.2, 3.1 では両方の修正が入っています。素早い。
    --
    鵜呑みにしてみる?
    • by tix (7637) on 2003年03月21日 18時28分 (#283757) ホームページ
      FreeBSD の core のほうはまだどちらも入っていません。
      うわ。大変な勘違い。 FreeBSD の core のほう [freebsd.org]にももう二つとも入っていました。

      RELENG_4 にも入っているので、少なくとも来る 4.8-RELEASE では修正されているはずです。
      --
      鵜呑みにしてみる?
      親コメント
      • 「参考になる」と言われてしまったので、気をよくしてフォローしておきます。

        -CURRENT と RELENG_4 に続き、 RELENG_4_7, RELENG_4_6, RELENG_5_0 が更新され、 FreeBSD-SA-03:06.openssl [freebsd.org] も出ています。今回は古いリリースブランチは更新されていませんね。

        それと、 port のほう [freebsd.org]にも Klima-Pokorny-Rosa 攻撃の修正も入りました。まだ RELEASE_4_8_0 タグは移動していません(移動するつもりかどうかぼくは知りません)。
        --
        鵜呑みにしてみる?
        親コメント
    • by Anonymous Coward
      Klima-Pokorny-Rosa attack とはどんなものなのでしょうか。ご存知でしたら教えてください。
      • by jbeef (1278) on 2003年03月22日 22時00分 (#284298) 日記
        論文はこれですね。 私はまだ読んでないです。
        親コメント
      • 全然わかっていないので、どなたかわかっている人に解説していただきたいですが、とりあえず Advisory [openssl.org] には、
        • SSL 3.0 や TLS 1.0 で RSA 暗号を使っているときに、攻撃者は何百万もの接続を張ることで秘密鍵に関する情報(秘密鍵そのものではない)を得ることができる。
        • この情報を使うことによって、攻撃者が任意に選んだ文章1個に対して秘密鍵を使った操作ができる(1個の文章に署名したり、1個の暗号文を解読したりできるという意味かと思います)。
        とあります。
        --
        鵜呑みにしてみる?
        親コメント
typodupeerror

私は悩みをリストアップし始めたが、そのあまりの長さにいやけがさし、何も考えないことにした。-- Robert C. Pike

読み込み中...