关于OpenSSL CVE-2016-0701漏洞的分析

未分类

今天在乌云知识库看到了360云安全团队对于CVE-2016-0701漏洞分析的文章，文中提及对漏洞发现者博客中的做法不得其解且对“多次握手”颇有疑惑。因为我一直在关注TLS协议安全方面的消息，便仔细去看了那篇博文，在这里阐述下我的理解。

背景

简单描述下DH密钥交换协议的话，就是双方各自选择只有自己知道的$x_a,x_b$，计算$y_a=$$g^a$ $mod$ $p，y_b=$$g^b$ $mod$ $p$，互相交换$y_a, y_b$后，可协商出密钥$s=y_b^{x_a} mod\ p=y_a^{x_b} mod\ p$。

在TLS协议中，static DH和DHE的不同在于服务器选择的private DH exponent是固定不变的还是每次都变化的。

CVE-2016-0701的攻击效果就是在服务器使用static DH或使用DHE但重复使用private DH exponent时，攻击者可以通过和服务器进行多次握手来恢复出private DH exponent。

攻击方法

首先假设被攻击服务器的private DH exponent为固定不变的$x_b$，那么每次与客户端通信时都会发送$y_b$ ($y_b=g^{x_a}mod\ p)$。

攻击者的攻击过程如下：

• 选择一个p-1的小素因子q，计算阶为q的元素g'=$g^{(p-1)/q}$（g'也就是原博文中的B）
• 选择$x_a$，计算$y_a=(g^{x_a}$mod p)$*g'$，注意这里并不是常规DH密钥交换中的$y_a=$$g^a$ $mod$ $p$
• 收到服务器的$y_b$后，发送$y_a$
• 计算$y_b^{x_a}g'^{j}mod\ p$ （j依次选取1到q之间的值，根据握手成功与否判断j应该的取值）
• 假设握手成功时j的取值为k，则得到$k=x_b mod\ q$
• 继续选择其他p-1的小素因子作为q，得到一系列$k=x_b mod\ q$的等式，之后根据中国剩余定理恢复出部分$x_b$，剩余部分可以通过 Shanks's method和Pollard's lambda methods恢复出。

攻击的核心在于，在攻击者给服务器发送$y_a$后，服务器会计算双方协商的密钥s并将其用作加密握手Finished消息的密钥，这里$s=y_a^{x_b} mod\ p=g^{x_ax_b}g'^{x_b}mod\ p$；而攻击者计算的$y_b^{x_a}g'^{j}mod\ p$也可看做是在计算密钥s，只不过是通过穷举j的值，当$j=x_b mod\ q$时，$y_b^{x_a}g'^{j}mod \ p=g^{x_bx_a}g'^{x_b}mod\ p=(g^{x_a}g')^{x_b}mod\ p=y_a^{x_b} mod\ p$，也就是双方计算出的s是相同的，这样双方后续握手的Finished消息所用的密钥就相同，通信可以正常进行。

总结

因此，多次握手是为了找到正确的j。而原博中的yb = g*xa (mod p) * B，我认为应当是$y_a=(g^{x_a}$mod p)$*g'$（本文中的g'即原博中的B）。

如果大家有不同的看法，欢迎一起讨论交流。

【update】经与作者确认，确认是typo，原博已更新