Soru:
Diffie-Hellman anahtar değişiminin mevcut güvenlik durumu nedir?
Mok-Kong Shen
2016-01-31 23:50:25 UTC
view on stackexchange narkive permalink

Zayıfdh.org adlı bir web sitesi var, adı tek başına IMHO uzmanı olmayan kişilerde DH kullanımında bir belirsizlik hissine neden olabilir. Bilgili bir kişi, DH'nin mevcut güvenlik durumu hakkında nazikçe bir şeyler söyleyebilir mi? Örneğin, bugün DH uygulamalarında birinin farkında olması gereken başlıca önlemler nelerdir?

Özellikle ilgileniyorum SSL'de kullanım için gereken minimum anahtar boyutundadır, ancak ek bilgileri takdir edecektir.

Soru çok geniştir.DH için bir bütün olarak endişelenmenize gerek yok.Daha odaklı bir yanıt istiyorsanız, kullanım durumunuz hakkında belirli bir soru sorun.
@NeilSmithline: Sanırım en önemli konu, şu anda gerekli görülen minimum anahtar boyutu.
Hangi bağlamda?SSL?Diğer?
@NeilSmithline: SSL.Güzel, başka bağlamlardan da bahsetmeyi umursuyorsan.
Uzak gelecekte bir noktada güvensiz olabilir *, [Post-kuantum şifreleme] 'yi okuyun (https://en.wikipedia.org/wiki/Post-quantum_cryptography#Supersingular_elliptic_curve_isogeny_cryptography)
Iki yanıtlar:
Thomas Pornin
2016-02-01 00:31:42 UTC
view on stackexchange narkive permalink

zayıfdh.org Web sitesi Logjam saldırısı hakkındadır. Web sitesi adının dikkatsizlere önerebileceğinin aksine, bu DH'nin zayıf olmasıyla ilgili değildir; daha çok DH kullanırken işleri zayıf bir şekilde yapmakla ilgilidir.

Diffie-Hellman belirli bir asal p modulo tamsayıların çarpımsal bir alt grubunda çalışır. Bazı DH yapmak için, şu DH parametrelerini kullanırsınız:

  • p : "modül" adı verilen büyük bir asal
  • q : p -1'in bölen, "alt grup sırası" olarak adlandırılan
  • g : q sırasının p tamsayı modülü (bu, g k > 0 tamsayısının > k = 1 mod p k = q )

DH'nin güvenli olması için aşağıdakilere ihtiyacınız vardır:


Bazı (birçok) SSL / TLS uygulamasının, DH'yi zayıf parametrelerle, özellikle 512 bitlik bir modülle yapmayı memnuniyetle kabul etmeleri nedeniyle yanlış bir şekilde yaptıklarından bahsetmişken. ServerKeyExchange mesajı sunucunun istemciye p ve g DH parametrelerini göndermesine izin verdiğinden, protokolün kendisi DH'yi işlemede yetersizdir. ama q değil, müşteriyi biraz karanlıkta bırakır. Bu nedenle, istemci ya "güvenli oynamalı" ve anahtarını tam 1 .. p -1 aralığında oluşturmalı veya daha kısa bir üs (örneğin, 256 bit, 2048 değil) kullanmaya çalışmalıdır. daha düşük hesaplama maliyeti, ancak q alt grup siparişinin asal olmaması durumunda muhtemelen zayıflık riski altındadır. Daha iyi bir tasarım, sunucunun q değerini ve q ’nun en büyük böleninin boyutunu göndermesine izin verirdi. Bu bağlamda, SSL / TLS'nin ECDHE şifre paketleri (DH eliptik eğrilere çevrilmiştir) daha iyi bir tasarıma sahiptir.

SSL / TLS'nizi yapılandırıyorsanız pratik bir cevap için sunucu: en az 2048 bitlik bir modül ve g sırasının asal q olacağı şekilde bir g oluşturucu kullanmalısınız en az 256 bit; alternatif olarak, "güvenli üssü" olan bir p modülü kullanabilirsiniz ( g sıralaması bu durumda ya çok büyük bir asal olacaktır ya da çok büyük bir asalın iki katı olacaktır, ki neredeyse aynı derecede iyi). Bazı insanlar mevcut değerleri yeniden kullanmak yerine DH parametrelerini "kendileri" (*) oluşturduklarında kendilerini daha güvende hissederler; geceleri uyumana izin vermek için gereken buysa, o zaman yap.

(*) İnsanlar DH parametrelerini asla kendileri oluşturmaz; bir bilgisayar kullanırlar. Ama yine de burada psikolojiden bahsediyoruz.

@xdhmoore: * gerçek * programcılar [düğümleri bir mıknatısla elle düzenleyin] (http://ars.userfriendly.org/cartoons/?id=20091201).Ayrıca http://www.xkcd.com/378/ tarafından referans alınmıştır.
Önerilen minimum anahtar boyutuna ilişkin bazı temel sorular (diğer programlar için de ilgi çekici olmalıdır): (1) Hangi anahtar boyutlarının uygun olduğunu kim belirler?Bu sorundan sorumlu ISO gibi uluslararası kuruluşlar var mı?(2) Bu tür kararlar için kullanılan kriterler hangileridir, özellikle güçlü düşmanların kapasitelerinin güvenilir bir şekilde tahmin edilemediğine ve analizde yeni atılımların ve bilinmeyen 0 günlerin olasılıklarının bulunduğuna dikkat edin.(3) Minimum anahtar boyutunun korumayı amaçladığı "minimum değer" nedir (ör. Bir buzdolabı veya 100 Airbus için bir işlem için)?
@Mok-KongShen: Tartışma ve tüm sorularınız için öneriler için http://www.keylength.com/ adresine bakın.
Esas noktam şu: Uzmanlar ve devlet kurumlarının tavsiyeleri var.Ancak Snowden ve diğerlerinin ifşalarını takip eden çağda bunlara ne kadar güvenmek gerekir?Ayrıca IMHO, eski kullanıcılar için tatmin edici değildir: Daha önce önerilen bir anahtar boyutunun bazı keşfedilen nedenlerden dolayı yetersiz olduğu bulundu ve şu andan itibaren birinin daha büyük bir anahtar boyutu kullanması gerektiği ve her şeyin yoluna gireceği söylendi.Ancak bu, eski anahtar boyutunun moda olduğu her zaman kullanıcıların iletişiminin güvensiz olduğu gerçeğinin sağlam bir kanıtı değil mi?
Silverfox
2016-02-01 00:27:20 UTC
view on stackexchange narkive permalink

Her şeyden önce paniğe kapılmayın, Diffie-Hellman'ın algoritması doğru kullanılırsa tamamen iyidir (doğru parametrelerle).

Bazı ön bilgileri açıklayayım:

  1. SSL / TLS Protokolü Nedir?

Kanalda gönderilen verilerin gizlice dinlenmesini ve değiştirilmesini önleyen, HTTPS'de kullanılan temel protokoldür. İstemci ve sunucu arasında anahtar değişimi yapmak için diffie-hellman protokolünü kullanır.

  1. Şifre paketleri nedir?

SSL / TLS protokolü genişletilebilir olması, verilerin şifrelenmesi ve imzalanması için çeşitli algoritmalar kullanma yeteneğine sahiptir, bu değiştirilebilir paketler şifre paketleri olarak adlandırılır, anahtar değişimi için RSA, toplu veri şifreleme için RC4 ve MD5 kullanan şifreleme paketiniz olarak TLS_RSA_WITH_RC4_128_MD5'e sahip olabilirsiniz. imza.

LogJam nedir?

Şimdi EXPORT-GRADE olarak adlandırılan bu şifre paketlerinden bazıları var (ör. TLS_RSA_EXPORT_WITH_RC4_40_MD5), ABD nedeniyle kasıtlı olarak zayıflar kriptografik algoritmalara ilişkin ihracat düzenlemeleri. Bu şifreleme takımları kısa anahtar uzunluğuna sahiptir ve kolayca kırılabilir, eğer birisi bunları sunucularında devre dışı bırakmazsa ve istemci bunları kullanırsa, paylaşılan anahtarlar sızdırılabilir ve şifreleme bir saldırgan tarafından kırılabilir. RSA'ya FREAK adında ve Diffie-Hellman'da LogJam adında bir saldırı oldu.

İstemci EXPORT-GRADE şifre paketlerini kullanmaya zorlanabilirse ve sunucu bunları desteklerse saldırgan kısa anahtar uzunluğu kullanımı nedeniyle diffie-hellman algoritmasını kırarak bir MITM saldırısı yapın. LogJam bununla ilgili.

Bazı web sunucularının, 1024 uzunluğunda varsayılan diffie-hellman parametrelerini kullandığı başka bir güvenlik açığı daha vardı ve bu da kırıldı.

Not: Her şey parametrelerle ilgili algoritmalarda kullanıldığında, Diffie-Hellman algoritmasının kendisinde yanlış bir şey yoktur.

Şimdi ne yapmalı?

Modern tarayıcılar kullanıyorsanız ve onları güncel tutarsanız, şimdiye kadar bu saldırının gerçekleşmesini zaten engellemişlerdir.

Bir web sunucusu çalıştırıyorsanız, SSL'nizi yapılandırmak için en iyi uygulamaları kullandığınızdan emin olun / TLS'nin etkin olduğu sürümler ve temeldeki şifre paketleri.

Minimum anahtar boyutuna gelince, 1024 bit normal saldırganların erişemeyeceği yerdedir, ancak ulus devlet değil. 2048 bit güvenlidir. Ayrıca, eliptik eğri üzerinde diffie-hellman olan ve temelde size daha kısa anahtar uzunluğu ile aynı düzeyde güvenlik sağlayan ECDHE'yi de kullanabilirsiniz.



Bu Soru-Cevap, otomatik olarak İngilizce dilinden çevrilmiştir.Orijinal içerik, dağıtıldığı cc by-sa 3.0 lisansı için teşekkür ettiğimiz stackexchange'ta mevcuttur.
Loading...