web-dev-qa-db-ja.com

Diffie-Hellman鍵交換の現在のセキュリティステータスは何ですか?

ウェブサイトweakdh.orgがあり、その名前だけでは確かに、専門家ではない人々の間でDHを使用することにいくらか不安を感じます。知識のある人がDHの現在のセキュリティステータスについて何か親切に言ってもらえますか。

SSLで使用するために必要な最小キーサイズに特に興味がありますが、追加の情報をいただければ幸いです。

31
Mok-Kong Shen

まず第一に、慌てる必要はありません。Diffie-Hellmanのアルゴリズムは、(パラメーターの正しいセットを使用して)正しく使用すれば、まったく問題ありません。

予備知識をいくつか説明しましょう:

  1. SSL/TLSプロトコルとは?

これは、チャネルで送信されるデータの盗聴や改ざんを防止する、HTTPSで使用される基本的なプロトコルです。クライアントとサーバー間で鍵を交換するために、diffie-hellmanプロトコルを使用します。

  1. 暗号スイートとは何ですか?

SSL/TLSプロトコルは拡張可能になりました。データの暗号化と署名にいくつかのアルゴリズムを使用できます。これらの交換可能なパッケージは暗号スイートと呼ばれ、鍵交換にRSA、バルクにRC4を使用する暗号スイートとしてTLS_RSA_WITH_RC4_128_MD5を使用できます署名用のデータ暗号化とMD5。

Whats LogJam?

現在、EXPORT-GRADEと呼ばれるこれらの暗号スイート(TLS_RSA_EXPORT_WITH_RC4_40_MD5など)がいくつかありますが、それらは暗号アルゴリズムに関する米国の輸出規制のため、意図的に弱くなっています。これらの暗号スイートはキーの長さが短く、簡単に破られる可能性があります。サーバーで誰かがそれらを無効にせず、クライアントがそれらを使用すると、共有キーが漏洩し、攻撃者によって暗号化が破られる可能性があります。 FREAKというRSAへの攻撃と、LogJamというDiffie-Hellmanへの攻撃がありました。

クライアントがEXPORT-GRADE暗号スイートを使用するように強制でき、サーバーが偶然にそれらをサポートしている場合、攻撃者は短いキーの長さを使用しているため、diffie-hellmanアルゴリズムを破ることによりMITM攻撃を行うことができます。これがLogJamの目的です。

また、一部のWebサーバーが長さ1024のデフォルトのdiffie-hellmanパラメータを使用する別の脆弱性もあり、これも壊れています。

注:それはすべてアルゴリズムで使用されるパラメーターに関するものであり、Diffie-Hellmanアルゴリズム自体には何の問題もありません。

今何をすべきか?

最新のブラウザを使用し、それらを最新の状態に保つ場合、今ではすでにこの攻撃の発生を防いでいます。

ウェブサーバーを実行している場合は、SSL/TLS対応のバージョンと基盤となる暗号スイートを構成するためのベストプラクティスを使用していることを確認してください。

最小キーサイズに関しては、1024ビットは通常の攻撃者の手の届かない範囲にありますが、国民国家ではありません。 2048ビットは安全です。 ECDHEを使用することもできます。これは、楕円曲線上のdiffie-hellmanであり、基本的にはより短い鍵長で同じレベルのセキュリティを実現します。

12
Silverfox