HTTPS の脆弱性が再び明らかに、企業は SSL/TLS 暗号化アルゴリズムをアップグレードする必要がある

CBC および RC4 暗号化アルゴリズムが相次いで「衰退」しているため、SSL/TLS に依存している企業は細心の注意を払い、より安全な暗号化アルゴリズムを選択する必要があります。

[[68238]]

最近、複数のセキュリティ研究学術機関のメンバーで構成されたチームが、SSL のさらなる脆弱性を明らかにしました。

2013 年 2 月、Nadhem AlFardan 氏と Kenny Paterson 氏は、主に SSL/TLS で使用される CBC ブロック暗号化方式を攻撃する Luck13 と呼ばれる攻撃方法を発見しました。攻撃者は、TLS 接続をブロックしたり (たとえば、マルウェアを介して故意に接続を切断し、TLS がメッセージを自動的に再送信するようにしたり)、送信者が同じ暗号化されたコンテンツ (暗号文内の Cookie やパスワードなど) を繰り返し送信するようにしたり、TLS がエラー メッセージを送信するときの時間差を分析したりすることができます。 Luck13 攻撃はより短時間で暗号文を解読することができます。

ナデム氏とアルファルダン氏はその研究結果を発表した。 SSL/TLS では CBC モードのブロック暗号アルゴリズムを使用しないことをお勧めします。 RC4 などのストリーム暗号化アルゴリズムを使用できます。

しかし、それから 1 か月も経たない 2013 年 3 月、Nadhem AlFardan、Dan Bernstein、Kenny Paterson、Bertram Poettering、Jacob Schuldt は、RC4 暗号化を使用する SSL/TLS にもセキュリティ上の脆弱性があることを発表しました。

SSL/TLS の動作原理は、おおよそ次のようになります。まず、RSA などの公開鍵暗号化アルゴリズムを使用して、ネットワーク上で共通のセッション キーが交換されます。 次に、このセッション キーを使用して、対称暗号化アルゴリズムで暗号化します。 この利点は、公開鍵暗号化アルゴリズムの効率が低いため、対称暗号化キーなどの少量のデータを送信するために使用し、対称暗号化の高い効率を使用して大量のデータを暗号化できることです。 CBC モード ブロック暗号化と RC4 ストリーム暗号化はどちらも対称暗号化アルゴリズムです。

Nadhem らによるレポートによると、現在インターネット上の SSL/TLS トラフィックの約 50% が RC4 を使用して暗号化されています。 実際、RC4 暗号化の安全性の欠如はもはやニュースではありません。 実際、2001年には、イスラエルの暗号専門家であるイツィク・マンティン氏とアディ・シャミール氏が「RC4への実践的攻撃」という論文を発表しています。当時、ワイヤレスインターネットWi-Fiの初期の暗号化アルゴリズムであるWEPは、暗号化にRC4を使用していました。この論文はWEPパスワードを解読するための理論的根拠となり、WEPの解読が容易になり、Wi-Fi暗号化のWPAへの完全な移行が促進されました。(編集者注: 興味深いことに、アディ・シャミール氏は暗号化アルゴリズムRSAの「S」であり、RC4の「R」であるロン・リベスト氏はRSAの「R」でもあります)。

RC4 に対する攻撃は主に、RC4 の乱数生成の統計的不均一性の脆弱性に焦点を当てています。 WEP のクラッキングは、WEP データ パケットのラベル付けの抜け穴を利用して統計分析を実行し、それをクラッキングすることです。

NadhemAlFardan、Dan Bernstein、Kenny Paterson、Bertram Poettering、Jacob Schuldt による RC4 への攻撃方法は、ItsikMantin や Adi Shamir よりも一歩進んでいます。 彼らは、RC4 の最初の 256 バイトの暗号文の各ビットを取得して統計を作成しました。 暗号文の最初の 256 バイトは 224 回のセッションを通じて解読できます。 研究チームは、より良い結果を得るためにアルゴリズムのさらなる改善に取り組んでいます。

SSL/TLS に依存する企業にとって、SSL/TLS のセキュリティ問題を認識することが重要です。 企業は、SSL セキュリティ モジュールの暗号化アルゴリズムの実装を慎重に検討する必要があります。 この点に関して、研究チームは次のような包括的な勧告を出しました。

CBC モードのブロック暗号化と RC4 ストリーム暗号化の両方に脆弱性があり、すでに実際の攻撃方法が存在します。 企業にとっては、SSL/TLS 暗号化にはより安全な AES-GCM 方式を選択するのが最適です。

AES-GCM は新しいブロック暗号化の実装です。 暗号化と認証を同時に実現できます。 RC4 暗号化などの脆弱性を回避するだけでなく、Luck13 などの時間差解析攻撃も防止します。

ただし、RC4 方式が広く使用されているため、企業が SSL/TLS の RC4 方式を放棄する場合、サーバーが RC4 をサポートしていないためにユーザーが接続の問題を抱えるかどうかにも注意する必要があります。 もちろん、企業は、ユーザーへの不便さと RC4 の導入によって生じる可能性のある結果を比較検討する必要があります。

元の URL: http://www.ctocio.com/ccnews/11881.html