SS
L in
der P
raxis, sich
er?
Achim
Hoffm
annow
asp.orgachim
@M
ünchen 15. Oktober 2013
sic[!]sec Gm
bH
SS
L in
der P
raxis, sic
her? :
16.1
0.2
013 1
1:3
11 v
on 5
9
Sich
er?
http://xkcd.com/538/
SS
L in
der P
raxis, sic
her? :
16.1
0.2
013 1
1:3
12 v
on 5
9
Disclaim
erP
roblem ist nicht N
SA
, GC
HQ
, BN
D, P
RIS
M, Tem
pora,X
KeyS
core, ...
SS
L in
der P
raxis, sic
her? :
16.1
0.2
013 1
1:3
13 v
on 5
9
An
griffsp
un
kte●
Wo?
○ K
ryptographie (Ciphe
r, etc.)
○ S
SL-P
rotokoll
○ P
KI
○ (S
SL-K
onfiguration)
SS
L in
der P
raxis, sic
her? :
16.1
0.2
013 1
1:3
14 v
on 5
9
An
griffsp
un
kte●
Wo?
○ K
ryptographie (Ciphe
r, etc.)
○ S
SL-P
rotokoll
○ P
KI
○ (S
SL-K
onfiguration)
● W
as?
○ Integrität
○ V
erfügbarkeit
○ A
uthentizität
SS
L in
der P
raxis, sic
her? :
16.1
0.2
013 1
1:3
15 v
on 5
9
Ag
end
a●
Lösungen
● Ü
bersicht der Angriffe
● Ü
bersicht der Proble
me
● E
inige Angriffe im
De
tail
● G
lossar
● R
eferenzen
SS
L in
der P
raxis, sic
her? :
16.1
0.2
013 1
1:3
16 v
on 5
9
Lö
sun
gen
?●
PK
I: Um
stellung auf "SS
H-M
odell"
● P
KI: U
mstellung auf C
onvergence Concept
● P
KI: unabhängige N
otare (siehe P
roblem m
it "Trust" später)
○ M
odelle: "Public K
ey Pinning", "Trust A
ssertions forC
ertificate Keys"
● C
ertificate Pinning
● C
heck: Datum
der Signatur, dann kann C
lient alte Z
ertifikateselbst erkennen
Und bis das um
gesetzt ist ...
SS
L in
der P
raxis, sic
her? :
16.1
0.2
013 1
1:3
17 v
on 5
9
Lö
sun
gen
Ag
end
a●
Server-K
onfiguration
● B
rowser-K
onfiguration
SS
L in
der P
raxis, sic
her? :
16.1
0.2
013 1
1:3
18 v
on 5
9
Server-K
on
figu
ration
● P
rotokoll
● C
ipher
● Z
ertifikat
● W
ebserver
SS
L in
der P
raxis, sic
her? :
16.1
0.2
013 1
1:3
19 v
on 5
9
Server-K
on
figu
ration
: Pro
toko
llS
SLv2 deaktivieren
1.SS
Lv3 und TLS
v1.0 nur benutzen, w
enn unb
edingt nötig2.T
LS v1.1 und T
LS v1.2
aktivieren (RC
4, BE
AS
T)
3.keine Renegotiation vo
m C
lient erlauben4.K
ompression in S
SL ab
schalten (CR
IME
)5.
SS
L in
der P
raxis, sic
her? :
16.1
0.2
013 1
1:3
110 v
on 5
9
Server-K
on
figu
ration
: Cip
her
keine NU
LL-Cipher
1.keine EX
PO
RT-C
ipher2.K
eine "WE
AK
"-Cipher
3.keine AD
H-C
ipher4.K
eysize min. 128 B
its5.C
ipher mit E
DH
Key E
xchange (wegen P
FS
)6.C
ipher mit C
BC
-Mode m
eiden (wegen O
racle A
ttack usw.)
7.Default: den stäksten C
ipher anbieten8.in Z
ukunft: GC
M-C
ipher
9.
SS
L in
der P
raxis, sic
her? :
16.1
0.2
013 1
1:3
111 v
on 5
9
Server-K
on
figu
ration
: Cip
her
keine NU
LL-Cipher
1.keine EX
PO
RT-C
ipher2.K
eine "WE
AK
"-Cipher
3.keine AD
H-C
ipher4.K
eysize min. 128 B
its5.C
ipher mit E
DH
Key E
xchange (wegen P
FS
)6.C
ipher mit C
BC
-Mode m
eiden (wegen O
racle A
ttack usw.)
7.Default: den stäksten C
ipher anbieten8.in Z
ukunft: GC
M-C
ipher
9.
Teufel o
der B
elzebu
bIS
M-C
ompliant: kein
e Cipher m
it RC
4 erlauben1.
FIP
S-140-C
ompliant: kein
e Cipher m
it RC
4 erlauben2.
BE
AS
T: n
ur C
ipher mit R
C4 erlauben
3.
SS
L in
der P
raxis, sic
her? :
16.1
0.2
013 1
1:3
112 v
on 5
9
Server-K
on
figu
ration
: Zertifikat
vertrauenswürdige C
A ausw
ählen (ist Vertraue
n bezahlbar?)1.V
ertraunskette muss stim
men (Trust C
hain)2.G
ültigkeit (Datum
, Abla
uf, Fingerprint)
3.kein MD
5 Fingerprint
4.Wildcard-Z
ertifikate sind unsicher!
5.EV
-Zertifikate (E
xtended V
alidation) benutzen6.O
CS
P: ja, nein, nein, vielleicht, ...
7.
SS
L in
der P
raxis, sic
her? :
16.1
0.2
013 1
1:3
113 v
on 5
9
Server-K
on
figu
ration
: Web
serverw
enn SS
L, dann keinen
Inhalt unter http://
anbietenauch keine W
eiterleitung (R
edirect) auf https://
1.alle Daten (S
eiten, Bilder, S
kripte, CS
S) m
it https ausliefern2.H
ST
S benutzen, am
Besten m
it "certificate pinning"3.bei C
ookies imm
er das secure
-Flag setzen
4.bei Cookies im
mer das H
ttpOnly
-Flag setzen
5.keine fremden S
ource (z.B. S
kripte von anderen Servern)
6.alle Daten m
it korrektem
Content-Type
ausliefern7.
Siehe O
WA
SP
:
● https://w
ww
.owasp.org/index.php?title=
Transport_Layer_P
rotection_Cheat_S
heet
● https://w
ww
.owasp.org/index.php/H
TT
P_S
trict_Transport_S
ecurity
● https://w
ww
.owasp.org/index.php/C
ertificate_and_Public_K
ey_Pinning
SS
L in
der P
raxis, sic
her? :
16.1
0.2
013 1
1:3
114 v
on 5
9
Server-K
on
figu
ration
: Ap
ache
schlech
t
SSLProtocol all -SSLv2SSLCipherSuite ALL:!ADH:RC4+RSA:+HIGH:+MEDIUM: \ +LOW:+SSLv2:+EXP:+eNULL
besser
SSLProtocol -ALL +SSLv3 +TLSv1 +TLSv1.1 +TLSv1.2SSLCompression OffSSLInsecureRenegotiation OffSSLHonorCipherOrder OnSSLCipherSuite RC4-SHA:HIGH:!ADH # oderSSLCipherSuite DHE-RSA-AES256-SHA:AES128-SHA \ :DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES256-SHA
Siehe S
SL/T
LS D
eployment B
est Practices [7]
SS
L in
der P
raxis, sic
her? :
16.1
0.2
013 1
1:3
115 v
on 5
9
Server-K
on
figu
ration
: ng
inx
ssl_protocols SSLv3 TLSv1 TLSv1.1 TLSv1.2;
ssl_prefer_server_ciphers on;
ssl_ciphers ECDHE-ECDSA-AES256-GCM-SHA384:\
ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:\
ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:\
ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:\
ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-RC4-SHA:\
ECDHE-RSA-RC4-SHA:ECDH-ECDSA-RC4-SHA:ECDH-RSA-RC4-SHA:\
ECDHE-RSA-AES256-SHA:RC4-SHA;
ssl_session_cache builtin:1000 shared:SSL:10m;
# Compression per Default off bei nginx 1.1.6+/1.0.9+
SS
L in
der P
raxis, sic
her? :
16.1
0.2
013 1
1:3
116 v
on 5
9
Server-K
on
figu
ration
: IIS●
gut (aber umständlich)
\Ciphers\NULL] "Enabled"=dword:00000000
\Ciphers\DES 56/56] "Enabled"=dword:00000000
\Ciphers\RC2 40/128] "Enabled"=dword:00000000
\Ciphers\RC2 56/128] "Enabled"=dword:00000000
\Ciphers\RC4 40/128] "Enabled"=dword:00000000
\Ciphers\RC4 56/128] "Enabled"=dword:00000000
\Ciphers\RC4 64/128] "Enabled"=dword:00000000
in HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\SecurityProviders\SCHANNEL
SS
L in
der P
raxis, sic
her? :
16.1
0.2
013 1
1:3
117 v
on 5
9
Server-K
on
figu
ration
: Test-Too
lsch
kcert.pl
‒ einfacher Test der C
hain (RC
4-SH
A hardcodet!)
cnark.p
l ‒
einfacher Test der Cipher-S
uite (fest vorgegeben!)o
-saft.pl
‒ um
fangreiche Tests der C
ipher-Suite, Z
ertifikat, Schw
achstellensm
tp_tls_cert.p
l ‒
Dum
p des Zertifikates bei S
TA
RT
TLS
ssldiag
no
s ‒
i.W. Test der C
ipher-Suite; https, sip, sm
tpls, popssl, ftpsslsslscan
‒
i.W. Test der C
ipher-Suite
ssltest.pl
‒ i.W
. Test der Cipher-S
uiteS
SL
Au
dit.exe
‒S
Sl V
uln
erabilities A
nalyzer
‒ G
UI fuer sslscan (W
indows)
TestS
SL
Server.jar
‒ sehr einfache T
ests (Protokoll, C
ipher-Suite)
//ww
w.ssllab
s.com
/ ‒
online Test mit S
coring (Protokoll, C
ipher-Suite)
SS
L in
der P
raxis, sic
her? :
16.1
0.2
013 1
1:3
118 v
on 5
9
Bro
wser-K
on
figu
ration
: Alp
traum
● A
uswahl der C
ipher
○ M
ozilla (fast) nur mit a
bout:config
○ IE
nur via Registry
○ C
hrome?
○ O
pera?
○ auf S
martphones, Ta
blets? siehe auch [B-A
N]
● C
ipher-Reihenfolge festlegen
○ geht nur im
IE via R
egistry
SS
L in
der P
raxis, sic
her? :
16.1
0.2
013 1
1:3
119 v
on 5
9
Bro
wser-K
on
figu
ration
: Test-Too
ls?
http://xkcd.com/538/
Es gibt B
rowser-P
lugins (Calom
el, Certificate W
atch, Certificate P
atrol)
SS
L in
der P
raxis, sic
her? :
16.1
0.2
013 1
1:3
120 v
on 5
9
An
griffe: S
SL
-Han
dsh
ake-Pro
toko
ll(stolen from
[P-R
U])
● C
ipher suite rollback
● C
hangeCipherS
pec message drop
● K
ey exchange algorithm confusion
● V
ersion rollback
● B
leichenbacher Attack on P
KC
S#1
● Tim
ing based attacks
● E
CC
based timing attacks
● E
CC
-based key exchange algorithm
confusion attack
● R
enegotiation
● T
HC
-SS
L-DoS
[A-T
H]
SS
L in
der P
raxis, sic
her? :
16.1
0.2
013 1
1:3
121 v
on 5
9
An
griffe: S
SL
-Ap
plicatio
nD
ata-P
roto
koll
(stolen from [P
-RU
])
● M
AC
does not cover padding length
● W
eaknesses through C
BC
usage (aka Padd
ing Oracle
Attack)
● Inform
ation leakage by the use of compression
● C
hosen-Plain-text A
ttacks on SS
L reloaded
● P
ractical IV C
haining vulnerability (aka B
EA
ST
)
● P
ractical compressio
n based attacks (aka CR
IME
)
SS
L in
der P
raxis, sic
her? :
16.1
0.2
013 1
1:3
122 v
on 5
9
An
griffe: P
KI
(stolen from [P
-RU
])
● W
eak cryptographic primitives lead to collid
ing certificates(M
D5 collisions)
● W
eaknesses in X.50
9 certificate constraint checking (sieheauch [P
-CC
])
● A
ttacks on Certificate
Issuer Application Log
ic (0-Bytes im
Subject)
● A
ttacking the PK
I (Manipulation der O
SC
P-R
esponse)
SS
L in
der P
raxis, sic
her? :
16.1
0.2
013 1
1:3
123 v
on 5
9
Exp
loits: ~
2007●
1998: Bleichenbache
r Attack on P
KC
S#1 (d
ecrypt presharedm
aster secret in RS
A cipher)
● 2002: C
hosen-plaintext attck w
ith IV against cipher w
ith CB
Cm
ode [A-C
P]
● 2002: M
SIE
nutzt jedes Z
ertifikat ohne B
asic Constraints C
Aals Z
wischenzertifikat, V
erisign liefert die Z
ertifikate dazu http://w
ww
.thoughtcrime.org/ie-ssl-chain.txt ⇒
2011: Bug
taucht in iOS
wieder au
f
● 2005: ID
N hom
ograph spoofing [A
-IS]
● 2007: C
ertificate spoofing w
ith subjectAltN
am
e [A-S
A]
● 2007: S
ecret Backdo
or in New
Encryption S
tandard?(D
ual_EC
_DR
BG
) [A-B
S]
⇒ 6 P
rob
leme in
10 Jahren
SS
L in
der P
raxis, sic
her? :
16.1
0.2
013 1
1:3
124 v
on 5
9
Exp
loits: ~
2008●
2008: Zertifikat m
it MD
5 Kollisionen (seit 90
er Jahrebekannt)
→ R
eaktion: MD
5 wird
nicht mehr em
pfohlen
● 2008: C
VE
-2008-2809: S
poofing via user-trusted
subjectAltN
ame (seit 2
004 bekannt)
● 2008: C
A: T
hawte erstellt Z
ertifikat für ww
w.live.com
● 2008: C
A: C
omodo e
rstellt Zertifikat für m
ozilla.com⇒
4 Pro
blem
e in ein
em Jah
ren
SS
L in
der P
raxis, sic
her? :
16.1
0.2
013 1
1:3
125 v
on 5
9
Exp
loits: 2009, 2010
● 2009: null-P
refix im subjectN
ame ”*\00doxpa
ra.com”,
sslsniff; OC
SP
kompro
mitiert [A
-00]
● 2009: O
CS
P A
ttacken
→ R
eaktion Brow
ser deaktivieren O
CS
P teilw
eisew
ieder
● 2009: sslstrip
→ R
eaktion ist HS
TS
● 2009: R
enegotiation Attacke [P
-RE
]
● 2010: E
FF
SS
L Obse
rvatory zeigt Chaos de
r CA
→ R
eaktion Gedanken
über "gesetzliche" Reg
elungen⇒
5 Exp
loits in
2 Jahren
SS
L in
der P
raxis, sic
her? :
16.1
0.2
013 1
1:3
126 v
on 5
9
Exp
loits: 2011
● 03/2011: C
A: C
omod
o Hack
→ R
eaktion: Certificate
-Pinning in C
hrome
● 07/2011: C
A: D
igiNotar H
ack→
Reaktion: C
A von R
egierung übernomm
en
● 07/2011: P
eerJacking (P
roblem in P
HP
's cUR
L) [A-P
J]
● 09/2011: C
A: E
inbruch bei GlobalS
ign (Folge
von DigiN
otarH
ack)
● 09/2011: B
EA
ST
→ R
eaktion: Em
pfehlung R
C4
● 09/2011: w
eitere gefälschte Z
ertifikate (Folge
von DigiN
otarH
ack)
● 11/2011: C
A: E
inbruch bei KP
N⇒
7 Exp
loits in
einem
Jah
r
SS
L in
der P
raxis, sic
her? :
16.1
0.2
013 1
1:3
127 v
on 5
9
Exp
loits: 2012
● 02/2012: Trustw
ave verkauft HS
M-B
ox mit F
eature für MiT
M
● 06/2012: M
alware F
lam
e mit "einem
" MS
Ce
rt
● 09/2012: A
dobe hacked "Inappropriate Use of A
dobe Code
Signing C
ertificate" [A-A
D]
● 09/2012: C
RIM
E (be
troffen: Chrom
e, Firefo
x, nicht IE) [A
-CR
]→
Reaktion: T
LS/S
SL/level com
pression deaktivieren
⇒ 4 P
rob
leme in
1 Jahr
SS
L in
der P
raxis, sic
her? :
16.1
0.2
013 1
1:3
128 v
on 5
9
Exp
loits: 2013
● 01/2013: C
A: T
ürktrust stellt *.google.com
aus
● 02/2013: Lucky 13 attack
→ R
eaktion: RC
4 nich
t empfohlen
● 03/2013: R
C4 attack [A
-RC
]→
Reaktion: R
C4 n
icht em
pfohlen
● 06/2013: H
ow to botch T
LS forw
ard secrecy (PF
S) [A
-FS
]
● 07/2013: T
IME
: A P
erfect C
RIM
E? O
nly TIM
E W
ill Tell [A-T
I]→
Reaktion: W
orkarounds nur in der A
pplikation:A
nti-CS
RF
-Token, X-F
rame-O
ption
● 08/2013: B
RE
AC
H:
→ R
eaktion: große R
atlosigkeit (Workarounds nur in der
Applikation, aber nicht in S
SL m
öglich!)
● 09/2013: D
ual EC
_DR
BG
von NS
A kom
prom
itiert→
Reaktion: N
IST
zieht A
lgorithmus(-E
mpfehlung)
zurück [M-R
S]
⇒ 7 P
rob
leme in
1 Jahr
SS
L in
der P
raxis, sic
her? :
16.1
0.2
013 1
1:3
129 v
on 5
9
PK
I: Was sin
d d
ie Pro
blem
e?●
("Trust"): keine Transparenz, viele private Firm
en
● (C
A): jeder darf alles, z.B
. Rechte an andere w
eitergeben
● (C
hain): Prinzip des schw
ächsten Glieds
● (O
CS
P): nicht perform
ant, daher meist abgeschalten;
Privacy!
● (R
evokation): schlechter Mechanism
us
● keine proaktive S
icherheit
○ B
eispiel wäre eine "C
ertificate Positiv List" statt C
RL
● m
ehr als 600 Root-C
A im
Brow
ser
● und dann kom
mt P
aloAlto, N
SA
, MI6, ...
SS
L in
der P
raxis, sic
her? :
16.1
0.2
013 1
1:3
130 v
on 5
9
SS
L: "b
roken
security d
esign
"●
CR
L: was ist w
enn Server nicht erreichbar ist?
● C
RL: w
as ist wenn a
lte CR
L geliefert wird?
● C
RL: P
roblem m
it DN
S-S
poofing
● O
CS
P: P
roblem m
it DN
S-S
poofing
● S
icherheit der Root-C
A hängt am
schwächsten G
lied:⇒
eine der 600 CA
s ...
● ein
e kaputte CA
betrifft alle User
SS
L in
der P
raxis, sic
her? :
16.1
0.2
013 1
1:3
131 v
on 5
9
SS
L/T
LS
: ein S
tand
ard
?E
s gibt viele Implem
entierungen:
● openssl (nur T
LS)
● G
nuTLS
● M
ozilla NS
S
● M
icrosoft SS
PI
● C
hrome S
peedy
● A
dobe, Opera, S
afari, ...
● Java (JS
EE
und javax.net.ssl)
● viele propritäre S
ystem
e ...
SS
L in
der P
raxis, sic
her? :
16.1
0.2
013 1
1:3
132 v
on 5
9
SS
L/T
LS
: ein S
tand
ard
?E
s gibt viele Implem
entierungen:
● openssl (nur T
LS)
● G
nuTLS
● M
ozilla NS
S
● M
icrosoft SS
PI
● C
hrome S
peedy
● A
dobe, Opera, S
afari, ...
● Java (JS
EE
und javax.net.ssl)
● viele propritäre S
ystem
e ...und die m
üssen alle miteinander reden →
Ko
mpatibiltät
SS
L in
der P
raxis, sic
her? :
16.1
0.2
013 1
1:3
133 v
on 5
9
An
griff: R
eneg
otiatio
n●
kann der Server initiieren: [✔
]
● kann der C
lient initiieren: [✗
] → D
oSU
rsache
‒ H
andshake ist nicht symetrisch, d.h.
kryptographische Bere
chnung auf dem S
erver viel kom
plexerals auf dem
Client [P
-RE
], [IET
F].
An
griff
‒ C
lient öffnet wenige (4
00) Sockets, baut
Verbindung auf und fordert jew
eils Renegotiation an.
Maß
nah
me
‒ R
enegotiation nur vom S
erver initiieren
Siehe S
erver based Do
S vulnerabilities in
SS
L/T
LS P
rotocols[W
-DO
] und TH
C-S
SL-D
oS [A
-TH
].
SS
L in
der P
raxis, sic
her? :
16.1
0.2
013 1
1:3
134 v
on 5
9
An
griff: B
EA
ST
BE
AS
T ist ein "block-w
ise chosen-plaintext"-Angriff.
Ursach
e‒
Der B
rowser verschlüsselt den Text und kann
dann auf die Entropie schließ
en. Dadurch w
ird das B
rechender V
erschlüsselung erheblich vereinfacht. [A-C
B], [A
-CP
]A
ng
riff‒
Angreifer fügt bekannten Text am
Anfang ein,
z.B. in U
RL (m
ittels JavaScript im
Brow
ser). [A-B
E]
Maß
nah
me
‒ T
LSv1.2 verw
enden oder C
ipher mit C
BC
deaktivieren, nur RC
4 Cipher.
→ P
roblem seit 2006 (oder sogar 2002 bekan
nt)G
ute Beschreibung http://blogs.m
sdn.com/b/kaushal/archive
/2011/10/03/taming-the
-beast-browser-exploit-against-
ssl-tls.aspx
SS
L in
der P
raxis, sic
her? :
16.1
0.2
013 1
1:3
135 v
on 5
9
An
griff: B
RE
AC
HB
RE
AC
H ist ähnlich w
ie CR
IME
, benutzt aber die S
erver-R
esponse.U
rsache
‒ H
TT
P-K
ompression ve
rrät w
o in denverschlüsselten D
aten bestimm
te Informatione
n stehen.[A
-BR
]A
ng
riff‒
Brow
ser sendet Daten
, die in der Response
reflektiert werden. E
s gibt Tools dafür [C
-BR
].M
aßn
ahm
e‒
HT
TP
-Kom
pression abschalten sonst nur m
itH
ilfe der Anw
endung möglich, z.B
. zufälliger Wert im
HT
TP
-Header.
SS
L in
der P
raxis, sic
her? :
16.1
0.2
013 1
1:3
136 v
on 5
9
An
griff: C
RIM
EU
rsache
‒ T
LS-K
ompression verrät w
o in denverschlüsselten D
aten bestimm
te Informatione
n stehen.A
ng
riff‒
Brow
ser sendet Pakete m
it unterschiedlichlangen P
ayloads, aus der G
röße der verschlüsselten P
aketelässt sich erkennen w
as die D
aten sind. [A-C
R]
Maß
nah
me
‒ K
ompression deaktivie
ren.
SS
L in
der P
raxis, sic
her? :
16.1
0.2
013 1
1:3
137 v
on 5
9
An
griff: P
add
ing
Oracle A
ttackP
roblem bereits 2002 b
eschrieben: CB
C nicht Teil der
Prüfsum
me [A
-OA
]. 2010 E
xploit durch Schw
achstellen(Inform
ation Disclosure
) verschiedenerS
SL-Im
plementierunge
n.U
rsache
‒ S
SL liefert unterschied
liche Fehlerm
eldungen,
wenn C
BC
nicht stimm
t.A
ng
riff‒
verschiedene Pakete senden und F
ehleranalysieren; daraus ka
nn letztendlich der Sch
lüssel(eigenlich der IV
) zurückgerechnet werden. [A
-OP
]M
aßn
ahm
e‒
Cipher m
it CB
C deaktivieren, nur R
C4
Cipher.
SS
L in
der P
raxis, sic
her? :
16.1
0.2
013 1
1:3
138 v
on 5
9
An
griff: L
ucky 13 A
ttackIst i.W
. Erw
eiterung der P
adding Oracel A
ttack. Wenn keine
Fehlerm
eldungen geliefert w
erden, kann man u.U
. über dasZ
eitverhalten Rücksch
lüsse auf korrekte oder falsche Pakete
schließen. [A
-13]M
aßn
ahm
e‒
Cipher m
it "authenticated encryption
algorithm" verw
enden (z.B. A
ES
-GC
M, A
ES
-CC
M) nur m
itT
LS 1.2 m
öglich.
SS
L in
der P
raxis, sic
her? :
16.1
0.2
013 1
1:3
139 v
on 5
9
An
griff: R
C4 B
ias Attack
Prinzip ähnlich w
ie Lucky13.U
rsache
‒ S
tatistische Analyse vieler identischer P
aketeerlaubt R
ückschlüsse auf die V
erschlüsselung.
An
griff
‒ A
ngreifer sendet sehr viele identische (plaintext)
Pakete und analysiert die A
ntworten.
Maß
nah
me
‒ R
C-C
ipher deaktivieren, oder korrigierte
(patched) Versionen ve
wenden.
Siehe B
eschreibung in [A
-RC
].
SS
L in
der P
raxis, sic
her? :
16.1
0.2
013 1
1:3
140 v
on 5
9
An
griff: T
IME
Erw
eiterung der CR
IME
Attacke, A
nalyse der Response statt
des Requests.
Ursach
e‒
Kom
pression verrät wo in den verschlüsselte
nD
aten bestimm
te Informationen stehen.
An
griff
‒ D
urch das Zeitverhalte
n kann der ursprüngliche
Text zeichenweise bestim
mt w
erde. Funktioniert als M
iTM
oder mittels JavaS
cript im B
orwser. [A
-TI]
Maß
nah
me
‒ nur m
it Hilfe der A
nwe
ndung möglich, z.B
.zufälliger W
ert im H
TT
P-H
eader; CS
RF
verhindern.
SS
L in
der P
raxis, sic
her? :
16.1
0.2
013 1
1:3
141 v
on 5
9
An
griff: H
ST
S●
MiT
M is bei allererste
m Z
ugriff erfolgreich!
● W
iderspruch bei maxage
:
○ grosser W
ert → G
efahr von ausgelaufenen,
zurückgezogenen Zertifikaten
○ kleiner W
ert → G
efahr von neuer M
iTM
● Tim
eout beim Tests: viele B
rowser akzeptie
ren dann dieC
hain
● D
NS
-Spoofing (in K
om
bination mit Tim
eouts)
SS
L in
der P
raxis, sic
her? :
16.1
0.2
013 1
1:3
142 v
on 5
9
Too
lsnmap --script ssl-enum-ciphers -p 443 localhostsslscan --no-failed localhost:443ssltest.pl localhost 443ssltest.pl -g localhost 443SSLAudit.pl localhostsslyze localhost --sslv3 --tlsv1 --tlsv1_1 --tlsv1_2sslyze --hide_rejected_ciphers localhost --sslv3 ...TestSSLServer.jar localhostssldiagnos.exe localhosto-saft.pl localhosto-saft.pl localhost:443o-saft.pl -p 443 localhost --enabled
On
line-T
oo
lshttp://w
ww
.ssllabs.com/ https://sslguru.com
/ssl-tools/check-ssl-certificate.html
http://certlogik.com/ssl-checker/ http://w
ww
.sslshopper.com/ssl-checker.htm
l
SS
L in
der P
raxis, sic
her? :
16.1
0.2
013 1
1:3
143 v
on 5
9
O-S
afthelp
To
Do
Glossar
--host d
emo
--port
+
+
+
+
versio
n, cip
hers, in
fo, cip
her, ch
eck
, sizes, sn
i, sni_ch
eck
, quick
, http
, ...
--cip
her yeast
A
LL, M
ED
IUM
, !ED
H, D
EF
AU
LT, y
east ...
--sslv2
--sslv
3
--tlsv1
--no-sslv
2
--no-sslv
3
--no-tlsv
1
--nu
llsslv2
--sni
--no-sn
i --h
ttp
--dn
s --n
o-d
ns
--no-c
ert
--forc
e-o
pen
ssl
--en
ab
led
--d
isab
led
--leg
acy
co
mpact, fu
ll, quick
, ssltest, ssla
udit, ssly
ze, ssld
iagnos, ...
--form
at
hex, ra
w --sh
ort
--sep
ara
tor
--timeou
t
-he
lp=
{com
ma
nd
s,che
ck,leg
acy,co
mp
lian
ce,sco
re}
http
s://ow
asp
.org
/ind
ex.p
hp
/O-S
aft h
ttps://g
ithu
b.co
m/O
WA
SP
/O-S
aft
SS
L in
der P
raxis, sic
her? :
16.1
0.2
013 1
1:3
144 v
on 5
9
Glo
ssarA
DH
‒
Anonym
ous Diffie-H
ellman (auch D
H_anon)
CR
L
‒ C
ertificate Revocation List
DH
E
‒ D
iffie-Hellm
an Ephem
eral
ED
H
‒ E
phemeral D
iffie-Hellm
an
EV
‒
Extended V
alidation
FIP
S
‒ F
IPS
Security R
equirements for C
ryptographic Modules
GC
M
‒ G
alois/Counter M
ode (block cipher mode)
HS
TS
‒
HT
TP
Strict T
ransport Security
OS
CP
‒
Online C
ertificate Status P
rotocol
SN
I ‒
Server N
ame Indication
SS
L in
der P
raxis, sic
her? :
16.1
0.2
013 1
1:3
145 v
on 5
9
Glo
ssar: Attacks
BE
AS
T
‒ B
rowser E
xploit Against S
SL/T
LS
BR
EA
CH
‒ B
rowser R
econnaissance & E
xfiltration via Adaptive C
ompression of
Hypertext
CR
IME
‒
Com
pression Ratio Info-leak M
ade Easy (E
xploit SS
L/TLS
)
Lu
cky13‒
Attack R
C4
RC
4 ‒
Attack R
C4
TIM
E
‒ T
iming Info-leak M
ade Easy
A P
erfect CR
IME
? TIM
E W
ill Tell
SS
L in
der P
raxis, sic
her? :
16.1
0.2
013 1
1:3
146 v
on 5
9
Referen
zen[P
-CC
] Th
e M
os
t Da
ng
ero
us
Co
de
in th
e W
orld
:V
alid
atin
g S
SL
Ce
rtificate
s in N
on
-Bro
wse
r So
ftwa
resh
ma
t_ccs1
2.p
df
[P-R
E] T
LS
/ SS
Lv
3 re
ne
go
tiatio
n v
uln
era
bility
ex
pla
ine
dT
hie
rry Zo
ller, h
ttp://w
ww
.g-se
c.lu, h
ttp://b
log
.zolle
r.lup
ractica
ltls.pd
f
[A-O
A] S
ec
urity
Fla
ws
Ind
uc
ed
by
CB
C P
ad
din
g A
pp
lica
tion
s to
SS
L...
Se
rge
Va
ud
en
ay, E
UR
OC
RY
PT
20
02
http
://ww
w.ia
cr.org
/crypto
db
/arch
ive/2
00
2/E
UR
OC
RY
PT
/28
50
/28
50
.pd
f
SS
L in
der P
raxis, sic
her? :
16.1
0.2
013 1
1:3
147 v
on 5
9
Referen
zen[IE
TF
] TL
S R
en
eg
otia
tion
Vu
lne
rab
ilityh
ttp://to
ols.ie
tf.org
/ag
en
da
/76
/slide
s/tls-7.p
df
[W-D
O] S
erv
er b
as
ed
Do
S v
uln
era
bilitie
s in
SS
L/T
LS
Pro
toc
ols
Su
kalp
Bh
op
le (M
aste
r Th
esis), E
ind
ho
ven
Un
iversity o
f Te
chn
olo
gy
[A-A
D] A
do
be
ha
ck
ed
http
://blo
gs.a
do
be
.com
/asse
t/20
12
/09
/ina
pp
rop
riate
-use
-of-a
do
be
-cod
e-sig
nin
g-ce
rtificate
.htm
l
[W-C
P] C
ho
se
n-p
lain
tex
t atta
ck
http
://en
.wikip
ed
ia.o
rg/w
iki/Ch
ose
n-p
lain
text_
atta
ck
SS
L in
der P
raxis, sic
her? :
16.1
0.2
013 1
1:3
148 v
on 5
9
Referen
zen: S
tand
ards
[W-F
S] P
erfe
ct F
orw
ard
Se
cre
cy
http
://en
.wikip
ed
ia.o
rg/w
iki/Pe
rfect_
forw
ard
_se
crecy
[W-T
S] T
LS
- Tra
ns
po
rt La
ye
r Se
cu
rityh
ttp://e
n.w
ikipe
dia
.org
/wiki/T
ran
spo
rt_L
aye
r_S
ecu
rity
[P-C
A] G
uid
e to
We
bs
erv
er S
SL
Ce
rtifica
tes
http
s://calo
me
l.org
/ssl_ce
rts.htm
l
SS
L in
der P
raxis, sic
her? :
16.1
0.2
013 1
1:3
149 v
on 5
9
Referen
zen: S
tand
ards
[RF
C2
24
6] T
he
Tra
ns
po
rt La
ye
r Se
cu
rity (T
LS
) Pro
toc
ol V
ers
ion
1.0
http
://ww
w.ie
tf.org
/rfc/rfc22
46
.txt
[RF
C4
34
6] T
he
Tra
ns
po
rt La
ye
r Se
cu
rity (T
LS
) Pro
toc
ol V
ers
ion
1.1
http
://ww
w.ie
tf.org
/rfc/rfc43
46
.txt
[RF
C5
24
6] T
he
Tra
ns
po
rt La
ye
r Se
cu
rity (T
LS
) Pro
toc
ol V
ers
ion
1.2
http
://ww
w.ie
tf.org
/rfc/rfc52
46
.txt
[RF
C2
81
8] H
TT
P O
ve
r TL
Sh
ttp://w
ww
.ietf.o
rg/rfc/rfc2
81
8.txt
[RF
C3
54
6] T
ran
sp
ort L
ay
er S
ec
urity
(TL
S) E
xte
ns
ion
s (S
NI)
http
://ww
w.ie
tf.org
/rfc/rfc35
46
.txt
SS
L in
der P
raxis, sic
her? :
16.1
0.2
013 1
1:3
150 v
on 5
9
Referen
zen: E
mp
fehlu
ng
en[W
-CC
] Co
nv
erg
en
ce
Co
nc
ep
th
ttp://e
n.w
ikipe
dia
.org
/wiki/C
on
verg
en
ce_
%2
8S
SL
%2
9[P
-RU
] Le
ss
on
s L
ea
rne
d F
rom
Pre
vio
us
SS
L/T
LS
Atta
ck
sA
Brie
f Ch
ron
olo
gy O
f Atta
cks An
d W
ea
kne
sses
Ch
ristop
he
r Me
yer u
nd
Jörg
Sch
we
nk, H
orst G
örtz In
stitute
for IT
-Se
curity, R
uh
r-Un
iversity B
och
um
[7] S
SL
/TL
S D
ep
loy
me
nt B
es
t Pra
ctic
es
,Ivan
Ristić
http
s://ww
w.sslla
bs.co
m/d
ow
nlo
ad
s/SS
L_
TL
S_
De
plo
yme
nt_
Be
st_P
ractice
s_1
.2.p
df
[P-S
G] X
.50
9 S
tyle
Gu
ide
, Pe
ter G
utm
an
nh
ttp://w
ww
.cs.au
cklan
d.a
c.nz/~
pg
ut0
01
/pu
bs/x5
09
gu
ide
.txt[P
-UF
] Se
cu
rity U
sa
bility
Fu
nd
am
en
tals
, Pe
ter G
utm
an
nh
ttp://w
ww
.cs.au
cklan
d.a
c.nz/~
pg
ut0
01
/pu
bs/u
sab
ility.pd
f[P
-CP
] Ce
rtifica
te P
inn
ing
Ex
ten
sio
n fo
r HS
TS
, Ch
ris Eva
ns, C
hris P
alm
er
http
://too
ls.ietf.o
rg/h
tml/d
raft-e
van
s-pa
lme
r-hsts-p
inn
ing
-00
pd
fnS
TR
d9
kYcY
.pd
f
SS
L in
der P
raxis, sic
her? :
16.1
0.2
013 1
1:3
151 v
on 5
9
Referen
zen: A
ttacks[A
-BE
] BE
AS
T , Ju
lian
o R
izzo, T
ha
i Du
on
gh
ttp://w
ww
.kb.ce
rt.org
/vuls/id
/86
46
43
http
://blo
gs.m
sdn
.com
/b/ka
ush
al/a
rchive
/20
11
/10
/03
/tam
ing
-the
-be
ast-b
row
ser-e
xplo
it-ag
ain
st-ssl-tls.a
spx
A C
ha
llen
gin
g b
ut F
ea
sible
Blo
ckwise
-Ad
ap
tive C
ho
sen
-Pla
inte
xt Atta
ck on
SS
L
[A-B
R] B
RE
AC
H , Y
oe
l Glu
ck, Ne
al H
arris, Á
ng
el P
rad
oh
ttp://w
ww
.kb.ce
rt.org
/vuls/id
/98
77
98
http
://bre
ach
atta
ck.com
/reso
urce
s/BR
EA
CH
%2
0-%
20
SS
L,%
20
go
ne
%2
0in
%2
03
0%
20
seco
nd
s.pd
f
[A-C
R] T
he
CR
IME
atta
ck
, Julia
no
Rizzo
, Th
ai D
uo
ng
http
s://do
cs.go
og
le.co
m/p
rese
nta
tion
/d/1
1e
Bm
GiH
bY
cHR
9g
L5
nD
yZC
hu
_-lC
a2
Gize
uO
faL
U2
HO
U/e
dit?
pli=
1#
slide
=id
.g1
de
53
28
8_
0_
16
http
://arste
chn
ica.co
m/se
curity/2
01
2/0
9/crim
e-h
ijacks-h
ttps-se
ssion
s/
SS
L in
der P
raxis, sic
her? :
16.1
0.2
013 1
1:3
152 v
on 5
9
Referen
zen: A
ttacks[A
-00
] Nu
ll Pre
fix A
ttac
ks
Ag
ain
st S
SL
/TL
S C
ertific
ate
sM
oxie
Ma
rlinsp
ike, 0
7/2
00
9 (u
sing
sslsniff)
http
://ww
w.th
ou
gh
tcrime
.org
/pa
pe
rs/nu
ll-pre
fix-atta
cks.pd
f
[A-1
3] L
uc
ky
Th
irtee
n a
ttac
kN
ad
he
m J. A
lFa
rda
n a
nd
Ke
nn
eth
G. P
ate
rson
, Ro
yal H
ollo
wa
y, Un
iversity o
f Lo
nd
on
http
://ww
w.isg
.rhu
l.ac.u
k/tls/Lu
cky13
.htm
lh
ttps://w
ww
.imp
eria
lviole
t.org
/20
13
/02
/04
/luckyth
irtee
n.h
tml
[A-P
J] Pe
erJ
ac
kin
g (P
rob
lem
in P
HP
's c
UR
L)
http
://ww
w.u
nre
st.ca/p
ee
rjackin
g
[A-O
P] P
rac
tica
l Pa
dd
ing
Ora
cle
Atta
ck
sJu
lian
o R
izzo, T
ha
i Du
on
g, U
SE
NIX
WO
OT
20
10
.h
ttp://w
ww
.use
nix.o
rg/e
ven
t/wo
ot1
0/te
ch/fu
ll_p
ap
ers/R
izzo.p
df
SS
L in
der P
raxis, sic
her? :
16.1
0.2
013 1
1:3
153 v
on 5
9
Referen
zen: A
ttacks[A
-RC
] RC
4 a
ttac
kN
ad
he
m J. A
lFa
rda
n, D
an
Be
rnste
in, K
en
ny G
. Pa
terso
n, B
ertra
m P
oe
tterin
g a
nd
Jaco
b S
chu
ldt, R
oya
lH
ollo
wa
y, Un
iversity o
f Lo
nd
on
http
://ww
w.isg
.rhu
l.ac.u
k/tls/h
ttp://b
log
.crypto
gra
ph
yen
gin
ee
ring
.com
/20
13
/03
/atta
ck-of-w
ee
k-rc4-is-kin
d-o
f-bro
ken
-in.h
tml
[A-S
A] C
ertific
ate
sp
oo
fing
with
su
bje
ctA
ltNa
me
an
d d
om
ain
na
me
wild
ca
rds
Nils T
oe
dtm
an
nh
ttp://n
ils.toe
dtm
an
n.n
et/p
ub
/sub
jectA
ltNa
me
.txt
[A-T
I] A P
erfe
ct C
RIM
E?
TIM
E w
ill tell , T
al B
e'e
ry, Am
icha
i Sh
ulm
an
http
s://ww
w.o
wa
sp.o
rg/im
ag
es/e
/eb
/A_
Pe
rfect_
CR
IME
_T
IME
_W
ill_T
ell_
-_T
al_
Be
ery.p
df
SS
L in
der P
raxis, sic
her? :
16.1
0.2
013 1
1:3
154 v
on 5
9
Referen
zen: A
ttacks[A
-TH
] TH
C-S
SL
-Do
S , T
he
Ha
ckers C
ho
iceh
ttp://w
ww
.thc.o
rg/th
c-ssl-do
s/
[A-IS
] IDN
ho
mo
gra
ph
sp
oo
fing
, Eric Jo
ha
nso
nh
ttp://w
ww
.shm
oo
.com
/idn
/ho
mo
gra
ph
.txt
[A-B
S] D
id N
SA
Pu
t a S
ec
ret B
ac
kd
oo
r in N
ew
En
cry
ptio
n S
tan
da
rd?
, Bru
ce S
chn
eie
rh
ttp://w
ww
.wire
d.co
m/p
olitics/se
curity/co
mm
en
tary/se
curitym
atte
rs/20
07
/11
/secu
rityma
tters_
11
15
ba
sed
on
:h
ttp://e
prin
t.iacr.o
rg/2
00
6/1
90
, http
://ep
rint.ia
cr.org
/20
07
/04
8
[A-F
S] H
ow
to b
otc
h T
LS
forw
ard
se
cre
cy
http
s://ww
w.im
pe
rialvio
let.o
rg/2
01
3/0
6/2
7/b
otch
ing
pfs.h
tml
SS
L in
der P
raxis, sic
her? :
16.1
0.2
013 1
1:3
155 v
on 5
9
Referen
zen: M
aßn
ahm
en[M
-BE
] Mitig
atin
g th
e B
EA
ST
atta
ck
on
TL
S , Iva
n R
istićh
ttps://co
mm
un
ity.qu
alys.co
m/b
log
s/secu
ritylab
s/20
11
/10
/17
/mitig
atin
g-th
e-b
ea
st-atta
ck-on
-tlsh
ttps://co
mm
un
ity.qu
alys.co
m/b
log
s/secu
ritylab
s/20
13
/08
/07
/de
fen
din
g-a
ga
inst-th
e-b
rea
ch-a
ttack
[M-B
R] D
efe
nd
ing
ag
ain
st th
e B
RE
AC
H a
ttac
k , Iva
n R
istićh
ttps://co
mm
un
ity.qu
alys.co
m/b
log
s/secu
ritylab
s/20
13
/08
/07
/de
fen
din
g-a
ga
inst-th
e-b
rea
ch-a
ttack
[M-R
C] R
C4
in T
LS
is B
rok
en
: No
w W
ha
t? , Iva
n R
istićh
ttps://co
mm
un
ity.qu
alys.co
m/b
log
s/secu
ritylab
s/20
13
/03
/19
/rc4-in
-tls-is-bro
ken
-no
w-w
ha
t
SS
L in
der P
raxis, sic
her? :
16.1
0.2
013 1
1:3
156 v
on 5
9
Referen
zen: M
aßn
ahm
en[M
-RS
] RS
A T
ells
Its D
ev
elo
pe
r Cu
sto
me
rs: S
top
Us
ing
NS
A-L
ink
ed
Alg
orith
mh
ttp://w
ww
.wire
d.co
m/th
rea
tleve
l/20
13
/09
/rsa-a
dviso
ry-nsa
-alg
orith
m/
[M-C
R] H
ow
to b
ea
t the
BE
AS
T s
uc
ce
ss
or?
http
://secu
rity.stacke
xcha
ng
e.co
m/q
ue
stion
s/19
91
1/crim
e-h
ow
-to-b
ea
t-the
-be
ast-su
ccesso
r/19
91
4
[M-S
S] A
TT
AC
KS
ON
SS
L A
CO
MP
RE
HE
NS
IVE
ST
UD
Yw
ww
.isecp
artn
ers.co
m/m
ed
ia/1
06
03
1/ssl_
atta
cks_su
rvey.p
df
SS
L in
der P
raxis, sic
her? :
16.1
0.2
013 1
1:3
157 v
on 5
9
Referen
zen: u
nso
rtiert[x-xx] U
se
of R
SA
Alg
orith
m w
itho
ut O
AE
Ph
ttp://cw
e.m
itre.o
rg/d
ata
/de
finitio
ns/7
80
.htm
l
[A-C
B] N
ot U
sin
g a
Ra
nd
om
IV w
ith C
BC
Mo
de
http
://cwe
.mitre
.org
/da
ta/d
efin
ition
s/32
9.h
tml
[A-C
P] C
ho
se
n-p
lain
tex
t attc
k w
ith IV
ag
ain
st c
iph
er w
ith C
BC
mo
de
http
://ww
w.m
ail-a
rchive
.com
/op
en
ssl-de
v@o
pe
nssl.o
rg/m
sg1
06
64
.htm
l
[C-B
R] B
RE
AC
H c
od
eh
ttps://g
ithu
b.co
m/n
ea
lha
rris/BR
EA
CH
[x-MZ
] No
t bin
din
g X
.50
9 c
ertific
ate
to o
rigin
atin
g d
om
ain
na
me
allo
ws
ce
rtifica
te s
po
ofin
gh
ttps://b
ug
zilla.m
ozilla
.org
/sho
w_
bu
g.cg
i?id
=4
02
34
7
[B-A
N] A
nd
roid
-Ve
rsc
hlü
ss
elu
ng
wu
rde
ve
rsc
hlim
mb
es
se
rth
ttp://w
ww
.he
ise.d
e/se
curity/m
eld
un
g/A
nd
roid
-Ve
rschlu
esse
lun
g-w
urd
e-ve
rschlim
mb
esse
rt-19
79
57
2.h
tml
SS
L in
der P
raxis, sic
her? :
16.1
0.2
013 1
1:3
158 v
on 5
9
SS
L in
der P
raxis, sic
her? :
16.1
0.2
013 1
1:3
159 v
on 5
9