摘要:然而,最近被泄密的文件表明,美國(guó)國(guó)家安全局記錄了龐大的互聯(lián)網(wǎng)流量并且保留其中的加密信息供以后解密分析���。的加密套件列表和在的調(diào)查中實(shí)際協(xié)商的加密套件。如果美國(guó)國(guó)家安全局獲得了這些網(wǎng)站的私鑰,除了谷歌以外所有的站點(diǎn)歷史通信都將被解密�����。
成千上萬(wàn)的網(wǎng)站和個(gè)人依靠SSL來(lái)保護(hù)敏感信息的傳輸�����,比如密碼��、信用卡信息和那些期望通過(guò)加密來(lái)保障隱私的個(gè)人信息�����。然而�,最近被泄密的文件表明,美國(guó)國(guó)家安全局NSA記錄了龐大的互聯(lián)網(wǎng)流量并且保留其中的加密信息供以后解密分析����。想監(jiān)控互聯(lián)網(wǎng)加密流量的政府遠(yuǎn)不止美國(guó)一個(gè),沙特阿拉伯曾就SSL流量解密尋求過(guò)幫助���,中國(guó)在今年一月份被指控對(duì)GitHub進(jìn)行基于SSL的中間人攻擊���,伊朗也被報(bào)道進(jìn)行深度包檢測(cè),但這些僅僅是冰山一角���。
政府會(huì)考慮花大代價(jià)來(lái)記錄和存儲(chǔ)大量的加密流量,是因?yàn)槿绻糜诹髁考用艿腟SL私鑰將來(lái)可以獲得—可能是通過(guò)法律途徑,社會(huì)工程學(xué),成功攻破了網(wǎng)站,亦或通過(guò)加密分析�,那么所有這些網(wǎng)站的歷史流量會(huì)被瞬間解密���。跟打開(kāi)潘多拉魔盒一樣,作為一個(gè)點(diǎn)擊率高的站點(diǎn),使用單一的密鑰就可以解密過(guò)去數(shù)以百萬(wàn)人所加密過(guò)的流量���。
有一個(gè)抵御的方法,那就是著名的完美轉(zhuǎn)發(fā)密鑰(PFS)��。PFS采用即使主密鑰被泄露每個(gè)臨時(shí)會(huì)話密鑰也不會(huì)被泄露的方式連接SSL站點(diǎn)����,所以當(dāng)使用PFS的時(shí)候,一個(gè)SSL站點(diǎn)私鑰的泄漏不一定會(huì)暴露網(wǎng)站過(guò)去通信內(nèi)容��。PFS的安全在于雙方會(huì)話結(jié)束后丟棄共享密鑰(或經(jīng)過(guò)一段適當(dāng)時(shí)期后恢復(fù)會(huì)話)���。
竊聽(tīng)者想解密使用PFS的通信內(nèi)容會(huì)面臨一個(gè)很艱巨的任務(wù):每一個(gè)初始會(huì)話需要多帶帶攻擊����。僅僅知道主密鑰而不知道臨時(shí)會(huì)話密鑰對(duì)數(shù)據(jù)解密沒(méi)有任何幫助�。相反��,當(dāng)SSL連接沒(méi)有使用PFS的時(shí)候�,用于加密后續(xù)會(huì)話通信的密鑰由SSL站點(diǎn)生成,而發(fā)送數(shù)據(jù)采用長(zhǎng)期的公-私密鑰對(duì)。如果這個(gè)主密鑰被泄露����,所有之前的加密會(huì)話很容易被解密。
PFS發(fā)明于1992年,比SSL協(xié)議早兩年誕生,一個(gè)理想的結(jié)果是希望SSL一開(kāi)始就能使用PFS���。然而,近20年后,大多數(shù)的SSL站點(diǎn)還沒(méi)有使用PFS����。
PFS的使用依賴于瀏覽器和web服務(wù)器成功協(xié)商一個(gè)共同支持的PFS加密套件�����。如若可能���,當(dāng)PFS協(xié)商有利于瀏覽器用戶群體隱私時(shí)希望瀏覽器能提供所有它支持的PFS加密套件列表��,另外存在的一個(gè)比較嚴(yán)重的PFS性能缺陷是需要在服務(wù)器端進(jìn)行大范圍的查找工作�����。另一方面,只有少數(shù)瀏覽器被廣泛使用,如果政府為了更容易解密那些加密通信流量�,它們會(huì)發(fā)揮其能限制PFS的使用�����,那么將會(huì)從限制web瀏覽器流行的數(shù)量開(kāi)始�����。
瀏覽器對(duì)PFS的支持現(xiàn)狀
Netcraft公司選了5個(gè)主流瀏覽器(IE、谷歌����、火狐、Safari和Opera)��,用?Netcraft公司六月份“SSL調(diào)查”所獲得的240萬(wàn)個(gè)SSL站點(diǎn)來(lái)測(cè)試這五個(gè)瀏覽器對(duì)PFS的支持情況���。結(jié)果顯示它們對(duì)PFS的支持差異顯著:IE自帶PFS的SSL連接操作只有很小一部分,然而,谷歌����、Opera和火狐接近三分之一的SSL連接被PFS保護(hù)���,Safari僅僅比IE好一點(diǎn)��。具體結(jié)果如圖所示:
圖中加密套件來(lái)自每個(gè)瀏覽器與240萬(wàn)個(gè)SSL站點(diǎn)連接時(shí)采用的�����,Opera的數(shù)據(jù)不包含它的TLS1.2加密套件。
IE確實(shí)比較薄弱因?yàn)樗恢С秩魏瓮瑫r(shí)使用RSA公鑰和非橢圓曲線DH密鑰交換的加密套件�,而這兩種是PFS加密套件里最受歡迎的��。IE支持比最常規(guī)使用的PFS加密套件優(yōu)先級(jí)低的非PFS加密套件����。說(shuō)來(lái)也奇怪���,IE居然支持采用罕見(jiàn)的DSS認(rèn)證方法的DHE-DSS-AES256-SHA加密套件而不是很流行的DHE-RSA-AES256-SHA加密套件����。
| Browser?priority |
Cipher?Suite |
Real-world?usage?in?SSL?Survey |
| 1 |
AES128-SHA |
63.52% |
| 2 |
AES256-SHA |
2.21% |
| 3 |
RC4-SHA |
17.12% |
| 4 |
DES-CBC3-SHA |
0.41% |
| 5 |
ECDHE-RSA-AES128-SHA |
0.08% |
| 6 |
ECDHE-RSA-AES256-SHA |
0.21% |
| 7 |
ECDHE-ECDSA-AES128-SHA |
0.00% |
| 8 |
ECDHE-ECDSA-AES256-SHA |
0.00% |
| 9 |
DHE-DSS-AES128-SHA |
0.00% |
| 10 |
DHE-DSS-AES256-SHA |
0.00% |
| 11 |
EDH-DSS-DES-CBC3-SHA |
0.00% |
| 12 |
RC4-MD5 |
16.46% |
IE10的加密套件列表和在Netcraft的“SSL調(diào)查”中實(shí)際協(xié)商的加密套件��。其中屬PFS的加密套件在表中用加粗字體顯示�。
Safari瀏覽器支持較多的PFS加密套件,但是非橢圓曲線加密套件只是備用�����。當(dāng)幾個(gè)非PFS加密套件有一個(gè)較高的權(quán)限時(shí)�,web服務(wù)器為了顧及到瀏覽器的性能最終將選擇一個(gè)非PFS加密套件,即使web服務(wù)器自己支持某些(非橢圓曲線)PFS加密套件���。
谷歌����、火狐和Opera這三種瀏覽器支持PFS的效果比較好,在任意給定的優(yōu)先級(jí)前更傾向于選擇PFS加密套件而不是非PFS加密����,比如,Opera瀏覽器的性能列表抬頭標(biāo)明:DHE-RSA-AES256-SHA,?DHE-DSS-AES256-SHA,?AES256-SHA,?DHE-RSA-AES128-SHA,?DHE-DSS-AES128-SHA,?AES128-SHA�。Netcraft公司的測(cè)試僅僅包含了Opera瀏覽器的加密套件列表里現(xiàn)存的TLS1.2的加密套件,因此Opera瀏覽器實(shí)際使用PFS的SSL站點(diǎn)多于圖表中顯示的結(jié)果�����。
這些瀏覽器都沒(méi)有明顯的改變它們的用戶界面�,只是用類(lèi)似EV證書(shū)的綠色地址欄表示PFS的使用。谷歌瀏覽器和Opera瀏覽器用彈出框或?qū)υ捒蝻@示使用的加密套件�,使用用戶能理解的自然語(yǔ)言顯示,比如“[..]ECDHE_RSA作為密鑰交換機(jī)制”����。
Web服務(wù)器對(duì)PFS的支持情況
盡管瀏覽器盡力選擇PFS加密套件,但是具體使用哪種密鑰交換算法是由服務(wù)器決定的���,服務(wù)器可能不支持任何的PFS��,又或者選擇一個(gè)可以替代的加密套件(可能考慮到性能的問(wèn)題)��。使用Diffie-Hellman密鑰交換算法是以犧牲服務(wù)器的性能為代價(jià)的�����,因?yàn)樗枰粋€(gè)額外的算法來(lái)產(chǎn)生密鑰�����。
用幾個(gè)瀏覽器的密鑰組的性能進(jìn)行排序��,在Netcraft公司的“SSL調(diào)查”中至少有三分之二的SSL連接都沒(méi)有用PFS加密套件���。測(cè)試結(jié)果如圖所示:
服務(wù)器對(duì)SSL站點(diǎn)的支持情況:每個(gè)瀏覽器分別與“SSL調(diào)查”中的240萬(wàn)個(gè)SSL站點(diǎn)通信,按web服務(wù)器供應(yīng)商分類(lèi)�����。
Nginx是最初由俄羅斯人Igor?Sysoev寫(xiě)的一個(gè)開(kāi)源web服務(wù)器��,默認(rèn)使用強(qiáng)加密套件���,在nginx的SSL性能文檔里有一些說(shuō)明���。除了IE和Safari,超過(guò)70%的SSL站點(diǎn)用nginx?web服務(wù)器時(shí)選擇使用PFS加密套件與瀏覽器通信�����。
在使用Apache服務(wù)器的SSL站點(diǎn)中頻繁使用PFS,大約三分之二的SSL站點(diǎn)在使用火狐���、谷歌或者Opera訪問(wèn)時(shí)都使用PFS加密套件�����。相反����,微軟在服務(wù)器上對(duì)PFS的支持明顯欠缺�,微軟的IIS和IE都很少用PFS加密套件,在IE與IIS之間使用PFS加密套件的SSL站點(diǎn)僅有0.01%?����。
谷歌對(duì)一些自己的SSL站點(diǎn)采用PFS加密套件,但是好像托管在Google?App?Engine上的一些SSL站點(diǎn)并沒(méi)有使用PFS加密套件����。
SSL與棱鏡計(jì)劃有什么關(guān)系?
與棱鏡計(jì)劃相關(guān)公司使用PFS情況列表:PFS加密套件用綠色加粗字體顯示�����。
在棱鏡計(jì)劃受牽連的那些公司的SSL站點(diǎn)中,沒(méi)有任何一家的主流瀏覽器都使用PFS加密套件���。當(dāng)然,谷歌確實(shí)在大多數(shù)瀏覽器里使用了PFS加密套件���,但不包括Opera瀏覽器�����。據(jù)說(shuō)棱鏡計(jì)劃采用檢查SSL流量來(lái)運(yùn)作,一直被認(rèn)為十分不可能�,因?yàn)閳?bào)價(jià)需要花費(fèi)2000萬(wàn)美金����。如果美國(guó)國(guó)家安全局獲得了這些網(wǎng)站的私鑰,除了谷歌以外所有的SSL站點(diǎn)歷史通信都將被解密�。
其他一些著名的SSL站點(diǎn)
其他一些著名SSL站點(diǎn)使用加密套件情況:選中的SSL站點(diǎn)協(xié)商的加密套件,PFS加密套件在上用綠色加粗字體顯示��。
DuckDuckGo是一個(gè)搜索引擎�,自愛(ài)德華·斯諾登披露它提倡使用匿名的隱私策略以來(lái)一直備受媒體關(guān)注。如果被DuckDuckGo用來(lái)加密的私鑰被泄露—比如它們其中的一個(gè)服務(wù)器被攻破�����,那么之前所有的日志記錄將被披露出來(lái)。DuckDuckGo也許是美國(guó)國(guó)安局特別感興趣的一個(gè)目標(biāo)�,也許是因?yàn)樗挠脩袅亢土髁肯鄬?duì)于谷歌來(lái)講比較少的原因。
CloudFlare使用了和谷歌用的ECDHE?RC4或者AES類(lèi)似的加密套件���,但Opera瀏覽器例外�����。CloudFlare的SSL實(shí)現(xiàn)選項(xiàng)之一是從瀏覽器到CloudFlare服務(wù)器“靈活”的加密SSL流量���,但如果內(nèi)容不從緩存中返回,從CloudFlare連接到原來(lái)的網(wǎng)站將不使用SSL��。相比試圖解密加密的內(nèi)容���,去攔截CloudFlare和原來(lái)的網(wǎng)站之間的未加密的流量通信可能會(huì)更容易����。
Mega沒(méi)有用PFS加密套件����,可能因?yàn)槊绹?guó)政府突然抄查Megaupload服務(wù)器的歷史舉動(dòng)的原因。對(duì)服務(wù)器進(jìn)行物理訪問(wèn),不難想象任何服務(wù)器的私鑰可能被摘錄�����,即使它保存在非持久性存儲(chǔ)器上�����。
總結(jié)
陰謀論者對(duì)下面的情況可能不會(huì)感到驚訝:
微軟的IE�、IIS和他們自己的一些web站點(diǎn)不使用PFS加密套件�。蘋(píng)果在Safari瀏覽器對(duì)PFS的支持僅僅比微軟稍微好點(diǎn)。
俄羅斯是美國(guó)間諜的長(zhǎng)期目標(biāo)��,也是nginx服務(wù)器(該web服務(wù)器經(jīng)常使用PFS)的發(fā)源地����。
幾乎所有與棱鏡計(jì)劃相牽連的公司運(yùn)行的web站點(diǎn)都沒(méi)有使用PFS加密套件。
PFS沒(méi)有普及的原因讓陰謀論者津津樂(lè)道�,其中一個(gè)原因可能是顧慮到網(wǎng)站的性能(善意的):Mavrogiannopoulos報(bào)道稱用DHE-RSA加密套件比用普通的RSA算法連接SSL站點(diǎn)網(wǎng)站性能降低3倍。由于在瀏覽器中沒(méi)有清晰指出使用PFS加密套件����,普通用戶也不會(huì)注意到網(wǎng)站沒(méi)有使用PFS加密套件,而如果網(wǎng)站的性能提高���,普通用戶是能夠切身體會(huì)到的����,所以普通的SSL站點(diǎn)會(huì)被說(shuō)服放棄使用PFS提供的保護(hù)。
缺少了兩大主流瀏覽器和大多數(shù)web站點(diǎn)的支持�,互聯(lián)網(wǎng)中大多數(shù)用戶并未得到PFS的安全保護(hù)。沒(méi)有PFS的保護(hù)��,如果一個(gè)組織曾經(jīng)被脅迫交出RSA私鑰—合法的或以其他方式���,那么所有過(guò)去的SSL通信將處于危險(xiǎn)中���。然而PFS也不是萬(wàn)能的,它使得對(duì)過(guò)去SSL通信的大規(guī)模解密變得困難的同時(shí)�,也無(wú)法防止對(duì)單個(gè)會(huì)話的網(wǎng)絡(luò)攻擊。無(wú)論是否使用PFS��,?SSL仍然是web站點(diǎn)用來(lái)在互聯(lián)網(wǎng)中安全傳輸數(shù)據(jù)防止竊聽(tīng)者的一個(gè)重要工具(也許是最完善的)��。
應(yīng)該注意的是美國(guó)政府以及許多其他政府�����,頒發(fā)一些他們中意的SSL證書(shū)–盡管冒著擾亂程序規(guī)則和被其他有警覺(jué)性的用戶發(fā)現(xiàn)的危險(xiǎn)��,甚至谷歌的某些SSL站點(diǎn)。在主動(dòng)攻擊可以實(shí)現(xiàn)�����,并且不可能被檢測(cè)到的狀態(tài)下�����,更應(yīng)該注意被動(dòng)攻擊竊聽(tīng)者是否有利用非PFS的空檔�����。
關(guān)于PFS協(xié)商的一些細(xì)節(jié)
用于SSL站點(diǎn)鏈接的加密套件的選擇由瀏覽器和SSL站點(diǎn)之間共同協(xié)商�。瀏覽器和SSL站點(diǎn)都各自擁有自己所支持的SSL加密套件的優(yōu)先級(jí)列表����。在握手階段,瀏覽器發(fā)送一個(gè)ClientHello消息給SSL站點(diǎn)�����,其中包含一個(gè)在優(yōu)先級(jí)列表里提供的所有的加密套件列表��。?SSL站點(diǎn)首先選擇在收到的瀏覽器列表中自己也支持的瀏覽器列表中的第一個(gè)加密套件�����,或者忽略那個(gè)優(yōu)先級(jí)順序而選擇在瀏覽器支持的自己列表中的第一個(gè)加密套件。如圖3所示���,無(wú)論是加密套件A(如果優(yōu)先考慮瀏覽器的優(yōu)先順序)還是加密套件C(如果優(yōu)先考慮web站點(diǎn)的優(yōu)先順序)用于作為連接的加密套件是由SSL站點(diǎn)的設(shè)置而定����。
瀏覽器與服務(wù)器加密套件協(xié)商過(guò)程
選擇加密套件算法介紹
Diffie-Hellman密鑰交換(?DH)和它的變種經(jīng)常用來(lái)協(xié)商通信雙方共享的臨時(shí)會(huì)話密鑰�����,密鑰本身從未被發(fā)送���。每個(gè)會(huì)話密鑰在會(huì)話結(jié)束后被丟棄(?適當(dāng)時(shí)期之后重新協(xié)商)�。Diffie-Hellman的安全性依賴于離散對(duì)數(shù)問(wèn)題的困難程度�,即交換DH公鑰的同時(shí)使竊聽(tīng)者難以確定具體的共享密鑰。?SSL加密套件支持常規(guī)短暫的Diffie-Hellman密鑰交換(通常稱為EDH或DHE?)和短暫的橢圓曲線的Diffie-Hellman?(?ECDHE?)?���,它采用了跟EDH類(lèi)似的體系���,依賴于橢圓曲線離散對(duì)數(shù)問(wèn)題的難度。?ECDHE基于橢圓曲線的密鑰交換�,盡管速度更快���,但只有少數(shù)SSL站點(diǎn)支持。
原文 SSL: Intercepted today, decrypted tomorrow
翻譯 IDF實(shí)驗(yàn)室 李秀烈
文章版權(quán)歸作者所有���,未經(jīng)允許請(qǐng)勿轉(zhuǎn)載,若此文章存在違規(guī)行為�,您可以聯(lián)系管理員刪除����。
轉(zhuǎn)載請(qǐng)注明本文地址:http://systransis.cn/yun/11098.html
