TLS 연결을 복호화하는 새로운 Racoon 공격 발견

Decrypting TLS connections with new Raccoon Attack

 

독일 및 이스라엘 대학의 보안 연구원들이 공격자가 TLS로 보호된 통신을 해독할 수 있는 새로운 타이밍 공격인 Racoon에 대한 자세한 정보를 공개했습니다.

 

이 타이밍 취약점은 TLS 프로토콜에 존재하며 해커는 이를 악용하여 전송 중인 민감 데이터에 접근할 수 있게 됩니다.

 

Racoon 공격은 해당 암호화 프로토콜(1.2 및 이하 버전) 내 사이드 채널을 악용하는 서버 측 공격으로 공격자가 통신을 암호화하는데 사용하는 공유 비밀 키를 추출할 수 있도록 합니다.

 

“Raccoon은 TLS에 존재하는 타이밍 취약점으로 HTTPS 및 SSL, TLS에 존재하는 기타 서비스에 영향을 미칩니다.”

 

“Raccoon 취약점은 공격자가 특정 조건에서 암호화를 해제하여 민감한 통신을 읽을 수 있도록 허용합니다.”

 

다행히도 이 취약점은 악용이 매우 어려운 것으로 나타났습니다. 악용은 특정 서버 구성에서만 가능하고, 매우 정확한 타이밍 측정이 필요합니다.

 

“TLS 1.2 및 이전 버전의 모든 TLS-DH(E) 암호화 스위트의 키 파생에 대한 문제로 인해 TLS-DH(E) 세션의 프리마스터 시크릿(premaster secret)이 특정 조건에서 공격자에게 노출될 수 있습니다.”

 

“이 사이드 채널의 근본적인 원인은 TLS 표준이 DH 비밀 키를 일시적으로 처리할 것을 장려하기 때문입니다. 서버가 임시 키를 재사용할 경우, 이 사이드 채널은 공격자가 히든 넘버 문제(Hidden Number Problem)의 인스턴스를 해결함으로써 프리마스터 시크릿 값을 복구해내도록 허용할 수 있습니다.”

 

연구원들은 공격자가 통신을 보호하는 암호화를 무력화시키기 위해서는 클라이언트와 서버간의 핸드 셰이크 메시지를 기록한 다음 얻은 데이터를 사용하여 동일한 서버에 새로운 핸드셰이크를 시작하고, 공유 키 파생과 관련된 작업에 대한 서버의 응답 시간을 측정해야 한다고 밝혔습니다.

 

“공격자는 각 핸드 셰이크에 대한 서버의 응답 시간을 측정합니다. 일부 모듈러스 크기의 경우, 앞에 0이 있는 DH 비밀 키는 서버 KDF 계산 시간이 빠를 것이기 때문에 서버 응답 시간이 짧아지게 됩니다.”

 

위 시나리오에 따르면 공격자는 오리지널 핸드 셰이크의 비밀 키를 복호화하여 이를 사용해 TLS 트래픽을 복호화할 수 있게 됩니다.

 

<이미지 출처: https://raccoon-attack.com/RacoonAttack.pdf>

 

 

연구원들은 구 버전 F5 BIG-IP 제품이 서버 응답 내용을 직접 관찰하는 타이밍 측정 법을 사용하지 않을 경우 이 공격의 변종 (CVE-2020-5929)에 취약하다고 밝혔습니다.

 

TLS 1.3은 이 취약점에 영향을 받지 않습니다. TLS 1.3에서는 DHE 암호화 스위트용으로 선행 0 바이트 사용이 유지되며, 키 재사용을 허용하지 않기 때문입니다.

 

“하지만 명시적 키 재사용을 허용하는 TLS 1.3의 변형인 ETS(eTLS)가 존재합니다. 임시 키가 재사용될 경우 마이크로 아키텍쳐 사이드 채널로 이어질 수 있어 선행 0바이트가 유지되는 경우라도 악용이 가능합니다. 이 변종을 사용하지 않을 것을 권장합니다.”

 

좋은 소식은 F5, Microsoft, Mozilla, OpenSSL이 이미 이 취약점을 수정하기 위한 보안 패치를 발행했다는 것입니다.

 

“저희가 고안한 공격은 서버가 비밀 DH 지수를 많은 세션에서 재사용할 수 있다는 사실을 악용합니다.

 

“Raccoon을 통해 프로토콜 보안에 대한 교훈을 하나 얻을 수 있었습니다. 당사자 중 누군가 일부 암호화 관련 비밀을 지속적으로 쿼리할 수 있는 프로토콜의 경우 공격 표면은 더욱 넓어집니다. Raccoon 공격을 통해 공격자에게 이러한 쿼리에 대한 액세스 권한을 부여할 때 각별한 주의를 기울여야한다는 점을 배울 수 있었습니다.”

 

전문가들은 서버가 라쿤 공격에 취약한지 확인할 수 있는 툴을 공개할 계획입니다. 툴이 나오기 전까지는 “DH public server param (Ys) reuse”가 “yes”로 설정되어 있을 경우 서버가 이에 취약할 가능성이 있으므로 Qualy의 SSL Server Test를 사용할 것을 권장했습니다.

 

 

 

 

출처:

https://securityaffairs.co/wordpress/108144/hacking/raccoon-tls-attack.html

https://raccoon-attack.com/RacoonAttack.pdf