ログジャム(コンピュータセキュリティ)

Logjamは、同じ素数を用いたDiffie-Hellman鍵交換システムにおけるセキュリティ上の脆弱性です。これはコンピュータ科学者のチームによって発見され、2015年5月20日に公表されました。 [ 1 ]発見者たちは、512ビット(米国輸出グレード)のDHシステムに対する攻撃を実証しました。彼らは、国家レベルの攻撃者が当時広く使用されていた1024ビットのシステムに対しても同様の攻撃を仕掛けることができ、インターネットトラフィックのかなりの部分を解読できると推定しました。彼らは、共有素数システムについては少なくとも2048ビットへのアップグレードを推奨しました。[ 2 ] [ 3 ] [ 4 ]

詳細

ディフィー・ヘルマン鍵交換の安全性は、離散対数問題を解くことの困難さという仮定に依存している。著者らは、離散対数を求める最も効果的な方法である数体ふるいアルゴリズムが 4 つの大きな計算ステップで構成され、そのうち最初の 3 つはグループ G の位数にのみ依存し、有限対数を求める特定の数には依存しないという事実を利用した。最初の 3 ステップの結果を事前に計算して保存しておけば、それを使用してその素数グループの離散対数問題を比較的短時間で解くことができる。この脆弱性は 1992 年にはすでに知られていた。[ 5 ]多くのインターネット トラフィックは、位数が 1024 ビット以下の少数のグループのうちの 1 つだけを使用していることが判明している。

著者らが実証したこの脆弱性によって可能になるアプローチの一つは、中間者攻撃ネットワーク攻撃者を用いてトランスポート層セキュリティ(TLS)接続を512ビットDH輸出グレード暗号にダウングレードし、交換されたデータを読み取ったり、接続にデータを挿入したりするというものだった。これは、HTTPSSMTPSIMAPSなどのプロトコルに影響を与える。著者らは、512ビットの素数1つ分のデータを事前計算するのに、1週間で数千のCPUコアを必要とした。しかし、それが完了すると、18コアのIntel Xeon CPU 2基を使って、個々の対数を約1分で解くことができるようになった。[ 6 ] CVE IDはCVE - 2015-4000である。[ 7 ]

著者らは、1024ビットのDiffie-Hellman素数に対する攻撃の実現可能性も推定した。設計上、多くのDiffie-Hellman実装では、それぞれの体に対して同じ事前生成済みの素数を使用する。離散対数問題は、たとえ素数がわかっていて再利用できたとしても、十分に大きな素数に対しては依然として困難であると考えられるため、これは安全であると考えられていた。研究者らは、1024ビットの素数1つに対してlogjam事前計算を作成するコストを数億ドルと算出し、これが2012会計年度の105億ドルの米国統合暗号プログラム( NSAを含む)の範囲内であると指摘した。素数の再利用により、たった1つの素数の事前計算を生成するだけで、世界中のVPNの3分の2とSSHサーバーの4分の1を破ることができる。研究者らは、この攻撃は、NSAが現在の暗号の多くを破ることができるという、NSAの漏洩した文書の主張に適合すると指摘した。彼らは、防御策として2048ビット以上の素数を使用するか、楕円曲線ディフィー・ヘルマン(ECDH)に切り替えることを推奨している。[ 1 ] しかし、この攻撃の実際的な影響に関する主張は、セキュリティ研究者のエヤル・ロネンとアディ・シャミールの論文「不完全な前方秘匿性の批判的レビュー」で反論されている。[ 8 ]

回答

参照

参考文献

  1. ^ a b「The Logjam Attack」 . weakdh.org . 2015年5月20日. 2021年3月29日時点のオリジナルよりアーカイブ。 2015年5月20日閲覧
  2. ^ Dan Goodin (2015年5月20日). 「HTTPSを悪用した攻撃が数万台のWebサーバーとメールサーバーを脅かす」 Ars Technica . 2017年5月19日時点のオリジナルよりアーカイブ。 2022年4月30日閲覧
  3. ^ Charlie Osborne (2015年5月20日). 「Logjamのセキュリティ欠陥により、主要なHTTPSウェブサイトとメールサーバーが脆弱になる」 ZDNet . 2015年5月23日時点のオリジナルよりアーカイブ2015年5月23日閲覧。
  4. ^ Valentino-DeVries, Jennifer (2015年5月19日). 「新たなコンピュータバグが広範なセキュリティ欠陥を露呈」 . The Wall Street Journal . 2022年2月24日時点のオリジナルよりアーカイブ。 2022年4月30日閲覧
  5. ^ Whitfield Diffie、Paul C. Van Oorschot、Michael J. Wiener「認証と認証鍵交換」、Designs, Codes and Cryptography、2、107–125 (1992)、セクション5.2、 Method and apparatus for enhancement and distributing softwareの付録Bとして入手可能:「 qが正しく選択されている場合、 qを法とする対数を抽出するにはに比例する事前計算が必要ですが、その後は個々の対数をかなり迅速に計算できます。」Lqelnq×lnlnq{\displaystyle L(q)=e^{\sqrt {\ln q\times \ln \ln q}}}
  6. ^ Adrian, David; Bhargavan, Karthikeyan; Durumeric, Zakir; Gaudry, Pierrick; Green, Matthew; Halderman, J. Alex; Heninger, Nadia ; Springall, Drew; Thomé, Emmanuel; Valenta, Luke; VanderSloot, Benjamin; Wustrow, Eric; Zanella-Béguelin, Santiago; Zimmermann, Paul (2015年10月). 「Imperfect Forward Secrecy: How Diffie-Hellman Fails in Practice」(PDF) . 2020年2月27日時点のオリジナルよりアーカイブ(PDF) . 2015年5月23日閲覧元々はProc. 22nd Conf. on Computers and Communications Security (CCS)に掲載されました。CACM、2019年1月、pp. 106-114に、Dan Bonehによる技術的展望「Attaching Cryptographic Key Exchange with Precomputation」(p. 105)を添えて再掲載されました。
  7. ^ 「CVE-2015-4000」共通脆弱性識別子リスト(Common Vulnerabilities and Exposures List)。MITRE Corporation。2015年5月15日。2015年8月11日時点のオリジナルよりアーカイブ。 2015年6月16日閲覧 「TLS プロトコル 1.2 以前では、DHE_EXPORT 暗号スイートがサーバー側で有効になっているがクライアント側では有効になっていない場合、DHE_EXPORT の選択が適切に伝達されません。そのため、中間者攻撃者が ClientHello を DHE から DHE_EXPORT に書き換え、次に ServerHello を DHE_EXPORT から DHE に書き換えることにより、暗号ダウングレード攻撃を実行できます。これはいわゆる「Logjam」問題です。」
  8. ^ Ronen, Eyal; Shamir, Adi (2015年10月). 「Imperfect Forward Secrecyの批判的レビュー」(PDF) . 2021年12月11日時点のオリジナルよりアーカイブ(PDF) . 2022年4月30日閲覧
  9. ^ 「Microsoft セキュリティ情報 MS15-055. Schannel の脆弱性により情報漏えいが起こる可能性がある (3061518)」Microsoft Corporation。2015年5月12日。2015年7月3日にオリジナルからアーカイブ。 2015年7月2日閲覧このセキュリティ更新プログラムは、Microsoft Windows に存在する、公開されている Logjam 技術の悪用を容易にする脆弱性を解決します。[...] このセキュリティ更新プログラムは、DHE キーの最小許容長を1024ビットに増やすことで、この脆弱性に対処します。
  10. ^ Perry, Mike (2015年6月16日). 「Torブラウザ4.5.2がリリースされました」 . Torプロジェクト. 2015年6月20日時点のオリジナルよりアーカイブ2015年6月20日閲覧。
  11. ^ 「OS X Yosemite v10.10.4のセキュリティコンテンツとセキュリティアップデート2015-005について」。Apple Inc. 2017年1月23日。Logjamとしても知られるこの問題は、[...] DH一時キーに許可されるデフォルトの最小サイズを768ビットに増やすことで解決されました。
  12. ^ 「iOS 8.4のセキュリティコンテンツについて」。Apple Inc. 2020年8月18日。Logjamとしても知られるこの問題は、[...] DH一時キーに許可されるデフォルトの最小サイズを768ビットに増やすことで解決されました。
  13. ^ 「Mozilla Foundation セキュリティアドバイザリ 2015-70 - NSS は、通常の DHE 暗号スイートでエクスポート長の DHE 鍵を受け入れる」。Mozilla 2015年7月7日にオリジナルからアーカイブ2015年7月4日閲覧。Firefox 39.0 で修正済み [...] この攻撃は [...]「Logjam 攻撃」として知られています。この問題は、NSS バージョン 3.19.1 で修正され、サポートされる DHE 鍵の強度を 1023 ビット素数に制限しました。
  14. ^ Zhi, Vivian (2015年9月1日). 「Stable Channel Updates」 . Chrome Releases . 2015年10月16日時点のオリジナルよりアーカイブ。 2015年11月6日閲覧
「 https://en.wikipedia.org/w/index.php?title=Logjam_(computer_security)&oldid=1279897055」より取得