¿Cómo evita Convergence (reemplazo de CA) que sus notarios también sean MITM?

Navega tus respuestas
24

He estado investigando Convergencia y cómo funciona, pero no puedo entender cómo es eficaz contra un ataque MITM que ocurre cerca del objetivo del sistema. Según tengo entendido, Convergence funciona al solicitar una cantidad de servidores notariales para verificar que vean el mismo certificado SSL de un servidor de destino que usted. Sin embargo, ¿no podría un atacante configurar el ataque de tal manera que TODO el tráfico del servidor de destino pase primero por el servidor del atacante? No tengo idea de lo factible que sería eso, pero ¿sería más complicado que obtener certificados falsificados de un CA (aparte de las bromas de DigiNotar)?

Sé que esto solo afectaría a los usuarios que aún no hayan guardado el certificado de destino localmente, por lo que quizás esto sea un problema menor. Aún así, parece menos que ideal. Solo estoy tratando de averiguar si la convergencia es una solución al problema o si es solo un tipo diferente de problema.

    
pregunta senecaso 02.09.2011 - 13:46
fuente

3 respuestas

16

Los detalles sobre la convergencia se encuentran en el Proyecto de Perspectivas , en particular el correspondiente artículo de Usenix .

Un atacante capaz de "ocultar" el servidor de todos los notarios (es decir, un atacante que trabaja en la red local del servidor, en su mayoría) es lo que los autores llaman el L servidor modelo. En última instancia, ese ataque "funciona" con los notarios predeterminados, que utilizan la "perspectiva de red". A saber, los notarios verán el certificado del atacante como "un nuevo certificado para el servidor", que es válido. Sin embargo, tan pronto como el atacante cesa el ataque activo, el antiguo certificado vuelve a ser visible, y esto genera avisos de alerta en los notarios: una actualización del certificado es ciertamente válida, la reaparición de un certificado antiguo sugiere un juego sucio en el trabajo. / p>

Sin embargo, nada impide que los notarios utilicen otras estrategias de validación, incluida la validación basada en CA, que tiene sus propios problemas pero se resiste a MitM.

Hay dos ideas principales en ese sistema:

  • Validación de delegados en servidores externos (los notarios), utilizando varios con un quórum de consenso para evitar puntos únicos de confianza. Este tipo de delegación ya existe en el contexto del bestiario X.509, bajo el nombre SCVP (pero el protocolo de convergencia es bastante más simple).

  • Haga que los notarios usen su memoria para mejorar la seguridad. Donde un servidor SCVP normal dependería de la validación libre de contexto (la verdadera forma X.509) con un poco de almacenamiento en caché a corto plazo pero solo para ahorrar en costos de CPU, los notarios de convergencia dependen principalmente de la estabilidad temporal: asumen que el servidor SSL Los certificados generalmente permanecen sin cambios durante uno o varios años, para un servidor determinado; por lo tanto, pueden simplemente verificar que un certificado de servidor SSL sigue siendo el mismo que antes. X.509 y SCVP podrían lidiar con un servidor que obtenga un nuevo certificado cada 5 minutos, lo cual es asombroso pero completamente inútil en la práctica.

Una piedra angular del razonamiento de convergencia es que si un atacante puede vencer con éxito los controles realizados por los notarios, entonces también podrá hacerse pasar por el servidor cuando habla con la CA tradicional, y por lo tanto también podría derrotar al modelo de CA tradicional. Por lo tanto, en términos de seguridad, la convergencia no es peor que la situación actual. Tenga en cuenta que X.509 podría hacerlo mucho mejor; en particular, revocation no es realmente compatible con Convergence, y Convergence no es peor que la CA tradicional, principalmente porque los clientes existentes tienden a no verificar la revocación de todos modos.

En realidad, Convergence no se trata de hacer que SSL sea más seguro, sino más bien de eliminar a las CA existentes sin disminuir la seguridad general.

Potencialmente , un notario podría ejecutar cualquier proceso de validación que desee, incluida la validación de ruta X.509 normal (y luego evitar el tipo de MitM que sugiere). Como se podría esperar que haya muchos menos notarios que clientes, y esos notarios serían más "conscientes de la seguridad", podemos concluir que en algún punto futuro la convergencia mejoraría la seguridad web. Sin embargo, la consecuencia más inmediata del uso generalizado de la Convergencia sería un cambio en el poder: el Game Master ya no sería Microsoft (quien decide qué CA ingresa en la lista reconocida por defecto por Internet Explorer), sino quien sea el notario que ejecute el notario. La mejor conectividad de red que los clientes usarían de forma predeterminada (probablemente Google).

    
respondido por el Thomas Pornin 02.09.2011 - 15:13
fuente
9

El proyecto de convergencia se basa en el Proyecto de perspectivas de la Universidad Carnegie Mellon. El Proyecto de Perspectivas tiene un poco más de información sobre esto. ( Consulte también su documento )

Si el atacante se sienta cerca del sistema de destino, sería posible, pero realmente difícil de ejecutar. Del papel:

  

Lserver + k · nm Compromiso: este ataque es más fuerte que   el escenario anterior de Lclient + k · nm, ya que el control sobre   el enlace del servicio de destino significa que incluso legítimos   Los notarios observarán la llave del atacante. Como resultado, incluso   Si se comprometen menos de q los notarios, el cliente confía en   enteramente en seguridad temporal.

Donde "seguridad temporal" se define como:

  

En cambio, usamos el concepto de   “Seguridad temporal”, lo que significa que un cliente estará a salvo como   siempre que su umbral de duración del quórum sea mayor que la duración real del ataque

El papel también dice que:

  

Si bien nuestro modelo permite que cualquier red o componente notarial se vea comprometido, tomamos prestado de Abraham   Lincoln y supongamos que un atacante "puede engañar a todos los   [componentes] algunas veces, y algunos [componentes] todo el tiempo, pero no puede engañar a todos los [componentes] todo el tiempo ". Es decir, asumimos que los ataques   son: (1) localizados a un alcance de red particular o   (2) de duración limitada, ya que un ataque más grande es más fácil   detectado y remediado

Entonces, esto parece ser un problema si el cliente y los servidores notariales no almacenan ninguna clave (ya que también almacenan la clave en caché). Si el atacante puede engañar a todos los sistemas todo el tiempo, sería posible. Pero aún debería ser más seguro que ahora, donde tenemos un único punto de falla.

    
respondido por el Andreas Arnold 02.09.2011 - 15:25
fuente
4

Mi comprensión de esto funciona como tal:

Si un atacante tiene todo su tráfico reenviado a través de su servidor, entonces sí, podrían DETENER el tráfico a los notarios.

No pudieron modificar el tráfico entre el cliente y los notarios porque el cliente ya tiene una copia del certificado del notario almacenado localmente, por lo que si la respuesta del notario no coincide con el certificado que el cliente almacenó, el cliente no debería acepta la respuesta

[EDITAR]

Actualmente hay una bifurcación del servidor de notaría de Convergence que utilizará la ayuda de Google ( Búsqueda de certificados de Google ) para ayudar a verificar que el certificado se haya visto de manera consistente.

    
respondido por el Nevins 02.09.2011 - 15:04
fuente

Lea otras preguntas en las etiquetas

SSH Key: Ed25519 vs RSA ¿Cómo puede una aplicación web proteger a los usuarios cuando el navegador no es compatible con HSTS?