Elo,
ptaszki doniosły: https://freedom-to-tinker.com/blog/haldermanheninger/how-is-nsa-breaking-so-...
"Diffie-Hellman is a cornerstone of modern cryptography used for VPNs, HTTPS websites, email, and many other protocols. Our paper shows that, through a confluence of number theory and bad implementation choices, many real-world users of Diffie-Hellman are likely vulnerable to state-level attackers."
"Here’s what’s wrong: If a client and server are speaking Diffie-Hellman, they first need to agree on a large prime number with a particular form. There seemed to be no reason why everyone couldn’t just use the same prime, and, in fact, many applications tend to use standardized or hard-coded primes. But there was a very important detail that got lost in translation between the mathematicians and the practitioners: an adversary can perform a single enormous computation to “crack” a particular prime, then easily break any individual connection that uses that prime."
Pejper: https://weakdh.org/imperfect-forward-secrecy-ccs15.pdf
On Thu, Oct 15, 2015 at 10:32:46AM +0200, rysiek wrote:
Elo,
ptaszki doniosły: https://freedom-to-tinker.com/blog/haldermanheninger/how-is-nsa-breaking-so-...
"Diffie-Hellman is a cornerstone of modern cryptography used for VPNs, HTTPS websites, email, and many other protocols. Our paper shows that, through a confluence of number theory and bad implementation choices, many real-world users of Diffie-Hellman are likely vulnerable to state-level attackers."
"Here’s what’s wrong: If a client and server are speaking Diffie-Hellman, they first need to agree on a large prime number with a particular form. There seemed to be no reason why everyone couldn’t just use the same prime, and, in fact, many applications tend to use standardized or hard-coded primes. But there was a very important detail that got lost in translation between the mathematicians and the practitioners: an adversary can perform a single enormous computation to “crack” a particular prime, then easily break any individual connection that uses that prime."
Pejper: https://weakdh.org/imperfect-forward-secrecy-ccs15.pdf
Czyli nie DH złamane, tylko ludzie nie potrafią używać crypto? Nothing to see here, move along.
Dnia czwartek, 15 października 2015 10:53:00 arachnist@i.am-a.cat pisze:
Pejper: https://weakdh.org/imperfect-forward-secrecy-ccs15.pdf
Czyli nie DH złamane, tylko ludzie nie potrafią używać crypto? Nothing to see here, move along.
Mogę odpowiedzieć na to pytanie na dwa sposoby:
a). Nie, DH jako takie nie jest na szczęście złamane, ale skopane implementacje są potężnym, potężnym problemem.
b). Tak w praktyce, co za różnica? I tak, i tak, jeśli korzystasz z DH dziś, jest bardzo duża szansa, że korzystasz ze skopanej implementacji. Z punktu widzenia użytkownika, efekt ten sam.
On Thu, Oct 15, 2015 at 10:46 AM rysiek rysiek@hackerspace.pl wrote:
Dnia czwartek, 15 października 2015 10:53:00 arachnist@i.am-a.cat pisze:
Pejper: https://weakdh.org/imperfect-forward-secrecy-ccs15.pdf
Czyli nie DH złamane, tylko ludzie nie potrafią używać crypto? Nothing to see here, move along.
Mogę odpowiedzieć na to pytanie na dwa sposoby:
a). Nie, DH jako takie nie jest na szczęście złamane, ale skopane implementacje są potężnym, potężnym problemem.
b). Tak w praktyce, co za różnica? I tak, i tak, jeśli korzystasz z DH dziś, jest bardzo duża szansa, że korzystasz ze skopanej implementacji. Z punktu widzenia użytkownika, efekt ten sam.
Mówisz "bardzo duża szansa", ale nie jest aby tak, że duże firmy, takie jak khe khe Google napierają na ECDH od bardzo bardzo dawna ( https://googleonlinesecurity.blogspot.co.uk/2011/11/protecting-data-for-long... Przejrzę sobie pejper po pracy, na razie tylko skimnąłem recommendations, ale chętnie przyjmę TL;DR.
Hej,
b). Tak w praktyce, co za różnica? I tak, i tak, jeśli korzystasz z DH dziś, jest bardzo duża szansa, że korzystasz ze skopanej implementacji. Z punktu widzenia użytkownika, efekt ten sam.
IMO o tym chyba traktuje chapter 6 tego pejperu.
"We notified major client and server developers about the vulnerabilities discussed in this paper before we made our findings public. Prior to our work, Internet Explorer, Chrome, Firefox, and Opera all accepted 512-bit primes, whereas Safari allowed groups as small as 16 bits. As a result of our disclosures, Internet Explorer [37], Firefox, and Chrome are transitioning the minimum size of the DHE groups they accept to 1024 bits, and OpenSSL and Safari are expected to follow suit. On the server side, we notified Apache, Oracle, IBM, Cisco, and various hosting providers. Akamai has removed all support for export ciphersuites. Many TLS developers plan to support a new extension that allows clients and servers to negotiate a few well-known groups of 2048-bits and higher and to gracefully reject weak ones [19]."
So cel główny jest osiągnięty, czyli większość chapteru 3 się już zdezaktualizowało/dezaktualizuje. Więc jak ktoś nie korzysta z jakiegoś starego IE czy Safari (a reszta ma raczej FF i Chrome) to raczej są bezpieczni... Tak przynajmniej wywnioskowałem czytając pobieżnie całość.
Pozdrawiam Kamil Gałuszka
-
arachnist@i.am-a.cat -
Kamil Gałuszka -
rysiek -
Tomasz Dubrownik