- Результаты
- Что говорят эксперты?
- Что ты можешь сделать?
Если вы считаете, что ваши данные в безопасности, подумайте еще раз. Поскольку согласно академическим исследованиям было установлено, что из-за уязвимости TLS 1.3 хакеры теперь могут подключаться к защищенному каналу и собирать данные для злонамеренных целей.
Исследование было опубликовано Тель-Авивским университетом, Аделаидским университетом и Мичиганским университетом, а также Институтом Вейцмана. Кроме того, NCC Group и Data61 также пришли к аналогичным выводам.
Результаты
Атака является модифицированной версией настоящей атаки оракула Блейхенбахера, которая в прошлом была способна декодировать зашифрованное сообщение RSA с использованием криптографии с открытым ключом.
Эта новая волна, однако, стремится работать против TLS 1.3, который является последней версией среди протоколов TLS. Власти считали, что это безопасно, но, видимо, это не так, и это настораживает!
Поскольку TLS 1.3 не поддерживает обмен ключами RSA, исследователи решили, что для оценки атаки лучше всего перейти на версию более ранней версии, то есть TLS 1.2.
В результате смягчаются последствия понижения, такие как одна сторона сервера и сторона с двумя клиентами, которая обходит атаку понижения. Таким образом, сделав вывод, что если бы существовали более крупные ключи RSA, эти атаки можно было бы предотвратить, а также сократить время установления связи.
Девять различных реализаций TLS были изучены; OpenSSL, Amazon s2n, MbedTLS, Apple CoreTLS, Mozilla NSS, WolfSSL и GnuTLS, из которых BearSSL и Google BoringSSL были безопасны. Все остальные оставались уязвимыми.
Что говорят эксперты?
Что касается количества атак, то Бродерик Перелли-Харрис, старший директор Venafi, считает, что они появляются с 1988 года под различными вариантами Bleichenbacher. Поэтому неудивительно, что TLS 1.3 также уязвим.
Джейк Мур, специалист по кибербезопасности в ESET UK, считает, что атака криптографического характера не является первой и не будет последней в своем роде. Он также считает, что это похоже на игру Whac-A-Mole - каждый раз, когда применяется исправление безопасности, появляется другое.
Что ты можешь сделать?
В общем, недостаток заключается в первоначальной структуре протокола шифрования TLS. Но на данный момент из-за самой конструкции протокола исправления является единственным выходом.
Что вы можете сделать, чтобы защитить себя тем временем? Применяйте двухфакторную аутентификацию (2FA), обновляйте свое программное обеспечение, такое как защита от вредоносного ПО / антивируса, устанавливая более надежные пароли, и достойную службу VPN, такую как Ivacy.
