Материалы всероссийской научно-технической конференции Автоматизир
..pdf
ИССЛЕДОВАНИЕ ПРОТОКОЛОВ SSL/TLS
Студенты гр. КОБ-12 Д.А. Кудрявцев, гр. ТК-12 В.С. Тебенькова
Научный руководитель - канд. физ.-мат. наук, доцент Е Я Кротова
Пермский национальный исследовательский политехнический университет
Статья посвящена истории и развитию криптографических про токолов SSL/TLS, обеспечивающих защищенную передачу данных между узлами в Интернете. Показано, что предоставление защищен ного сеанса связи является необходимым для обеспечения конфиден циальности информационного потока данных. Однако существуют уязвимости, которые злоумышленники используют для перехвата и расшифровки содержания передаваемого зашифрованного сообще ния. Для закрытия известных уязвимостей и минимизации шанса от крытия новых производится разработка новых версий криптографи ческих протоколов, и на данный момент последней версией является протокол TLS 1.2.
Эффективность обеспечения защищенной передачи данных между узлами в сети в значительной степени зависит от используемого крип тографического протокола. На данный момент целесообразным являет ся использование протоколов TLS 1.1 и TLS 1.2, так как у этих версий протоколов отсутствуют известные уязвимости, однако часть коммуни каций в Интернете по-прежнему шифруется протоколами более ранних версий, что подвергает опасности конфиденциальность передаваемой информации [1]. Использование криптографических протоколов, пре зентованных ранее, чем TLS 1.1, не гарантирует сохранности информа ции, так как в протоколах SSL 2.0, SSL 3.0 и TLS 1.0 присутствуют кри тические уязвимости, наличие которых не позволит избежать последст вий в случае информационной атаки.
Протоколы TLS и SSL используют асимметричную криптогра фию для аутентификации, симметричное шифрование для конфиден циальности и коды аутентичности для сохранения целостности со общений. Данные протоколы широко применяются в приложениях, работающих с Интернетом.
Изначально протокол SSL был разработан компанией Netscape Communications. Первая версия протокола не была обнародована, од
в механизме перехода на резервный режим (fallback mechanism), реа лизованный в протоколах SSL/TLS. По словам исследователей про блем информационной безопасности из компании Google, которые раскрыли уязвимость «POODLE», многие системы, использующие протокол TLS, реализуют механизм отката на более раннюю версию протокола, так называемый «downgrade dance», который хакер может использовать в своих интересах, принуждая к переходу на резервный режим с использованием устаревшего протокола SSL 3.0.
Текущий уровень риска «POODLE» можно оценить как средний, сопоставимый с уровнем риска, связанного с уязвимостями «BEAST» и «CRIME», которые были обнаружены в прошлом и тоже были связа ны с протоколом SSL. Тем не менее в отличие от других кибератак, обусловленных особенностями реализации криптографического прото кола, «POODLE» более практична, поскольку в данном случае не тре буется масштабного управления форматом незашифрованного текста.
Для защиты от данной уязвимости необходимо предпринять действия, которые не позволят использовать SSL 3.0 ни в случае ис пользования клиентских приложений, ни в случае серверных, а имен но у серверов и клиентов должна быть полностью отключена под держка SSL 3.0.
В отличие от других уязвимостей уязвимость «POODLE» явля ется не ошибкой, допущенной при внедрении программного обеспе чения, а дефектом в самом криптографическом протоколе, который невозможно исправить никаким другим способом, кроме как вывести из эксплуатации версию протокола SSL 3.0.
Несмотря на то, что обнаруженный дефект SSL 3.0 не кажется таким же опасным, как уязвимости «Shellshock» или «Heartbleed», он тоже может быть использован хакерами для реальной кибератаки. В конечном итоге «POODLE» должна стать основной причиной пре кращения использования устаревшего протокола SSL и его замены современным TLS .
Прежде чем прекращать поддержку SSL 3.0, хотя он и обладает определенными уязвимостями, следует иметь в виду, что на этот про токол до сих пор опираются некоторые приложения. Самым ярким примером веб-браузера, не поддерживающего TLS, служит Internet Explorer 6-й версии, на долю которого по-прежнему приходится око ло 1 % европейского и американского рынка и около 4 % мирового рынка браузеров [2].
Для решения проблем, связанных с наличием уязвимости,
вкраткосрочной перспективе следует предпринять следующие шаги:
1)деактивировать SSL 3.0 со стороны клиента, чтобы предотвра тить кибератаки с «понижением версии» (downgrade-атаки);
2)обновить криптографический пакет OpenSSL на серверах до
последней версии, чтобы активировать поддержку механизма TLS FALLBACK SCSV, что не позволит хакеру, перехватывающему сетевой трафик, спровоцировать переход на использование более ранней версии протокола;
3) в долгосрочной перспективе следует полностью прекратить поддержку устаревших протоколов SSL 2.0 и SSL 3.0.
Библиографический список
1.Карманов Р.В. Уходим с SSL на TLS [Электронный ресурс] // Международный учебный центр Advanced Training [Официальный сайт]. - URL: http://www.atraining.ru/beast-move-from-ssl-to-tls/ (дата обращения: 23.04.2015).
2.Уязвимость криптографического протокола SSLv3 «POODLE» [Электронный ресурс] // PWC [Официальный сайт]. - URL: http://www.pwc.ru/ru/blogs/ekaterina_starostina/posts/9thpost.jhtml (дата
обращения: 22.04.2015).
3.POODLE: опасная уязвимость в SSL 3.0 [Электронный ресурс]
//Хакер: сайт. - URL: https://xakep.ru/2014/10/15/poodle/ (дата обра щения: 23.04.2015).
4.Official Internet Protocol Standards. Available at: http://www.rfceditor.org/search/standards.php (accessed 27 April 2015).
самой удачной для внедрения текстовой информации в видеофайлы формата avi, хотя Steganography IV позволяет дополнительно исполь зовать в качестве контейнеров bmp, tiff и png-файлы и скрывать поч ти любой формат файлов.
Библиографический список
1.Corinna John, Steganography IV - Reading and Writing AVI files. // Code Project [Электронный ресурс]. - URL: http://www.codeproject.com/ Articles/5294/Steganography-IV-Reading-and-Writing-AVI-files (дата об ращения: 24.05.2014).
2.Грибунин В.Г., Оков И.Н., Туринцев И.В. Цифровая стегано графия. - М.: СОЛОН-ПРЕСС, 2009. - 265 с.
3.Ватолин Д., Петров О. MSU StegoVideo // Все о сжатии дан ных, изображений и видео [Электронный ресурс]. - URL: http://www.compression.ru/video/stego_video/index_en.html (дата обра щения: 24.05.2014).