WikiDer > Деңгейлік шабуыл

Downgrade attack
Шатастыруға болмайды Блокчейнді кері қайтару шабуылы.

A төмендету шабуылы немесе нұсқасын қайтару шабуылы компьютерлік жүйеге криптографиялық шабуылдың түрі немесе байланыс хаттамасы бұл оны жоғары сапалы жұмыс режимінен бас тартуға мәжбүр етеді (мысалы шифрланған байланыс) ескірген, сапасыз жұмыс режимінің пайдасына (мысалы, ақылды мәтін) әдетте ескі жүйелермен кері үйлесімділік үшін беріледі. Мұндай кемшіліктің мысалы табылды OpenSSL бұл шабуылдаушының төменгі нұсқасын пайдалану туралы келіссөз жүргізуге мүмкіндік берді TLS клиент пен сервер арасында.[1] Бұл төмендету шабуылдарының ең кең таралған түрлерінің бірі. Тағы бір мысал - веб-трафикті ұстап қалу және пайдаланушыны веб-сайттың қауіпсіз, HTTPS нұсқасынан шифрланбаған HTTP нұсқасына бағыттау.

Шабуыл

Downgrade шабуылдары көбінесе a бөлігі ретінде жүзеге асырылады ортада шабуыл (MITM), және a мүмкіндігін қосу тәсілі ретінде қолданылуы мүмкін криптографиялық шабуыл басқаша болуы мүмкін емес. Төмендетілген шабуылдар жүйелі проблема болды SSL / TLS хаттамалар отбасы; мұндай шабуылдардың мысалдары ПУДЛ шабуыл.

TLS хаттамасындағы төмендету шабуылдары әр түрлі формада болады.[2] Зерттеушілер рейтингті төмендету шабуылдарын төрт түрлі векторға қатысты жіктеді, бұл төмендегідей шабуылдар туралы ойлаудың негізін білдіреді:[2]

  1. Хаттама элемент бұл мақсатты
    • Алгоритм
    • Нұсқа
    • Қабат
  2. Түрі осалдық бұл шабуылға мүмкіндік береді
    • Іске асыру
    • Дизайн
    • Сенім үлгісі
  3. Шабуыл әдіс
    • Түсіру
    • Модификация
    • Инъекция
  4. Деңгейі зақымдану шабуыл тудырады
    • Қауіпсіздік бұзылған
    • Қауіпсіздік әлсіреді

Жақында бірнеше ұсыныстар бар[3][4] тұжырымдамасын пайдаланатын алдын-ала білім TLS клиенттеріне (мысалы, веб-шолғыштар) сезімталдықты қорғауға мүмкіндік беру домендік атаулар бұрынғы нұсқаларға немесе ұсынылмаған шифрларға арналған клиенттердің қолдауын пайдаланатын төмендету шабуылдарының жекелеген түрлеріне қарсы (мысалы, қолдамайтындар) алға құпия немесе аутентификацияланған шифрлау) сияқты ПУДЛ, КлиентСәлем[5] фрагментация,[6] және нұсқасы ТҮСІРІЛДІ (лақап аты «арнайы суға батқан») төмендету шабуылдары.

Артқы үйлесімділікті жою көбінесе төмендету шабуылдарының алдын алудың жалғыз әдісі болып табылады. Алайда, кейде клиент пен сервер бір-бірін заманауи деп танып, оларды болдырмайтын әдіспен тани алады. Мысалы, егер веб-сервер де, қолданушы агенті де іске асыратын болса HTTP қатаң көлік қауіпсіздігі және пайдаланушы агенті бұл туралы серверді біледі (бұған дейін оған HTTPS арқылы кірген немесе «HSTS алдын-ала жүктеу тізімінде» болғандықтан)[7][8][9]), онда зиянды маршрутизатор оны және серверді бір-біріне HTTPS қабілеті жоқ деп көрсетсе де, пайдаланушы агенті ванильді HTTP арқылы сайтқа кіруден бас тартады.

Әдебиеттер тізімі

  1. ^ Император. «Ортадағы адам TLS хаттамасының төмендеуіне шабуыл». Император. Алынған 13 сәуір 2016.
  2. ^ а б Алашвали, Е.С және Расмуссен, К. (2018). Төмендетудің мәні неде? TLS протоколындағы төмендету шабуылдарының таксономиясы және TLS қолдану қосымшаларының хаттамалары. 4-ші Int. 14-ші Int.-Мен бірге орналасқан Cyber ​​Security бағдарламасындағы (ATCS) қосымшалар мен әдістер бойынша семинар. Конф. Байланыс желілеріндегі қауіпсіздік және құпиялылық (SecureComm). Спрингер. 469-487 бет. arXiv:1809.05681.CS1 maint: бірнеше есімдер: авторлар тізімі (сілтеме)
  3. ^ Алашвали, Е.С және Расмуссен, К. (2018). Сұралған домендік атқа негізделген веб-шолғыштардағы ұсақ түйіршікті TLS қауіпсіздік конфигурациясының орындылығы туралы. 14-ші Int. Конф. Байланыс желілеріндегі қауіпсіздік және құпиялылық (SecureComm). Спрингер. 213–228 бб. arXiv:1809.05686.CS1 maint: бірнеше есімдер: авторлар тізімі (сілтеме)
  4. ^ Alashwali, E. S. және Szalachowski, P. (2018). DSTC: DNS негізіндегі қатаң TLS конфигурациясы. 13-ші Int. Конф. Тәуекелдер және Интернет пен жүйелердің қауіпсіздігі (CRISIS). Спрингер. arXiv:1809.05674.CS1 maint: бірнеше есімдер: авторлар тізімі (сілтеме)
  5. ^ лдапвики. «КлиентСәлем». Алынған 30 қаңтар 2019.
  6. ^ Бердуш, Б., Делигнат-Лавуд, А., Кобейси, Н., Пиронти, А., Бхаргаван, К. (2015). FLEXTLS TLS іске асырылуын тексеруге арналған құрал. 9-шы USENIX шабуылдау технологиялары бойынша семинар ({WOOT} 15. USENIX). Алынған 30 қаңтар 2019.CS1 maint: бірнеше есімдер: авторлар тізімі (сілтеме)
  7. ^ Адам Лэнгли (8 шілде 2010). «Қатаң көлік қауіпсіздігі». Хром жобалары. Алынған 22 шілде 2010.
  8. ^ Дэвид Килер (1 қараша 2012). «HSTS алдын-ала жүктеу». Mozilla қауіпсіздік блогы. Алынған 6 ақпан 2014.
  9. ^ Белл, Майк; Уалп, Дэвид (16 ақпан 2015). «HTTP қатаң көлік қауіпсіздігі Internet Explorer-ге келеді». Алынған 16 ақпан 2015.