張博

摘 要：TLS/SSL協(xié)議是目前廣泛使用的HTTPS的核心，既可以實現(xiàn)端到端通信的身份認證、數(shù)據(jù)保密性和完整性保護，又被大量應用到非Web應用的其他協(xié)議中，如SMTP和SSH。正因為TLS/SSL如此重要，其安全性備受關(guān)注。本文分析了已知的TLS/SSL漏洞，并通過試驗發(fā)現(xiàn)開源工具testssl.sh能檢測這些漏洞，這有助于運維人員快速發(fā)現(xiàn)漏洞并采取加固措施。

關(guān)鍵詞：TLS/SSL;漏洞分析;漏洞檢測

中圖分類號：TP393.08文獻標識碼：A文章編號：1003-5168（2020）26-0023-03

Abstract： The TLS/SSL protocol is the core of the widely used HTTPS， which can not only realize the identity authentication， data confidentiality and integrity protection of end-to-end communication， but also be widely used in other protocols of non-web applications， such as SMTP and SSH. Because TLS/SSL is so important， its security has attracted much attention. This paper analyzed the known TLS/SSL vulnerabilities， and through experiments found that the open source tool testssl.sh could detect these vulnerabilities， which helped operation and maintenance personnel to quickly find vulnerabilities and take reinforcement measures.

Keywords： TLS/SSL;wulnerability analysis;wulnerability detection

當今時代，計算機網(wǎng)絡技術(shù)飛速發(fā)展，互聯(lián)網(wǎng)已經(jīng)成為人們生活中不可分割的一部分，然而計算機網(wǎng)絡作為一種公開的信息傳遞方式，個人隱私安全是每個人都很關(guān)注的重點，因此各種為保證安全傳輸數(shù)據(jù)的網(wǎng)絡傳輸協(xié)議[1-3]應運而生。本文將對傳輸層安全性協(xié)議（Transport Layer Security，TLS）進行漏洞分析。

TLS協(xié)議及其前身安全套接層（Secure Sockets Layer，SSL）均為安全協(xié)議，目的是為通過互聯(lián)網(wǎng)相互通信的客戶端與服務器提供機密性、數(shù)據(jù)完整性及身份認證等安全保障。Netscape公司在1994年推出首版網(wǎng)頁瀏覽器時，推出HTTPS協(xié)議，以SSL進行加密，這是SSL的起源。后來經(jīng)過IETF將SSL進行標準化。目前，它已成為互聯(lián)網(wǎng)上保密通信的行業(yè)標準。

TLS/SSL協(xié)議采用AES等對稱加密算法、RSA等非對稱算法、SHA-256等哈希算法以及其他密碼技術(shù)實現(xiàn)兩個應用之間的安全可靠的交互[4-6]，并采用X.509數(shù)字證書實現(xiàn)鑒別，其目的是建立一個安全的通信通道，而且該通道可在服務器和客戶機兩端同時實現(xiàn)支持。

1 漏洞分析

下面通過分析8個重要的CVE漏洞來說明TLS/SSL協(xié)議的脆弱性和面臨的風險，并介紹了BEAST攻擊、BREACH攻擊、CRIME攻擊、DROWN攻擊、FREAK攻擊、Logjam攻擊、POODEL攻擊等。

1.1 SWEET32（CVE-2016-2183）

64位分組大小的傳統(tǒng)分組密碼如DES或3DES在CBC模式下使用，易受到攻擊。當使用CBC模式操作時，攻擊者可使用生日攻擊來識別64位分組密碼中存在的碰撞。當碰撞發(fā)生時，這意味著輸入與輸出相同，使得可以執(zhí)行BEAST（Browser Exploit Against SSL/TLS）攻擊來滲透加密的數(shù)據(jù)。

1.2 FREAK（CVE-2015-0204）

FREAK（Factoring RSA Export Keys）攻擊者可以攔截受影響的客戶端與服務器之間的https鏈接，并強制其使用弱安全強度的出口RSA密鑰（美國曾限制出口高強度密碼，如密鑰長度大于512位的RSA）。當TLS/SSL客戶端使用較弱的密鑰交換方法時，攻擊者可以破解正在使用的密鑰，并使用破解的密鑰在通信期間解密竊取數(shù)據(jù)。

1.3 DROWN（CVE-2016-0800）

DROWN（Decrypting RSA using Obsolete and Weakened eNcryption）攻擊的普通形式需要一個支持SSLv2協(xié)議的服務器，攻擊者對該服務器發(fā)起RSA padding oracle攻擊將它當作一個預言機，可以解密其他使用同一私鑰的RSA密文。該攻擊表明SSLv2服務器的存在不僅是不安全的，而且是有害的。

1.4 Logjam（CVE-2015-4000）

Logjam漏洞是針對TLS協(xié)議（1.2及更早版本），中間人攻擊者執(zhí)行降級攻擊，并使用Diffie-Hellman密鑰交換協(xié)議和受出口限制的密碼（DHE_EXPORT）。DHE的安全性以離散對數(shù)的困難性為基礎。但存在一種攻擊可以對常用素數(shù)事前進行大量預計算，從而縮短求離散對數(shù)的時間，比如針對512 bit的素數(shù)，漏洞披露時求離散對數(shù)的時間可縮短到1 min。該攻擊還表明2 048 bit的DHE也是不安全的，應當升級到ECDH，即橢圓曲線上的DH密鑰交換協(xié)議。

1.5 BREACH（CVE-2013-3587）

BREACH代表通過自適應壓縮超文本進行瀏覽器檢測和滲透。與CRIME相似之處是利用HTTP壓縮中的漏洞，允許攻擊者識別頁面中是否存在文本。BREACH攻擊基本流程為：當頁面上發(fā)生文本重復時，刪除重復的術(shù)語，有助于減小頁面的大小。這可以用于識別現(xiàn)有的頁面內(nèi)容，下面是Web應用程序的示例，顯示當前登錄的用戶在頁面中反映的用戶名：第一步，輸入您認為不存在于搜索參數(shù)中的用戶名;第二步，注意返回頁面的大小;第三步，發(fā)送您認為存在的用戶名的其他搜索請求;第四步，注意返回頁面的大小，如果用戶名與登錄用戶名匹配（確認存在），頁面大小對比上次將會縮小。通過分析響應的大小可以預測文本，實際上沒有流量被“解密”。為了使BREACH攻擊成功地滲透數(shù)據(jù)，必須有一種機制來反映渲染頁面中的用戶輸入，并且服務器必須支持HTTP壓縮。

1.6 POODEL SSLv3（CVE-2014-3566）

Google的安全小組在2014年10月14日發(fā)現(xiàn)了POODLE攻擊（Padding Oracle On Downgraded Legacy Encryption）。該漏洞利用了SSLv3處理填充字節(jié)的方式——密碼塊鏈接（CBC）。該缺陷允許中間人攻擊者在少于256個SSLv3連接的條件下解密密文的所選字節(jié)，攻擊者可利用此漏洞繞過身份驗證機制并執(zhí)行未授權(quán)操作。

1.7 CCS注入漏洞（CVE-2014-0224）

某些版本的OpenSSL存在弱點，允許客戶端和服務器通過特制的握手包來強制使用弱密鑰進行通信。允許中間人攻擊者解密和修改客戶端與服務器之間的流量。受影響的OpenSSL版本有OpenSSL before 0.9.8za，OpenSSL 1.0.0 before 1.0.0m和OpenSSL 1.0.1 before 1.0.1。

1.8 HeartBleed（CVE-2014-0160）

心臟出血是以OpenSSL處理TLS和DTLS心跳擴展數(shù)據(jù)包的方式發(fā)現(xiàn)了一個缺陷，允許攻擊者從加密的TLS/DTLS數(shù)據(jù)中公開信息。惡意客戶端可以發(fā)送特制的TLS或DTLS Heartbeat數(shù)據(jù)包，以便從連接的客戶端或者服務器的每個請求中獲得內(nèi)存部分中的敏感信息，諸如私鑰（由服務商提供，用于加密數(shù)據(jù)）、實際用戶的姓名、用戶名和密碼，允許攻擊者竊聽通信并竊取數(shù)據(jù)。

2 漏洞檢測

下文將使用testssl工具對以上攻擊方法進行測試，其間測試了url：www.jianshu.com。類似的SSL/TLS安全性檢測工具包括SSLyze.the Qualys SSL server test.ImmuniWeb SSL Security Test.CryptCheck.CypherCraft.testssl.sh以及keycdn.com scanner等。

2.1 SWEET32（CVE-2016-2183）

使用命令：./testssl.sh www.jianshu.com可查看到服務器是否存在SWEET32相關(guān)的漏洞問題，結(jié)果表明，jianshu.com不存在此漏洞。

2.2 FREAK（CVE-2015-0204）

使用命令：./testssl.sh -E www.jianshu.com，確保服務器支持密碼類型不包含出口限制級密碼，示例如圖1所示。

2.3 DROWN（CVE-2016-0800）

使用命令：./testssl.sh -D www.jianshu.com檢測是否存在DROWN漏洞。顯示結(jié)果提示，該網(wǎng)站并不是易受攻擊的。

2.4 Logjam（CVE-2015-4000）

使用命令：./testssl.sh -J www.jianshu.com檢測Logjam漏洞是否存在。結(jié)果表明，該網(wǎng)站沒有使用出口限制級密碼，也沒有使用常用素數(shù)。

2.5 BREACH（CVE-2013-3587）

使用命令：./testssl.sh -B www.jianshu.com檢測服務器是否易受BREACH攻擊，結(jié)果如圖2所示。

2.6 POODEL SSLv3（CVE-2014-3566）

使用命令：./testssl.sh -O www.jianshu.com檢測POODEL相關(guān)的漏洞是否存在，結(jié)果顯示如圖3所示，這表明jianshu網(wǎng)站不存在POODLE漏洞，而且能抵御降級攻擊。

2.7 CCS注入漏洞（CVE-2014-0224）

使用命令：./testssl.sh -I www.jianshu.com檢測服務器是否存在CCS注入漏洞。結(jié)果顯示，jianshu網(wǎng)站不存在此漏洞。

2.8 HeartBleed（CVE-2014-0160）等其他漏洞

使用命令：./testssl.sh www.jianshu.com可以查看很多testssl.sh支持的漏洞檢測，如圖4所示。

3 結(jié)語

本文介紹了TLS/SSL的相關(guān)漏洞，并使用testssl.sh對TLS/SSL相關(guān)漏洞進行了檢測。testssl.sh工具可以有效地檢測出網(wǎng)站的TLS/SSL安全網(wǎng)絡傳輸協(xié)議是否存在相關(guān)的漏洞，從而做出相應的改進或解決相應的問題，提高網(wǎng)站的安全性。

參考文獻：

[1]韋俊琳，段海新，萬濤.HTTPS/TLS協(xié)議設計和實現(xiàn)中的安全缺陷綜述[J].信息安全學報，2018（2）：1-15.

[2]裴倩倩.基于OpenSSL的安全密鑰漏洞及其攻擊方法研究[D].北京：華北電力大學，2017.

[3]趙仁.基于SSL的中間人攻擊檢測與防范[D].天津：天津大學，2017.

[4]張生財.OpenSSL Heartbleed漏洞分析與研究[J].信息安全與技術(shù)，2014（11）：42-43.

[5]強小輝，陳波，陳國凱.OpenSSL HeartBleed漏洞分析及檢測技術(shù)研究[J].計算機工程與應用，2016（9）：88-95.

[6]左朝順.面向SSL Error-Handling漏洞的自動發(fā)現(xiàn)方法研究[D].濟南：山東大學，2016.