https://static.jiayezz.com/f5/72fd18c933723bdc37b2383efb816c

    一篇潜在的重磅学术论文中的结论正面临着挑战, 那就是加密的弱点可能会被情报机构用以打破加密连接。

  这篇论文是《不完全前向保密: Diffie-Hellman是怎样在实践中失效的》,声称例如美国国家安全局这样具有大量资源的机构,可以建立足够的自定义硬件来破解用来生成加密密钥的质数。一旦知道的足够的信息,打破Diffie-Hellman连接就会变得相对简单。

  在论文中, 这个由14个密码员和学者组成的研究小组声称66%以上的IPsec VPN连接可以以这种方式进行解密。

Libreswan项目的核心开发人员、创始成员保罗•伍特斯说,这些研究人员只是下了一个的草率的结论,因为他们扫描和测试VPN服务器的方式不正确,并且数量可能太高了。

  伍特斯在一篇博客文章中解释说,他发现许多问题,而这些夸张了VPN连接的弱点。

  下面是从伍特斯的帖子中摘取的段落:

 “第一个问题是,第一个数据包交换执行了Diffie-Hellman,但没有发送任何ID或凭证。这意味着服务器还不知道连接映射到哪个配置,除非它是受限于IP的。如果受限于IP,那么它可能甚至没有请求回答,因为它们来自错误的IP – Cisco VPN服务器往往不会提示错误消息,只会终止这个数据包。如果配置不受限于IP,由于这种连接支持漫游用户, VPN服务器还不能拒绝这种基于弱MODP组的连接。”


         研究人员在他们的论文中表示,他们在5月用IKEv1和IKEv2(因特网密钥交换)的公共IPv4地址生成了随机样本,并对其中的1%进行了扫描,IKEv1和IKEv2是用于启动IPsec VPN连接的协议。

超过80000台主机回应了有效的IKE包,其中的44%接受了发起连接的提议。剩余的大多数服务器回应了no_proposal_chosen,那些被忽略的结果也被发表在论文内。No_proposal_chosen表示在会话协商中有不匹配的提议产生。

                 伍特斯在他的帖子说,这是有问题的,因为一些服务器被配置成不通过这样的提议,如Libreswan、Freeswan和Openswan这些Linux的开源VPN的实例,。他称这部分的结果是“一个相当大的漏报” 。

     “问题是,他们并没有计算有多少台服务器回应了NO_PROPOSAL_CHOSEN,因此这并不是100%中的一部分,但是这将是那些拒绝了弱DH组的服务器。“

        伍特斯告诉Threatpost:“真正的问题是, 在没有凭证的情况下,你无法知道IPsec服务器的真实的配置。所以在互联网搜索弱IPsec服务器总是会得到非常糟糕的结果。”

        论文的作者之一——亚历克斯·哈德曼告诉Threatpost,伍特斯的论点说明了测量IKE交换的复杂性。

        哈德曼说:“我们要基于反馈做一些额外的测量以精确我们的估计结果,但我认为没人会否认这个问题会影响到大量的vpn。”

        伍特斯说,要想知道是否真的存在大量的vpn,换句话说,有多少人在使用Freeswan,这几乎是不可能的。

        伍特斯说:“这就是我们常说的开源软件。但即使是最古老的Freeswan也不支持768 DH,它支持1024 DH和1536 DH,并且偏向于后者。所以,除非管理员明确地将它配置得较弱,否则我们将至少能使用1536。”

        哈德曼的一位同事承认了这种研究测量方法的一些局限性。这位同事说伍特斯的结论是正确的,如果一个服务器需要特殊的扩展,就无法描绘。如果它进行了更强的第二阶段信号交换,这种扫描将无法确定它。

        同事说:“由于论文长度有限,我们无法描述整个方法,所以其实他在某一些问题上的看法是错误的。我们进行了RSA和PSK (pre-shared key)扫描(他假定我们只扫描PSK)。“

 “如果服务器有多个配置,包括一个1024位和一个更强大的,我们可能会将它配置成支持1024位的,但不以1024为首选的那些会视服务器的具体工作情况而定。 (他假设我们永远标记其为支持1024并以1024为首选)” 

文章原文链接:https://www.anquanke.com/post/id/82821