mod_sslがOpenSSLのタイミング・アタック脆弱性に対応

mod_sslがOpenSSLのタイミング・アタック脆弱性に対応 8

ストーリー by Oliver 2003年03月21日 13時28分
現実性は低いが詰めるべき穴部門より

iida 曰く、 "OpenSSLに再びタイミング・アタックの脆弱性が指摘され、さっそくmod_sslが対応した模様。 OpenSSLのリリースも待たれるところだ。今のところ、Apache-SSLのページには目立った動きはない。
前は対称鍵への攻撃だったが、今度はRSA、つまり非対称鍵への攻撃。どうして可能なのか私にはよく理解できてないので、識者の方からコメントをいただきたい。"

この議論は賞味期限が切れたので、アーカイブ化されています。新たにコメントを付けることはできません。

すべてのコメント取得

検索8コメント Log In/Create an Account

指摘者の論文 (スコア:2, 参考になる)

by jbeef (1278) on 2003年03月21日 17時41分 (#283735) 日記
この問題点を指摘した論文はこちらです。
- D. Boneh and D. Brumley, Remote timing attacks are practical [stanford.edu], Submitted to Usenix Security
OpenSSLには元々、RSA blinding（秘密鍵に対するタイミング攻撃から防衛する対策機能）が組み込まれているが、デフォルトでオフになっていたとのこと。
タイミング攻撃対策が、ICカードなどタイミングが一定しやすいオフライン環境での暗号処理では必須と認識されてきたのに対し、この論文は、SSLのようなタイミングが一定しにくいと考えられてきた環境においても、十分に攻撃され得ることを実験で示したもののようです。
この実験は、Apache + mod_SSLで構築したWebサーバにアクセスすることで秘密鍵を推定しようとするもので、以下の環境で試したとのことです。
1. Ethernetスイッチでつないだ2台のコンピュータで、一方からもう一方へアクセスで
2. 同じコンピュータ上で（別プロセスで）動いているApacheへのアクセスで
3. バーチャルマシン上で動いているApacheへのアクセスで
ネットワーク的に遠くにあるコンピュータへのタイミング攻撃が成功する可能性は小さいと考えられますが、論文では、上の2の実験が成功したことから、同じコンピュータ上で複数のドメイン用のサーバを提供するホスティングサービスにおいて、ある契約者が別の契約者の秘密鍵を盗むことができるという、現実的危険性を指摘しています。
- Re:指摘者の論文 (スコア:1)
  
  by jbeef (1278) on 2003年03月21日 17時50分 (#283738) 日記
  
  ちなみに、同論文によると、NetscapeやMozillaがSSLのために使っている「Network Security Services (NSS)」では、blindingが行われているとのこと。
  
  親コメント
OpenSSL の修正もう一つ (スコア:1)

by tix (7637) on 2003年03月21日 18時20分 (#283754) ホームページ

OpenSSL のセキュリティ修正では、 OpenSSL Security Advisory [19 March 2003]: Klima-Pokorny-Rosa attack on RSA in SSL/TLS [openssl.org] というのも出ています。本ストーリーの timing 攻撃とは別の弱点です。

FreeBSD の ports/security/oepnssl [freebsd.org] では、 0.9.7a_1 で timing 攻撃のほうだけ修正されています。 FreeBSD の core のほうはまだどちらも入っていません。 4.8-RELEASE [freebsd.org] に向けて準備している段階なので、修正が入るのが遅れるのでしょうか。

OpenBSD [openbsd.org] 3.2, 3.1 では両方の修正が入っています。素早い。

--
鵜呑みにしてみる？
- Re:OpenSSL の修正もう一つ (スコア:2, 参考になる)
  
  by tix (7637) on 2003年03月21日 18時28分 (#283757) ホームページ
  
  FreeBSD の core のほうはまだどちらも入っていません。
  うわ。大変な勘違い。 FreeBSD の core のほう [freebsd.org]にももう二つとも入っていました。
  
  RELENG_4 にも入っているので、少なくとも来る 4.8-RELEASE では修正されているはずです。
  
  --
  鵜呑みにしてみる？
  
  親コメント
  - Re:OpenSSL の修正もう一つ (スコア:1)
    
    by tix (7637) on 2003年03月23日 18時55分 (#284694) ホームページ
    
    「参考になる」と言われてしまったので、気をよくしてフォローしておきます。
    
    -CURRENT と RELENG_4 に続き、 RELENG_4_7, RELENG_4_6, RELENG_5_0 が更新され、 FreeBSD-SA-03:06.openssl [freebsd.org] も出ています。今回は古いリリースブランチは更新されていませんね。
    
    それと、 port のほう [freebsd.org]にも Klima-Pokorny-Rosa 攻撃の修正も入りました。まだ RELEASE_4_8_0 タグは移動していません（移動するつもりかどうかぼくは知りません）。
    
    --
    鵜呑みにしてみる？
    
    親コメント
- Klima-Pokorny-Rosa attack (スコア:0)
  
  by Anonymous Coward
  
  Klima-Pokorny-Rosa attack とはどんなものなのでしょうか。ご存知でしたら教えてください。
  - Re:Klima-Pokorny-Rosa attack (スコア:1)
    
    by tix (7637) on 2003年03月22日 21時49分 (#284289) ホームページ
    全然わかっていないので、どなたかわかっている人に解説していただきたいですが、とりあえず Advisory [openssl.org] には、
    
    SSL 3.0 や TLS 1.0 で RSA 暗号を使っているときに、攻撃者は何百万もの接続を張ることで秘密鍵に関する情報（秘密鍵そのものではない）を得ることができる。
    
    この情報を使うことによって、攻撃者が任意に選んだ文章1個に対して秘密鍵を使った操作ができる（1個の文章に署名したり、1個の暗号文を解読したりできるという意味かと思います）。
    
    とあります。
    
    --
    鵜呑みにしてみる？
    親コメント
  - Re:Klima-Pokorny-Rosa attack (スコア:2, 参考になる)
    
    by jbeef (1278) on 2003年03月22日 22時00分 (#284298) 日記
    論文はこれですね。
    
    Vlastimil Klima, Ondrej Pokorny and Tomas Rosa, Attacking RSA-based Sessions in SSL/TLS [iacr.org], Cryptology ePrint Archive, Report 2003/052, Mar 2003.
    私はまだ読んでないです。
    親コメント

より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。

mod_sslがOpenSSLのタイミング・アタック脆弱性に対応 8

mod_sslがOpenSSLのタイミング・アタック脆弱性に対応 More ログイン

指摘者の論文 (スコア:2, 参考になる)

Re:指摘者の論文 (スコア:1)

OpenSSL の修正もう一つ (スコア:1)

Re:OpenSSL の修正もう一つ (スコア:2, 参考になる)

Re:OpenSSL の修正もう一つ (スコア:1)

Klima-Pokorny-Rosa attack (スコア:0)

Re:Klima-Pokorny-Rosa attack (スコア:1)

Re:Klima-Pokorny-Rosa attack (スコア:2, 参考になる)

スラッシュドット・ジャパン