กระบวนการเข้ารหัสเก่าๆ ที่เคยมีความแข็งแกร่งเมื่อนานไปความแข็งแกร่งก็ไม่เพียงพอที่จะป้องกันข้อมูลได้อีกต่อไป ล่าสุดนักวิจัยจากสถาบันวิจัย INRIA ฝรั่งเศส ได้นำเสนอรายงาน SWEET32 สาธิตการเจาะข้อมูลเข้ารหัส เมื่อข้อมูลถูกส่งซ้ำๆ ผ่านการเข้ารหัสแบบ block cipher ขนาด 64 บิต
เนื่องจากบล็อคขนาด 64 บิตมีขนาดไม่ใหญ่เกินไปนัก โอกาสที่เข้ารหัสแล้วจะเจอบล็อคที่มีข้อมูลซ้ำกันจะอยู่ที่ประมาณ 2^32.3 (จำนวนบล็อคน้อยกว่าความเป็นไปได้ทั้งหมด 2^64 มากตามหลัก birthday attack ) บล็อค เมื่อเจอบล็อคที่ซ้ำกันแล้ว หากมีบล็อคหนึ่งเป็นบล็อคที่รู้ข้อความภายในอยู่แล้ว ก็จะสามารถดูข้อความที่ไม่รู้ได้ทันที
ทีมงานวิจัยสาธิตการโจมตีด้วยการเขียนจาวาสคริปต์ บังคับให้เบราว์เซอร์ส่ง HTTP request จำนวนมากๆ ไปยังเซิร์ฟเวอร์ ภายใต้การเชื่อมต่อเดียวกันจนกระทั่งพบบล็อคที่เข้ารหัสและมีข้อมูลตรงกัน การส่ง HTTP request ทำให้แฮกเกอร์สามารถคาดเดาข้อความในบางบล็อคได้โดยง่ายเพราะเป็น HTTP header และหากอีกบล็อคหนึ่งเป็นข้อความลับ เช่น cookie หรือ HTTP Authorization ข้อความก็จะหลุดออกมาได้
ในรายงาน ทีมงานสาธิตการกู้ข้อความ HTTP Authorization ออกมาจากการเชื่อมต่อ HTTP ที่ซ่อนไว้ใน OpenVPN และกู้ cookie ออกมาจากการเชื่อมต่อ HTTPS
การโจมตี SWEET32 จะต้องเชื่อมต่อด้วยการเข้ารหัส block cipher แบบ 64 บิตเท่านั้นการเข้ารหัส AES ที่ใช้บล็อคขนาด 128 บิตยังมีขนาดใหญ่เกินไปจนแทบเป็นไปไม่ได้ อย่างไรก็ดี การเชื่อมต่อแบบ block cipher 64 บิตยังมีใช้งานอยู่มาก รายงานออกมาเช่น
- IPSec รองรับ 3DES และใน VPN ของไมโครซอฟท์เมื่อเชื่อมต่อ L2TP จะเลือกใช้ 3DES เป็นค่าเริ่มต้น
- OpenVPN แบบ pre-shared-key จะใช้ Blowfish แบบบล็อคขนาด 64 บิต เป็นค่าเริ่มต้น
- TLS รองรับ 3DES ที่มีขนาดบล็อค 64 บิต และเว็บเซิร์ฟเวอร์จำนวนมากยังรองรับ
- KASUMI ที่ใช้เข้ารหัส UMTS (3G) ก็เป็น block cipher ขนาด 64 บิต
ทีมงานแจ้งเตือนผู้ผลิตไปล่วงหน้า ตอนนี้หลายโครงการออกมาตรการเพิ่มเติม
- OpenVPN 2.3.12 จะแจ้งเตือนว่าการเข้ารหัสอาจจะไม่ปลอดภัย และในรุ่นต่อๆ ไปจะเริ่มรองรับ AES
- OpenSSL ปรับลดความปลอดภัยของ 3DES จาก HIGH เหลือ MEDIUM และจะปิดการทำงานในรุ่น 1.1.0
- Akamai จะเปิดเมนูให้ลูกค้าปิดการใช้งาน 3DES
- Mozilla จะจำกัดข้อมูลที่ส่งด้วยกุญแจเดียวกันได้
- ไมโครซอฟท์ยกเลิก 3DES ออกจาก TLS False Start
การโจมตี SWEET32 นี้ดูจะยังไม่สามารถใช้งานจริงได้เร็วๆ นี้ เพราะต้องวางสคริปต์บนเบราว์เซอร์เหยื่อได้ และต้องดักฟังข้อมูลจำนวนมาก แต่หากกังวลก็สามารถแก้ไขเบื้องต้นก่อนอัพเดตซอฟต์แวร์ ได้ตั้งแต่การลดลำดับการเชื่อมต่อแบบ 3DES ลงหรือยกเลิกไปเลย, การจำกัดการเรียกหน้าเว็บต่อการเชื่อมต่อแต่ละครั้ง, และการคอนฟิกให้ OpenVPN เชื่อมต่อใหม่เมื่อส่งข้อมูลครบตามกำหนด
ที่มา - SWEET32 , ArsTechnica
Comments
ดีนะที่ VPN ผมเลือกใช้ IKEv2 (ซึ่ง ยังรอดอยู่ใช่มั้ย?)
เหมือนตกม้าตายแบบ ไฮฮิตเลอ หริอปล่าว
ต้องเข้ารหัสแบบ AES 128 bit ถึงจะปลอดภัยจาก SWEET32