ハッシュ衝突でTLSを破るSLOTH攻撃(CVE-2015-7575)とは何か - ぼちぼち日記

0. 簡単なSLOTH攻撃のまとめ 最初に簡単なまとめを書いておきます。長文になりそうなので、読むのが大変な方はここだけ見ておいてください。 MD5ハッシュは既に安全ではなく、証明書の署名方式での利用は停止されていたが、後方互換のためハンドシェイクデータの署名方式にRSA-MD5が今でも利用できるTLS実装が幾つか存在していた(Firefox NSS, Java等)。 先週、INRIAグループからハッシュ衝突を利用して実際にTLSを破る攻撃(SLOTH)が公開された。それを受け、いくつかの実装でRSA-MD5を完全に利用不能にする修正が行われた(CVE-2015-7575)。 SLOTHでは、SHA1やTLS、IKE、SSHに対する攻撃についても評価を行い、幾つかは全く現実的に不可能なレベルではないことが示された。MD5とSHA-1でTLSハンドシェイクの完全性を担保しているTLS1.0/

[kumokaji]

Chosen-Prefixのやつ

[naga_sawa]

セキュリティは計算パワーで担保されてるってのを痛感させられる話/アルゴリズムがなんであれ、ハッシュを衝突できてパラメータチェックの甘い実装があれば抜かれると

[tmatsuu]

途中から理解が追いつかなくなった

[kamei_rio]

"MD5ハッシュ衝突の計算処理の効率化とTLS仕様の隙間を組み合わせることによって、TLSのハンドシェイクに対する現実的で具体的な攻撃手法が編み出されました"

[mikage014]

"このChosen-Prefixの衝突計算は、効率化による省メモリ化や並列処理の改善によって現在48コアで１時間程度で計算が可能なようです"

[stealthinu]

すんごい長くて途中でめげた。TLS1.2は？？というのが一番の気がかりだったんだけど大丈夫っぽい。そこは大変良かった。

[field_combat]

メモ

[mkusunok]

またTLSに脆弱性ですかい

[tako-two]

やっぱり 1.2 も書かないとなあ

[u-ichi]

中長期的に影響でかそうだなぁ、これ ハッシュ衝突でTLSを破るSLOTH攻撃(CVE-2015-7575)とは何か - ぼちぼち日記

[indication]

ハッシュを同一にする…できるのがすごい

[bata64]

ヤバいのは分かったが、仕事での影響(脆弱性対策やらされるのか)が一番の関心事だったりする。。。

[causeless]

TLS拡張を使ってMD5衝突おこしてDHパラメータをいじる。DHE-RSA-MD5はさすがに使ってなさそうだけどSHA1は辛そう

[tetsutalow]

SLOTH攻撃の有り難い解説。Client認証は日本では法人向けネットバンキングによく使われているけど、他だとどこに使われてるでしょうか。

[teketeke_55]

あとでよむ

[riyokotter]

“SLOTH”

[oono_n]

あー、なるほどね。

[six13]

メモ

[burnworks]

『攻撃者はクライアントの秘密鍵の情報を盗む必要はありません。攻撃者は、秘密鍵情報にアクセスすることなく署名検証を成功させ、なりすましを行うことが可能になります』

[digitalglm]

ハッシュ衝突でTLSを破るSLOTH攻撃(CVE-2015-7575)とは何か - ぼちぼち日記: ハッシュ衝突でTLSを破るSLOTH攻撃(CVE-2015-7575)とは何か - ぼちぼち日記

[hamasyou_bot]

メモ: ハッシュ衝突でTLSを破るSLOTH攻撃(CVE-2015-7575)とは何か - ぼちぼち日記 (id:jovi0608 / @jovi0608)

[vvakame]

"秘密鍵の漏洩がなくてもなりすましが成功する"

[Horiuchi_H]

SLOTH攻撃。TLS1.0、TLS1.1も既に危なくなってきた。TLSサーバのMD5のサポートはちゃんと廃止が必要。