HTTPS再爆漏洞，企业需升级SSL/TLS加密算法

本站之前的文章“你的智能手机应用在裸奔吗” 提到过， 糟糕的SSL实施可能会导致被实施“中间人攻击”。  最近， 一个来自数个安全研究学术机构成员组成的团队， 又爆出了SSL的又一些漏洞。

在2013年2月, NadhemAlFardan和 Kenny Paterson发 现了一个名为Luck13的攻击方式, 这种攻击方式主要攻击SSL/TLS采取的CBC方式的块加密方式。攻击着可以通过阻断TLS连接的方式（比如通过恶意软件故意断掉链接， TLS会自动重发）， 让发送方反复发送同一加密内容（比如COOKIE或者密码的密文）， TLS发送错误信息的时间差异的分析。 Luck13攻击可以在较短时间内破解密文。

Nadhem和AlFardan发表了他们的发现。 建议在SSL/TLS中尽量不要使用CBC模式的块加密算法。 可以采用如RC4这样的流加密算法。

然而， 不到一个月， 在2013年3月， NadhemAlFardan, Dan Bernstein, Kenny Paterson, Bertram Poettering 和 Jacob Schuldt又宣布， 采用RC4 加密的SSL/TLS也存在安全漏洞。

SSL/TLS的工作原理大致是这样的， 首先通过公钥加密算法如RSA等， 通过网络交换一个共同的Session密钥。 然后， 利用这个Session密钥利用对称加密算法进行加密。 这样的好处是， 由于公钥加密算法的效率较低，可以用来传递小数据量如对称加密的密钥， 然后利用对称加密的高效率来加密大数据量。  CBC模式块加密和RC4的流加密都属于对称加密的算法。

根据Nadhem等人的报告， 目前网络上的SSL/TLS的流量的50%大约是用RC4进行加密的。 其实RC4的加密不安全性已经不是什么新闻了。 其实早在2001年，  两位以色列的密码专家ItsikMantin和Adi Shamir就发表了一篇论文《”A practical attack on RC4》， 当时， 无线互联网Wi-Fi的早期加密算法WEP就是利用RC4来进行加密的。 而这篇论文成为破解WEP密码的理论基础， 导致了人们能够轻易的破解WEP， 从而推动Wi-Fi加密全面转向WPA。 （编者： 有意思的是 Adi Shamir就是加密算法RSA中的“S”， 而RC4中的“R”Ron Rivest， 也是RSA中的“R”）。

对RC4的攻击， 主要集中在RC4 的随机数生成的统计不平均的漏洞上。 WEP的破解就是利用WEP数据包的标号的漏洞进行统计分析从而进行破解的。

而NadhemAlFardan, Dan Bernstein, Kenny Paterson, Bertram Poettering 和 Jacob Schuldt对RC4 的攻击方法， 比ItsikMantin和 Adi Shamir要更进一步。 他们通过对RC4的前256个密文字节的每一位建立了统计。 通过224次Session就可以破解出密文的前256个字节。 而研究小组还在进一步改进算法， 以期达到更好的效果。

对于依赖SSL/TLS的企业来说， 重要的是必须意识到SSL/TLS的安全性问题。 企业需要认真检查他们的SSL安全模块的加密算法实施。 对此， 研究小组给出的综合建议是：

鉴于CBC模式的块加密方式以及RC4流加密都出现了漏洞， 并且已经有了现实的攻击手法。 企业最好是在SSL/TLS加密方式上选择更为安全的AES-GCM方式。

AES-GCM方式是一种新的块加密实现方式。 它可以同时实现加密和认证两个步骤。 不但可以避免类似于RC4加密这样的漏洞， 同时也能够防范类似于Luck13 这样的时间差异分析的攻击手段。

不过， 由于RC4方式的广泛使用， 企业在废弃SSL/TLS的RC4方式时， 也需要注意用户是否会因为服务器端不支持RC4而产生的连接问题。 当然， 企业需要权衡用户使用的不便与采用RC4 可能导致的后果。