Heroku Dynos уязвимы для Зверя?(Эксплуатация TLS 1.0 CBC)

Question

Читал статью в Реестре о BEAST , которая привела меня к SO сообщению о SslStream, BEAST и TLS 1.1

Похоже, что лучший способ смягчить уязвимость - это выбрать набор шифров без CBC, такой как rc4-sha .

В настоящий момент Heroku предпочитает соединения шифрования CBC? Если да, значит ли это, что клиентские динамо в настоящее время уязвимы для BEAST?

Я нашел Руководство OSWAP по тестированию SSL-TLS и провел несколько локальных тестов.

Я также нашел Результаты тестов Qualys SSL Labs для Heroku

Cipher Suites (SSLv3+ suites in server-preferred order, then SSLv2 suites where used)
TLS_DHE_RSA_WITH_AES_256_CBC_SHA (0x39)   DH 1024 bits (p: 128, g: 1, Ys: 128)  256
TLS_RSA_WITH_AES_256_CBC_SHA (0x35) 256
TLS_DHE_RSA_WITH_AES_128_CBC_SHA (0x33)   DH 1024 bits (p: 128, g: 1, Ys: 128)  128
TLS_RSA_WITH_AES_128_CBC_SHA (0x2f) 128
TLS_DHE_RSA_WITH_3DES_EDE_CBC_SHA (0x16)    168
TLS_RSA_WITH_3DES_EDE_CBC_SHA (0xa) 168
TLS_RSA_WITH_RC4_128_SHA (0x5)  128
TLS_RSA_WITH_RC4_128_MD5 (0x4)  128

Поскольку предпочтительный серверный порядок ставит TLS_RSA_WITH_RC4_* внизу списка, я пришел к выводу, что Heroku в настоящее время уязвима для BEAST.

Хотелось бы услышать от кого-то с большим опытом в этой области.

Атака Зверя Уязвимая НЕДОСТАТОЧНОСТЬ ( больше информации )

Answer 1

Лучший способ защиты от атаки, продемонстрированной BEAST, - это использование (как на клиентах, так и на серверах) TLS 1.1. В его отсутствие, на мой взгляд, следующим лучшим вариантом будет TLS_RSA_WITH_RC4_128_SHA, даже если он считается «менее безопасным», чем AES. В Википедии есть неплохая рецензия на известные атаки на RC4. Большинство из них являются предвзятым результатом. Чтобы дать вам представление о серьезности атак, см. Следующие цитаты со страницы Википедии:

Лучшая такая атака - Ицик Мантин и Ади Шамир, которые показали что второй выходной байт шифра был смещен к нулю с вероятность 1/128 (вместо 1/256).

также:

Сурадьюти Пол и Барт Пренель из COSIC показали, что первый и вторые байты RC4 также были смещены. Количество необходимых выборки для обнаружения этого смещения составляют 2 ^ 25 байт.

Следующий уклон в RC4 использовался для атаки на WEP:

.. по всем возможным ключам RC4, статистика для первых нескольких байтов выходной ключевой поток сильно неслучайный, утечка информации о ключ. Если долгосрочный ключ и одноразовый номер просто объединены в создать ключ RC4, этот долгосрочный ключ может быть обнаружен анализирует большое количество сообщений, зашифрованных с помощью этого ключа.

Однако SSL / TLS не использует долгосрочный ключ с одноразовым номером, но устанавливает новый ключ для RC4 путем хэширования (используя MD5 или SHA1, как вы видели в тестах Qualys SSL Labs) с каждым соединением (и обновляет ключ через некоторое время).

Вы можете прочитать еще несколько мнений по этому вопросу в этом sci.crypt обсуждении (если вы игнорируете троллей).