TLS协议实现漏洞深度剖析

### TLS 协议实现漏洞深度剖析 #### 1. 解析问题引发的安全漏洞 在网络安全领域，解析攻击者控制的数据是一个极易出错的过程，稍有不慎就可能引发安全漏洞。下面我们通过几个具体的案例来深入了解。 ##### 1.1 空字符解析漏洞 部分浏览器（如 Firefox）会将空字符视为字符串的结束，这就为攻击者提供了可乘之机。假设攻击者控制了 evil.com 域，他们可以请求为 www.mybank.com\0.evil.com 域颁发证书，其中 \0 为空字符。而认证机构（CA）若只是简单提取顶级域名 evil.com 并向 [email protected] 发送验证邮件，攻击者就能获取证书，进而利用该证书在易受攻击的浏览器上冒充 www.mybank.com。这一案例表明，当不同实现对同一元素的解释不一致时，攻击者就可能利用这个漏洞。 ##### 1.2 OpenSSL 降级攻击（CVE - 2014 - 3511） TLS 允许对同类型的记录进行拆分和合并，但规范中对于允许和禁止的操作并不总是清晰明确。在某些情况下，由于握手消息可能长达 16 MB，而 TLS 记录限制为 16 KB，因此需要对记录进行拆分。2014 年 7 月，Benjamin 和 Langley 发现，当 OpenSSL 接收到被拆分成非常小记录的 ClientHello 消息时，会出现异常行为。解析第一个 ClientHello 片段时，实现至少需要 6 个字节的记录有效负载来识别提议的协议版本。若缺少此信息，OpenSSL 无法提取正确的版本，会系统地使用 TLS 1.0 而不是等待完整的 ClientHello 消息。此外，由于只有记录的聚合内容受到完整性保护，攻击者可以轻松更改握手消息的拆分方式而不被察觉。为修复此漏洞，OpenSSL 开发者选择拒绝过小的 ClientHello 片段，尽管这不符合规范，但另一种实现方式被认为过于复杂。 ##### 1.3 NSS/CyaSSL/PolarSSL 签名伪造（CVE - 2014 - 1568） 2014 年 9 月，研究人员发现了一个可绕过多个 TLS 客户端服务器认证的漏洞，该漏洞影响了 NSS（Firefox 加密库）、CyaSSL 和 PolarSSL。其根源在于解析 DER 编码的 RSA 签名的代码。DER 是 ASN.1 的具体表示形式，要求每个抽象值有且仅有一个正确的表示。此漏洞是 2006 年 Bleichenbacher 攻击的变体，攻击者需要满足三个条件才能利用该漏洞：找到公指数等于 3 的 RSA 密钥；ASN.1 DER 解析器过于宽松，接受非规范编码的值；DER 长度计算可能会静默溢出。修复此漏洞的明显方法是使用严格的 DER 解析器，甚至可以通过反转签名验证过程来避免解析步骤：生成包含预期 DigestInfo 的消息 m⋆，计算 m = se 并将 m 与 m⋆ 进行比较。 ##### 1.4 解析问题的经验教训 从上述案例可以看出，不能简单地将这些解析问题归结为编程实践不佳。虽然开发者有一定责任，但复杂或规范不明确的协议和格式也是导致错误的重要原因。解析攻击者控制的数据时，只要解析过程不直接明了且可能导致歧义，就可能出现安全漏洞。所谓的“健壮性原则”（在接收时宽松，在发送时保守）在安全方面是错误的建议，应始终保持保守，并报告规范中的混淆之处。为提高安全性，可以编写严格的解析器，避免暴露解析器（例如比较具体表示而不是抽象解析后的表示），并对解析器进行边界情况的压力测试。从长远来看，简化规范并使用更正式的语言来表达，可减少代码中的错误和歧义。 下面是一个简单的表格，总结解析问题相关的案例： | 漏洞名称 | 受影响组件 | 漏洞原因 | 修复建议 | | ---- | ---- | ---- | ---- | | 空字符解析漏洞 | 部分浏览器（如 Firefox） | 浏览器将空字符视为字符串结束，CA 接受格式错误的数据 | 浏览器改进解析逻辑，CA 严格检查域名格式 | | OpenSSL 降级攻击（CVE - 2014 - 3511） | OpenSSL | 解析 ClientHello 片段时无法正确提取协议版本，攻击者可更改拆分方式 | 拒绝过小的 ClientHello 片段 | | NSS/CyaSSL/PolarSSL 签名伪造（CVE - 2014 - 1568） | NSS、CyaSSL、PolarSSL | DER 解析器宽松，攻击者满足特定条件可伪造签名 | 使用严格的 DER 解析