TLS/SSL漏洞分析與檢測(cè)

張博

摘 要：TLS/SSL協(xié)議是目前廣泛使用的HTTPS的核心，既可以實(shí)現(xiàn)端到端通信的身份認(rèn)證、數(shù)據(jù)保密性和完整性保護(hù)，又被大量應(yīng)用到非Web應(yīng)用的其他協(xié)議中，如SMTP和SSH。正因?yàn)門(mén)LS/SSL如此重要，其安全性備受關(guān)注。本文分析了已知的TLS/SSL漏洞，并通過(guò)試驗(yàn)發(fā)現(xiàn)開(kāi)源工具testssl.sh能檢測(cè)這些漏洞，這有助于運(yùn)維人員快速發(fā)現(xiàn)漏洞并采取加固措施。

關(guān)鍵詞：TLS/SSL;漏洞分析;漏洞檢測(cè)

中圖分類(lèi)號(hào)：TP393.08文獻(xiàn)標(biāo)識(shí)碼：A文章編號(hào)：1003-5168（2020）26-0023-03

Abstract： The TLS/SSL protocol is the core of the widely used HTTPS， which can not only realize the identity authentication， data confidentiality and integrity protection of end-to-end communication， but also be widely used in other protocols of non-web applications， such as SMTP and SSH. Because TLS/SSL is so important， its security has attracted much attention. This paper analyzed the known TLS/SSL vulnerabilities， and through experiments found that the open source tool testssl.sh could detect these vulnerabilities， which helped operation and maintenance personnel to quickly find vulnerabilities and take reinforcement measures.

Keywords： TLS/SSL;wulnerability analysis;wulnerability detection

當(dāng)今時(shí)代，計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)飛速發(fā)展，互聯(lián)網(wǎng)已經(jīng)成為人們生活中不可分割的一部分，然而計(jì)算機(jī)網(wǎng)絡(luò)作為一種公開(kāi)的信息傳遞方式，個(gè)人隱私安全是每個(gè)人都很關(guān)注的重點(diǎn)，因此各種為保證安全傳輸數(shù)據(jù)的網(wǎng)絡(luò)傳輸協(xié)議[1-3]應(yīng)運(yùn)而生。本文將對(duì)傳輸層安全性協(xié)議（Transport Layer Security，TLS）進(jìn)行漏洞分析。

TLS協(xié)議及其前身安全套接層（Secure Sockets Layer，SSL）均為安全協(xié)議，目的是為通過(guò)互聯(lián)網(wǎng)相互通信的客戶(hù)端與服務(wù)器提供機(jī)密性、數(shù)據(jù)完整性及身份認(rèn)證等安全保障。Netscape公司在1994年推出首版網(wǎng)頁(yè)瀏覽器時(shí)，推出HTTPS協(xié)議，以SSL進(jìn)行加密，這是SSL的起源。后來(lái)經(jīng)過(guò)IETF將SSL進(jìn)行標(biāo)準(zhǔn)化。目前，它已成為互聯(lián)網(wǎng)上保密通信的行業(yè)標(biāo)準(zhǔn)。

TLS/SSL協(xié)議采用AES等對(duì)稱(chēng)加密算法、RSA等非對(duì)稱(chēng)算法、SHA-256等哈希算法以及其他密碼技術(shù)實(shí)現(xiàn)兩個(gè)應(yīng)用之間的安全可靠的交互[4-6]，并采用X.509數(shù)字證書(shū)實(shí)現(xiàn)鑒別，其目的是建立一個(gè)安全的通信通道，而且該通道可在服務(wù)器和客戶(hù)機(jī)兩端同時(shí)實(shí)現(xiàn)支持。

1 漏洞分析

下面通過(guò)分析8個(gè)重要的CVE漏洞來(lái)說(shuō)明TLS/SSL協(xié)議的脆弱性和面臨的風(fēng)險(xiǎn)，并介紹了BEAST攻擊、BREACH攻擊、CRIME攻擊、DROWN攻擊、FREAK攻擊、Logjam攻擊、POODEL攻擊等。

1.1 SWEET32（CVE-2016-2183）

64位分組大小的傳統(tǒng)分組密碼如DES或3DES在CBC模式下使用，易受到攻擊。當(dāng)使用CBC模式操作時(shí)，攻擊者可使用生日攻擊來(lái)識(shí)別64位分組密碼中存在的碰撞。當(dāng)碰撞發(fā)生時(shí)，這意味著輸入與輸出相同，使得可以執(zhí)行BEAST（Browser Exploit Against SSL/TLS）攻擊來(lái)滲透加密的數(shù)據(jù)。

1.2 FREAK（CVE-2015-0204）

FREAK（Factoring RSA Export Keys）攻擊者可以攔截受影響的客戶(hù)端與服務(wù)器之間的https鏈接，并強(qiáng)制其使用弱安全強(qiáng)度的出口RSA密鑰（美國(guó)曾限制出口高強(qiáng)度密碼，如密鑰長(zhǎng)度大于512位的RSA）。當(dāng)TLS/SSL客戶(hù)端使用較弱的密鑰交換方法時(shí)，攻擊者可以破解正在使用的密鑰，并使用破解的密鑰在通信期間解密竊取數(shù)據(jù)。

1.3 DROWN（CVE-2016-0800）

DROWN（Decrypting RSA using Obsolete and Weakened eNcryption）攻擊的普通形式需要一個(gè)支持SSLv2協(xié)議的服務(wù)器，攻擊者對(duì)該服務(wù)器發(fā)起RSA padding oracle攻擊將它當(dāng)作一個(gè)預(yù)言機(jī)，可以解密其他使用同一私鑰的RSA密文。該攻擊表明SSLv2服務(wù)器的存在不僅是不安全的，而且是有害的。

1.4 Logjam（CVE-2015-4000）

Logjam漏洞是針對(duì)TLS協(xié)議（1.2及更早版本），中間人攻擊者執(zhí)行降級(jí)攻擊，并使用Diffie-Hellman密鑰交換協(xié)議和受出口限制的密碼（DHE_EXPORT）。DHE的安全性以離散對(duì)數(shù)的困難性為基礎(chǔ)。但存在一種攻擊可以對(duì)常用素?cái)?shù)事前進(jìn)行大量預(yù)計(jì)算，從而縮短求離散對(duì)數(shù)的時(shí)間，比如針對(duì)512 bit的素?cái)?shù)，漏洞披露時(shí)求離散對(duì)數(shù)的時(shí)間可縮短到1 min。該攻擊還表明2 048 bit的DHE也是不安全的，應(yīng)當(dāng)升級(jí)到ECDH，即橢圓曲線上的DH密鑰交換協(xié)議。

1.5 BREACH（CVE-2013-3587）

BREACH代表通過(guò)自適應(yīng)壓縮超文本進(jìn)行瀏覽器檢測(cè)和滲透。與CRIME相似之處是利用HTTP壓縮中的漏洞，允許攻擊者識(shí)別頁(yè)面中是否存在文本。BREACH攻擊基本流程為：當(dāng)頁(yè)面上發(fā)生文本重復(fù)時(shí)，刪除重復(fù)的術(shù)語(yǔ)，有助于減小頁(yè)面的大小。這可以用于識(shí)別現(xiàn)有的頁(yè)面內(nèi)容，下面是Web應(yīng)用程序的示例，顯示當(dāng)前登錄的用戶(hù)在頁(yè)面中反映的用戶(hù)名：第一步，輸入您認(rèn)為不存在于搜索參數(shù)中的用戶(hù)名;第二步，注意返回頁(yè)面的大小;第三步，發(fā)送您認(rèn)為存在的用戶(hù)名的其他搜索請(qǐng)求;第四步，注意返回頁(yè)面的大小，如果用戶(hù)名與登錄用戶(hù)名匹配（確認(rèn)存在），頁(yè)面大小對(duì)比上次將會(huì)縮小。通過(guò)分析響應(yīng)的大小可以預(yù)測(cè)文本，實(shí)際上沒(méi)有流量被“解密”。為了使BREACH攻擊成功地滲透數(shù)據(jù)，必須有一種機(jī)制來(lái)反映渲染頁(yè)面中的用戶(hù)輸入，并且服務(wù)器必須支持HTTP壓縮。

1.6 POODEL SSLv3（CVE-2014-3566）

Google的安全小組在2014年10月14日發(fā)現(xiàn)了POODLE攻擊（Padding Oracle On Downgraded Legacy Encryption）。該漏洞利用了SSLv3處理填充字節(jié)的方式——密碼塊鏈接（CBC）。該缺陷允許中間人攻擊者在少于256個(gè)SSLv3連接的條件下解密密文的所選字節(jié)，攻擊者可利用此漏洞繞過(guò)身份驗(yàn)證機(jī)制并執(zhí)行未授權(quán)操作。

1.7 CCS注入漏洞（CVE-2014-0224）

某些版本的OpenSSL存在弱點(diǎn)，允許客戶(hù)端和服務(wù)器通過(guò)特制的握手包來(lái)強(qiáng)制使用弱密鑰進(jìn)行通信。允許中間人攻擊者解密和修改客戶(hù)端與服務(wù)器之間的流量。受影響的OpenSSL版本有OpenSSL before 0.9.8za，OpenSSL 1.0.0 before 1.0.0m和OpenSSL 1.0.1 before 1.0.1。

1.8 HeartBleed（CVE-2014-0160）

心臟出血是以O(shè)penSSL處理TLS和DTLS心跳擴(kuò)展數(shù)據(jù)包的方式發(fā)現(xiàn)了一個(gè)缺陷，允許攻擊者從加密的TLS/DTLS數(shù)據(jù)中公開(kāi)信息。惡意客戶(hù)端可以發(fā)送特制的TLS或DTLS Heartbeat數(shù)據(jù)包，以便從連接的客戶(hù)端或者服務(wù)器的每個(gè)請(qǐng)求中獲得內(nèi)存部分中的敏感信息，諸如私鑰（由服務(wù)商提供，用于加密數(shù)據(jù)）、實(shí)際用戶(hù)的姓名、用戶(hù)名和密碼，允許攻擊者竊聽(tīng)通信并竊取數(shù)據(jù)。

2 漏洞檢測(cè)

下文將使用testssl工具對(duì)以上攻擊方法進(jìn)行測(cè)試，其間測(cè)試了url：www.jianshu.com。類(lèi)似的SSL/TLS安全性檢測(cè)工具包括SSLyze.the Qualys SSL server test.ImmuniWeb SSL Security Test.CryptCheck.CypherCraft.testssl.sh以及keycdn.com scanner等。

2.1 SWEET32（CVE-2016-2183）

使用命令：./testssl.sh www.jianshu.com可查看到服務(wù)器是否存在SWEET32相關(guān)的漏洞問(wèn)題，結(jié)果表明，jianshu.com不存在此漏洞。

2.2 FREAK（CVE-2015-0204）

使用命令：./testssl.sh -E www.jianshu.com，確保服務(wù)器支持密碼類(lèi)型不包含出口限制級(jí)密碼，示例如圖1所示。

2.3 DROWN（CVE-2016-0800）

使用命令：./testssl.sh -D www.jianshu.com檢測(cè)是否存在DROWN漏洞。顯示結(jié)果提示，該網(wǎng)站并不是易受攻擊的。

2.4 Logjam（CVE-2015-4000）

使用命令：./testssl.sh -J www.jianshu.com檢測(cè)Logjam漏洞是否存在。結(jié)果表明，該網(wǎng)站沒(méi)有使用出口限制級(jí)密碼，也沒(méi)有使用常用素?cái)?shù)。

2.5 BREACH（CVE-2013-3587）

使用命令：./testssl.sh -B www.jianshu.com檢測(cè)服務(wù)器是否易受BREACH攻擊，結(jié)果如圖2所示。

2.6 POODEL SSLv3（CVE-2014-3566）

使用命令：./testssl.sh -O www.jianshu.com檢測(cè)POODEL相關(guān)的漏洞是否存在，結(jié)果顯示如圖3所示，這表明jianshu網(wǎng)站不存在POODLE漏洞，而且能抵御降級(jí)攻擊。

2.7 CCS注入漏洞（CVE-2014-0224）

使用命令：./testssl.sh -I www.jianshu.com檢測(cè)服務(wù)器是否存在CCS注入漏洞。結(jié)果顯示，jianshu網(wǎng)站不存在此漏洞。

2.8 HeartBleed（CVE-2014-0160）等其他漏洞

使用命令：./testssl.sh www.jianshu.com可以查看很多testssl.sh支持的漏洞檢測(cè)，如圖4所示。

3 結(jié)語(yǔ)

本文介紹了TLS/SSL的相關(guān)漏洞，并使用testssl.sh對(duì)TLS/SSL相關(guān)漏洞進(jìn)行了檢測(cè)。testssl.sh工具可以有效地檢測(cè)出網(wǎng)站的TLS/SSL安全網(wǎng)絡(luò)傳輸協(xié)議是否存在相關(guān)的漏洞，從而做出相應(yīng)的改進(jìn)或解決相應(yīng)的問(wèn)題，提高網(wǎng)站的安全性。

參考文獻(xiàn)：

[1]韋俊琳，段海新，萬(wàn)濤.HTTPS/TLS協(xié)議設(shè)計(jì)和實(shí)現(xiàn)中的安全缺陷綜述[J].信息安全學(xué)報(bào)，2018（2）：1-15.

[2]裴倩倩.基于OpenSSL的安全密鑰漏洞及其攻擊方法研究[D].北京：華北電力大學(xué)，2017.

[3]趙仁.基于SSL的中間人攻擊檢測(cè)與防范[D].天津：天津大學(xué)，2017.

[4]張生財(cái).OpenSSL Heartbleed漏洞分析與研究[J].信息安全與技術(shù)，2014（11）：42-43.

[5]強(qiáng)小輝，陳波，陳國(guó)凱.OpenSSL HeartBleed漏洞分析及檢測(cè)技術(shù)研究[J].計(jì)算機(jī)工程與應(yīng)用，2016（9）：88-95.

[6]左朝順.面向SSL Error-Handling漏洞的自動(dòng)發(fā)現(xiàn)方法研究[D].濟(jì)南：山東大學(xué)，2016.