- 조사 결과
- 전문가는 무엇을 말해야합니까?
- 당신은 무엇을 할 수 있나요?
데이터가 안전하다고 생각되면 다시 생각하십시오. 학술 연구에 따르면 TLS 1.3 취약성으로 인해 해커는 이제 보안 채널을 활용할 수 있고 악의적 인 의도로 데이터를 수집 할 수 있습니다.
이 연구 보고서는 Tel Aviv University, University of Adelaide 및 University of Michigan과 Weizmann Institute에서 출간되었습니다. 또한, NCC Group과 Data61도 비슷한 결론을 내렸다.
조사 결과
이 공격은 과거 Bleichenbacher 오라클 공격의 수정 버전입니다.이 공격은 과거에는 공개 키 암호화를 사용하여 RSA 암호화 메시지를 해독 할 수있었습니다.
그러나이 새로운 물결은 TLS 프로토콜 중 최신 버전 인 TLS 1.3에 대해 작동하려고합니다. 당국은 안전하다고 믿었지만 분명히 그렇지 않습니다.
TLS 1.3은 RSA 키 교환을 지원하지 않기 때문에 연구원은 공격을 평가하기 위해 TLS 1.2와 같은 다운 그레이드 버전을 진행하는 것이 가장 좋습니다.
결과적으로 다운 그레이드 공격을 우회하는 서버 측 및 클라이언트 측과 같은 다운 그레이드 완화가 가능합니다. 따라서 더 큰 RSA 키가있는 경우 이러한 공격이 방지 될 수 있고 핸드 셰이크 시간 초과가 줄어들 수 있다고 결론지었습니다.
9 개의 서로 다른 TLS 구현을 연구했습니다. BearSSL과 Google의 BoringSSL이 안전했던 OpenSSL, Amazon s2n, MbedTLS, Apple CoreTLS, Mozilla NSS, WolfSSL 및 GnuTLS 등이 있습니다. 다른 모든 것들은 여전히 취약했다.
전문가는 무엇을 말해야합니까?
Venafi의 Broderick Perelli-Harris 소장은 공격의 수에 관한 한 Bleichenbacher의 변종으로 1988 년 이래로 폭음을 일으켰다 고 생각합니다. 따라서 TLS 1.3이 취약한 것은 놀라운 일이 아닙니다.
ESET UK의 사이버 보안 전문가 인 Jake Moore는 암호화 성질의 공격이 처음이 아니며 그 종류의 마지막이 아닐 것이라고 생각합니다. 그는 또한 Whac-A-Mole 게임과 비슷하다고 생각합니다. 보안 픽스가 적용될 때마다 또 다른 팝업이 나타납니다.
당신은 무엇을 할 수 있나요?
전체적으로이 결함은 TLS 암호화 프로토콜의 원래 구성에 있습니다. 그러나 지금은 프로토콜 패칭의 디자인으로 인해 유일한 방법입니다.
그 동안 자신을 보호하기 위해 할 수있는 일은 무엇입니까? 이중 인증 (2FA)을 사용하고 맬웨어 방지 / 바이러스 백신 소프트웨어 업데이트, 강력한 암호 설정 및 Ivacy와 같은 적절한 VPN 서비스를 유지하십시오.
