ช่องโหว่ SLOTH ทำให้การเชื่อมต่อเข้ารหัส TLS 1.2, IKE, SSH อ่อนแอกว่าที่ออกแบบไว้

by lew
11 January 2016 - 15:42

ทีมวิจัยจากสถาบันวิจัย INRIA ในฝรั่งเศสนำเสนอช่องโหว่ใหม่ในมาตรฐาน TLS 1.2 ที่รองรับกระบวนการเซ็นลายเซ็นรับรองข้อความแบบ RSA-MD5 จากเดิมที่ TLS 1.1 ลงไปจะบังคับให้ใช้แฮช MD5 ต่อกับ SHA1 เท่านั้น

มาตรฐาน TLS 1.2 เปิดให้เซิร์ฟเวอร์สามารถเซ็นด้วยแฮชใดๆ ก็ได้เพื่อเปิดช่องทางให้เซิร์ฟเวอร์สามารถเลือกกระบวนการแฮชที่แข็งแรงขึ้นเช่น SHA-256 หรือ SHA-512 แต่การออกแบบเช่นนี้ก็ทำให้เซิร์ฟเวอร์เปิดรองรับกระบวนการเซ็นด้วย MD5 ไปด้วย

เนื่องจาก MD5 นั้นอ่อนแออยู่แล้วและสามารถถูกโจมตีได้โดยง่าย ทีมงานวิจัยระบุว่าในบางกรณี เช่นการยืนยันตัวตนของไคลเอนต์ แฮกเกอร์สามารถปลอมตัวเป็นไคลเอนต์ด้วยการคำนวณค่าแฮชเพียง 2^39 ครั้งเท่านั้น นับเป็นการลดความปลอดภัยจนกระทั่งคนทั่วไปโจมตีได้ อย่างไรก็ดี กระบวนการเชื่อมต่อที่ไคลเอนต์ใช้ใบรับรองของตัวเองเพื่อยืนยันตัวตนนั้นไม่ได้รับความนิยมนัก จึงอาจจะไม่มีผลเป็นวงกว้างแต่อย่างใด

ช่องโหว่เช่นนี้ยังมีผลไปถึงกระบวนการเชื่อมต่อแบบอื่นๆ ที่เปิดให้ใช้กระบวนการเซ็นดิจิตอลด้วยแฮชที่อ่อนแอ เช่น IKEv1, IKEv2, SSH แต่แม้ว่าความแข็งแกร่งของการเชื่อมต่อจะลดลงแต่ก็ยังไม่พอสำหรับการโจมตีโดยคนทั่วไป และต้องมีการคำนวณล่วงหน้าขนานใหญ่

แม้ว่างานวิจัย SLOTH จะยังไม่เปิดทางให้มีการโจมตีเป็นวงกว้าง แต่ข้อเสนอของงานวิจัยนี้คือเซิร์ฟเวอร์ทุกตัวควรคอนฟิกเพื่อปิดการรองรับการเซ็นรับรองข้อมูลด้วย MD5 หรือ SHA1 ได้แล้วเพื่อความปลอดภัย โดยการสำรวจล่าสุดพบว่ามีเซิร์ฟเวอร์ TLS อยู่ 32% ของทั้งโลกที่ยังรองรับ MD5 อยู่

ที่มา - ArsTechnica, miTLS

Blognone Jobs Premium