SSL爆新漏洞LogJam 全球网络安全再亮红灯

近日，由密西根大学、约翰霍普金斯大学、微软研究中心及法国Inria Nancy-Grand Est、 Inria Paris-Rocquencourt等组成的研究团队发现一个与FREAK类似的SSL加密安全漏洞，这个名为LogJam攻击的漏洞可能影响全球数百万台伺服器。

研究人员指出，LogJam出现在常用的迪菲赫尔曼金钥交换加密演算法中(Diffie-Hellman key exchange)，这个演算法让HTTPS、SSH、IPSec及SMTPS等网际网路协定产生共享的加密金钥，并建立安全连线。LogJam漏洞使骇客得以发动中间人攻击，让有漏洞的TLS连线降级为512-bit出口等级的密码交换安全性，再读取或修改经由TLS加密连线传输的资料。该漏洞情况与三月爆发的FREAK颇为类似，差别在于它是基于TLS协定的漏洞，而非实作上的瑕疵，而且攻击目的为Diffie-Hellman，不是RSA的金钥交换。

研究人员表示，LogJam漏洞将影响任何支持DHE_EXPORT密码的伺服器及所有现代浏览器，包括最新版的IE、Chrome、Firefox、Safari等。估计全球前100万网域中有8.4%网域受影响，HTTPS网站也有3.4%会受到波及。

安全研究人员并指出，全球数百万台HTTPS、SSH、VPN伺服器都以相同的质数(prime number)进行Diffie-Hellman金钥交换，过去一般相信只要每次建立连线时产生新的金钥交换讯息就可安全无虞。然而破解Diffie-Hellman连线最有效的手法称为「数字栏位过滤」(number field sieve)，破解的第一步骤完全取决这个质数，一旦通过这一步，攻击者就能迅速破解入侵个别连线。

研究人员在示范中将这项运算法用于TLS最常用的512-bit质数中，LogJam攻击可用以降级80%支持DHE_EXPORT的TLS伺服器，随后他们评估，学院派骇客可以破解768-bit的质数，而国家支持的骇客更可以突破1024-bit的质数。破解网页伺服器最常用的单一1024-bit质数即可针对前100万个HTTPS网域中18%的网域连线内容进行被动式窃听(passive eavesdropping)。到第二个质数则可被动式解密(passive decryption)破解66%的VPN伺服器和26%的SSH伺服器的连线加密。研究人员表示，经过仔细研究NSA外洩文件，显示NSA攻击VPN连线的手法就和LogJam很近似。

安全人员唿吁，网页与邮件伺服器系统管理员应立即关闭对出口演算法套件的支援，并建立独一无二的2048-bit Diffie-Hellman群组。使用SSH的伺服器及用户端软体应升级到採用Elliptic-Curve Diffie-Hellman金钥交换的最新版本OpenSSH。一般消费者也应确保使用最新的浏览器。微软IE已在上周修补包括Windows Server 2003以上，以及Windows 7、Windows 8/8.1中的此一漏洞。Firefox，Chrome和Safari也很快会有修补程式释出。

理论上任何使用Diffie-Hellman金钥交换的协定都有遭遇LogJam攻击的危险，但是攻击者必需具备两大条件才有能力攻击，一是具有破解伺服器以及用户端连线流量的能力，其次是有足够的运算资源。而研究团队估算的全球一百大网域的8.4%网站有漏洞来看，这个数字很像是POP3S和IMAPS(安全电子邮件)伺服器比较危险。

对于一般使用者来说，只要保持浏览器的更新状态即可，几大浏览器业者应该很快就会释出更新。对软体开发者来说，只要确保应用程式内捆绑的函式库为最新版本即可。此外，也可以特别为金钥交换设定使用更大的质数。