安全套接字層(SSL)協(xié)議��,是對計(jì)算機(jī)之間整個(gè)會(huì)話進(jìn)行加密的協(xié)議����,它能提供Internet上通信的保密性。該協(xié)議答應(yīng)客戶∕服務(wù)器應(yīng)用程序在通信時(shí)���,能夠阻止竊聽、報(bào)文偽造等安全攻擊��。
下面����,我們將從通信量分析、主動(dòng)攻擊�����、重放攻擊�����、密碼組回滾攻擊以及中間人攻擊這五種常見的安全攻擊入手���,初步分析SSL的抵御攻擊能力��。
1.通信量分析
假如常規(guī)的攻擊失敗,密碼破譯專家會(huì)轉(zhuǎn)向使用更復(fù)雜的攻擊����。通信量分析是另外一種被動(dòng)攻擊�����,但它經(jīng)常是惡意攻擊�,因此值得一提。通信量分析的目標(biāo)在于,通過檢查包中未加密的域及屬性�,以獲得受保護(hù)會(huì)話的機(jī)密信息�����。例如,通過檢查未加密的源和目標(biāo)的ip地址(甚至TCP端口號(hào)),或者檢查網(wǎng)絡(luò)通信流�����,一個(gè)通信量分析專家可以確定通信各方的通信內(nèi)容����,使用的服務(wù)類型��,有時(shí)甚至還可以獲得有關(guān)商業(yè)或個(gè)兒關(guān)系的信息。實(shí)際上,用戶大都認(rèn)為通信量分析的威脅相對來說是無害的�����,因此SSL不會(huì)試圖阻止這種攻擊��。忽略通信量分析看來是一種可行的設(shè)計(jì)方案�。
然而在SSL體系結(jié)構(gòu)中����,通信量分析仍會(huì)造成一些巧妙的威脅。Bennet Yee已經(jīng)指出����,檢查密文的長度會(huì)暴露出有關(guān)SSL或被SSL加密的網(wǎng)站通信中用到的URL請求的信息【Yee96】�����。當(dāng)一個(gè)Web瀏覽器通過加密傳輸(如SSL)連接到一臺(tái)Web服務(wù)器時(shí)�����,包含有URL信息的GET請求會(huì)以加密方式進(jìn)行傳輸����。嚴(yán)格來說��,瀏覽器要下載哪一個(gè)頁面���,這種信息是保密的——顯然�����,具有URL方面的知識(shí),對于一個(gè)想下載整個(gè)網(wǎng)站的人來說,這已經(jīng)足夠了——而且��,通信量分析可以獲得Web服務(wù)器的身份信息���,請求的URL長度���,以及從Web服務(wù)器所返回的Html數(shù)據(jù)的長度����。這個(gè)漏洞往往使得竊聽者能夠發(fā)現(xiàn)用戶訪問了哪些Web頁面。
上述弱點(diǎn)之所以出現(xiàn)����,是因?yàn)槊芪拈L度暴露了明文的長度。SSL在塊加密模式中支持隨機(jī)填充���,而在流加密模式中卻不支持。我們相信�����,對于所有的加密模式�����,SSL將會(huì)在最小程度上支持任意長度填充的使用�,而且會(huì)仔細(xì)地考慮它在特定應(yīng)用程序中的需求���。
2.主動(dòng)攻擊
SSL能抵御主動(dòng)攻擊以安全地保護(hù)機(jī)密數(shù)據(jù)���,這一點(diǎn)非常重要��。當(dāng)然��,所使用的加密算法應(yīng)該在被選擇明文∕被選擇密文攻擊下是安全的,但這對于加密算法來說還不夠��。IETF的IPSEC工作組的最近研究表明,即使所使用的密碼強(qiáng)度足夠����,在記錄層上精明的主動(dòng)攻擊仍能打破系統(tǒng)的保密性����。SSL 3.0的記錄層能抵御這些強(qiáng)有力的攻擊:更進(jìn)一步�����,為何這些攻擊會(huì)被阻止,值得我們討論���。
IPSEC中的一個(gè)重要的主動(dòng)攻擊是Bellovin的剪貼攻擊?;叵肫饋?,要獲得保密性��,光對鏈接進(jìn)行加密是不夠的——接收端也必須防止敏感數(shù)據(jù)在無意中被泄露出來�。剪貼攻擊的攻擊方式就是謀求接收端的信任�����,使之對敏感數(shù)據(jù)進(jìn)行解密并將這些數(shù)據(jù)泄露給它們���。
SSL 3.0能夠阻止剪貼攻擊�����。阻止這種攻擊的一種局部性防御策略是為每一個(gè)不同的上下文使用獨(dú)立的會(huì)話密鑰,這樣便能在不同的連接之間���,以及連接的不同方向之間阻止剪貼操作。SSL已經(jīng)為每個(gè)連接方向使用了獨(dú)立的密鑰���。但是,這種機(jī)制無法阻止傳輸中一個(gè)方向上的剪貼操作�����。應(yīng)用最廣泛的防御策略是在所有加密包上使用強(qiáng)大的認(rèn)證機(jī)制����,以阻止敵方對密文數(shù)據(jù)的修改。SSL記錄層確實(shí)采用了這種防御策略����,因此剪貼操作被完全阻止住了。
另一種主動(dòng)攻擊是短塊攻擊,它主要針對IPSEC�。這種攻擊適用于最后的報(bào)文塊包含一個(gè)一字節(jié)長的明文并且報(bào)文塊剩余部分由隨機(jī)數(shù)填充的情況��。在SSL上并沒有明顯的短塊攻擊。SSL記錄層格式與以前的IPSEC格式相當(dāng)類似����,這種格式輕易遭到攻擊�,因此可以想象��,修改性攻擊會(huì)對SSL產(chǎn)生威脅����。但是�,無論如何,由標(biāo)準(zhǔn)SSL加密的Web服務(wù)器基本上不會(huì)受到短塊攻擊的威脅,因?yàn)檫@些服務(wù)器不會(huì)經(jīng)常對短塊進(jìn)行加密�����。(但要注重�����,由SSL加密的telnet客戶端必須得到非凡的保護(hù)�����,以防止短塊攻擊,因?yàn)槊恳淮伟存I在傳送時(shí)都是一字節(jié)長的數(shù)據(jù)包����。)
3.重放攻擊
光靠使用報(bào)文鑒別碼(MAC)不能防止對方重復(fù)發(fā)送過時(shí)的信息包���。SSL通過在生成MAC的數(shù)據(jù)中加入隱藏的序列號(hào)����,來防止重放攻擊��。這種機(jī)制也可以防止被耽擱的����,被重新排序的�,或者是被刪除數(shù)據(jù)的干擾。序列號(hào)的長度是64bit,因此打包不會(huì)有問題�。另外�,序列號(hào)由每個(gè)連接方向分別維護(hù)�����,而且在每一次新的密鑰交換時(shí)進(jìn)行更新����,所以不會(huì)有明顯的弱點(diǎn)����。
4.密碼組回滾攻擊(CipherSuite Rollback attack)
SSL 2.0密鑰交換協(xié)議中有一個(gè)嚴(yán)重的缺陷:主動(dòng)攻擊者能夠在暗地里迫使一個(gè)家庭用戶使用功能被削弱的出口加密算法,即使通信雙方都支持并首選了較高等級(jí)的算法��。這就是人們所說的密碼組回滾攻擊(CipherSuite Rollback attack)�����,它通過編輯在hello報(bào)文中發(fā)送的所支持密碼組的明文列表來達(dá)到自身的目的��。SSL 3.0修正了這個(gè)缺陷,它使用一個(gè)master_secret來對所有的握手協(xié)議報(bào)文進(jìn)行鑒別��,這樣一來�,便可在握手結(jié)束時(shí)檢查出敵方的上述行為,假如有必要�����,還可結(jié)束會(huì)話��。
接著,我們來具體描述一下SSL 3.0中防止修改握手協(xié)議報(bào)文的機(jī)制���。在SSL握手協(xié)議中,有幾個(gè)常見的弱點(diǎn)��,我們將依次進(jìn)行介紹���。
所有初始的握手協(xié)議報(bào)文在傳送時(shí)都是未保護(hù)的����,此時(shí)密鑰交換協(xié)議會(huì)將當(dāng)前會(huì)話狀態(tài)改為未決的會(huì)話狀態(tài),而不是修改當(dāng)前使用中的各個(gè)參數(shù)��。在協(xié)商完成之后���,通信的每一方都發(fā)送一個(gè)短的更改密碼規(guī)格報(bào)文(change cipher spec message)����,該報(bào)文僅僅是警告對方將當(dāng)前狀態(tài)升級(jí)為未決的會(huì)話狀態(tài)。雖然change_cipher_spec報(bào)文未受保護(hù)�����,但是新的會(huì)話狀態(tài)還是將以下一個(gè)報(bào)文為開始�����。緊跟在change_cipher_spec報(bào)文之后的是結(jié)束(finished)報(bào)文�,它包含了一個(gè)報(bào)文鑒別碼(MAC)�����,此MAC由被master_secret加密過的所有握手協(xié)議報(bào)文計(jì)算得出�����。(基于非凡的非安全性因素,change_cipher_spec報(bào)文和alert報(bào)文在finished報(bào)文中沒有進(jìn)行鑒別����。)48字節(jié)長的master_secret從未被泄露出去�����,而且會(huì)話密鑰由它產(chǎn)生。這就保證了即使會(huì)話密鑰被人截獲����,master_secret仍可安然無恙���,所以握手協(xié)議報(bào)文能夠安全的得到鑒別�����。Finished報(bào)文使用新建的密碼組(ciphersuite)對自身進(jìn)行保護(hù)。通信各方只有在收到對方的finished報(bào)文并對其進(jìn)行核實(shí)后,才會(huì)接收應(yīng)用層的數(shù)據(jù)。
5.中間人攻擊(man_in_the_middle attack)
SSL 3.0中包含了對Diffie-Hellman密鑰交換進(jìn)行短暫加密的支持。Diffie-Hellman是一種公開密鑰算法���,它能有效地提供完善的保密功能,對于SSL來說是一個(gè)有益的補(bǔ)充。在SSL 3.0 Diffie-Hellman密鑰交換系統(tǒng)中�,服務(wù)器必須指定模數(shù)和原始根(這兩個(gè)數(shù)均為素?cái)?shù))���,以及Diffie-Hellman的指數(shù)��。為了防止服務(wù)器端產(chǎn)生的陷門,客戶端應(yīng)該對模數(shù)和原始根進(jìn)行仔細(xì)的檢查�,看它們是否為固定公共列表上的可靠數(shù)值����。在SSL 3.0中�����,通過對服務(wù)器端的Diffie-Hellman指數(shù)的鑒別,可以抵御眾所周知的中間人(man-in-the-middle)攻擊。(匿名客戶不必?fù)碛凶C書�����。)另外���,在SSL 3.0中并不支持具有較高性能的Diffie-Hellman變量�,如較小的指數(shù)變量(160bit)或橢圓曲線變量。
