2015-06-05
Teknisk information angående ITsäkerhetssårbarheten Logjam
Intern information: Logjam
Extern information: https://weakdh.org/
Konsekvens
Sannolikhet
Omfattning
Hög
Hög
Global
Inledning
En ny allvarlig global IT-säkerhetssårbarhet med namnet ”Logjam” har upptäckts. Logjam drabbar
alla IT-plattformar (Windows, OS X, Unix, Linux m.m), alla webbläsare samt kodbibliotek
(utveckling) som använder krypteringsprotokollet TLS.
Sårbarheten gör det möjligt för någon att avlyssna och ändra på informationen i den krypterade
förbindelsen mellan servrar och vanliga datorer, en så kallad "Man In the Middle-attack".
Exempel. Om du surfar till din bank från din dator så kan den som vill utnyttja denna sårbarhet
avlyssna och förändra all information som du har mellan dig och din bank.
Syfte
Teknisk beskrivning av problemet samt hur man löser det
Mottagare
DSA och IT-ansvariga på Stockholms Universitet
2015-06-05
Teknisk information
Två separata problem relaterade till implementationen av Diffie-Hellman
key exchange (D-H) har annonserats. D-H är en metod för att säkert
utbyta kryptografiska nycklar vid upprättandet av ett krypterat samtal
mellan två parter.
Det finns två separata problem:
=== #1. Logjam
Ett problem i TLS-protokollet (som nyttjas av bland annat webservrar och
mailservrar) tillåter en Man-In-The-Middle attack. Anfallaren kan
då prata D-H med svag styrka mot servern som tillåter det på grund av
bakåtkompatibilitet, medan webläsaren som normalt sett inte stödjer detta
tror att den pratar normal D-H med servern.
Lösningen på serversidan är att inte stödja "export grade" Diffie-Hellman
(DHE_EXPORT). Problem som kan uppstå av denna förändring är att gamla
klienter inte längre kan ansluta till servern.
På klientsidan bör man vägra att nyttja D-H nycklar som är 512 (eller
ännu hellre 1024) bits eller mindre. I webläsarfallet så löses detta
förmodligen enklast genom att hålla sig uppdaterad med senaste versionen.
=== #2. Gemensam primtalslista för D-H
Många servrar använder en gemensam lista på primtal för användning till D-H
nyckelutbyte. Den mest effektiva algoritmen för att knäcka en D-H koppling
är dock endast beroende av detta primtal.
Utöver att det finns 512-bitars primtal i denna lista som man kan övertala
en drabbad maskin att nyttja via ovan nämnda logjam-attack, så är antagandet
att även 768- och 1024-bitars primtal bör kunna knäckas givet att man har
tillräckligt med resurser. Detta möjliggör passiv avlyssning/avkryptering
av krypterad trafik.
Denna risk drabbar alla protokoll som nyttjar D-H, vilket sträcker sig
utanför TLS. Exempel är SSH och IPSEC.
Lösningen på detta är att skapa ett eget primtal som man sedan
ställer in sin serverprogramvara att använda. Skapandet görs enklast med
openssl-verktyget.
För specifika exempel på hur man kan konfigurerar sina servrar att bara
tillåta säkra former av D-H, hur man skapar sitt eget primtal, och hur
man ställer in sin serverprogramvara att använda den, se följande sida:
https://weakdh.org/sysadmin.html
