數(shù)字證書簽名、Lets Encrypt和證書劫持

作者：蟲蟲搜奇 2020-03-12 10:41:35

本文蟲蟲給大家介紹一下數(shù)字證書簽名以及世界最大的網(wǎng)站Https免費(fèi)簽名Let's Encrypts，及數(shù)字證書簽名的安全性等問題。

現(xiàn)在安全體系中，最重要的一部分是數(shù)字安全加密體系，包括數(shù)字內(nèi)容的加密解密，數(shù)字簽名和驗(yàn)證。本文蟲蟲給大家介紹一下數(shù)字證書簽名以及世界最大的網(wǎng)站Https免費(fèi)簽名Let's Encrypts，及數(shù)字證書簽名的安全性等問題。

概述

數(shù)字簽名就是在信息的后面再加上一段內(nèi)容，可以證明信息沒有被修改過，怎么樣可以達(dá)到這個(gè)效果呢?一般是對(duì)信息做不可逆的哈希計(jì)算得到一個(gè)哈希值。在把信息發(fā)送出去時(shí)，把這個(gè)哈希值加密后做為一個(gè)簽名和信息一起發(fā)出去。接收方在收到信息后，會(huì)重新計(jì)算信息的哈希值，并和信息所附帶的哈希值(解密后)進(jìn)行對(duì)比，如果一致，就說明信息的內(nèi)容沒有被修改過。數(shù)字簽名在現(xiàn)在現(xiàn)代安全體系中非常重要基礎(chǔ)，可以用來確保文件的完整性、防止文件篡改以及身份認(rèn)證等。首先我們說說幾個(gè)常見的數(shù)字證書基本概念：

RFC

RFC的意思是Request For Comments，中文對(duì)應(yīng)為請(qǐng)求注釋，它是一堆描述不同協(xié)議的文本文件。如果想了解SSL，TLS(新的SSL)和x509證書(用于SSL和TLS的證書)如何工作，例如，想編寫自己的OpenSSL，則必須閱讀相應(yīng)的TLS RFC。：的X509證書對(duì)應(yīng)的rfc5280和TLS(1.2)對(duì)應(yīng)的rfc5246。

x509

x509是為非正式的互聯(lián)網(wǎng)電子郵件，IPsec和WWW應(yīng)用程序定義的證書規(guī)范，x509發(fā)展了三個(gè)版本，現(xiàn)在廣泛使用的RFC v3，其結(jié)構(gòu)如下：

Certificate ::= SEQUENCE {  
tbsCertificate TBSCertificate,  
signatureAlgorithm AlgorithmIdentifier,  
signatureValue BIT STRING }

這些是ASN.1結(jié)構(gòu)。現(xiàn)代的證書就是這樣的：

第一個(gè)對(duì)象包含將要簽名的所有感興趣的內(nèi)容，因此我們將其稱為"待簽名證書"
第二個(gè)對(duì)象包含CA用于對(duì)該證書簽名的簽名類型(例如：sha256)
最后一個(gè)對(duì)象不是對(duì)象，只是與DER編碼后的TBSCertificate 簽名相對(duì)應(yīng)的一些位

ASN.1

它看起來很小，但是每個(gè)對(duì)象都有一定深度。

TBSCertificate是最大的TBSCertificate，包含一堆有關(guān)客戶端，CA，客戶端的公鑰等信息。

DER

當(dāng)然不會(huì)像這樣發(fā)送證書。而使用DER將其編碼為二進(jìn)制格式。

每個(gè)字段名都會(huì)被忽略，如果我們證書的形成方式，那么將不可能理解每個(gè)值的含義。

每個(gè)值都編碼為TLV三元組：[TAG，LENGTH，VALUE]

例如，查看Github的證書

右邊是DER編碼證書的十六進(jìn)制轉(zhuǎn)儲(chǔ)，左邊是ASN.1格式的譯文。

如上面所見，如果沒有RFC，我們真的不知道每個(gè)值對(duì)應(yīng)什么。openssl工具中自帶了很方面的命令行工具，可以用來解析證書的內(nèi)容，簡單使用

openssl x509 -in cert.pem -noout -text即可

Let's Encrypt數(shù)字簽名

說到數(shù)字簽名就不能不對(duì)Let's Encrypt豎起大拇指，可以說它以一己之力為整個(gè)互聯(lián)網(wǎng)網(wǎng)站撐起了HTTPS的天。Let's Encrypt成立于2014年，是一家非盈利性的認(rèn)證機(jī)構(gòu)，目前為約2億個(gè)網(wǎng)站提供了數(shù)字證書認(rèn)證，累積簽發(fā)了10億張的證書。

[[318393]]

Let's Encrypt成功的關(guān)鍵取決于兩點(diǎn)：

(1) 它是免費(fèi)的。Let's Encrypt之前，大多數(shù)證書頒發(fā)機(jī)構(gòu)向要獲得證書的網(wǎng)站管理員收取費(fèi)用。

Let's Encrypt證書和商業(yè)證書的區(qū)別：

(2) 它是自動(dòng)化的。如果遵循其標(biāo)準(zhǔn)化協(xié)議，則可以通過API請(qǐng)求，續(xù)訂甚至吊銷證書。與此形成對(duì)比的是其他證書機(jī)構(gòu)需要手動(dòng)處理并需要一些時(shí)間來頒發(fā)證書。

如果網(wǎng)站管理員希望網(wǎng)站example-com(通過HTTPS)向用戶提供安全的連接，則可以向Let's Encrypt發(fā)出申請(qǐng)證書，并在證明自己擁有域example-com并頒發(fā)證書后，便可以使用該證書來與任何信任"Let's Encrypt"的瀏覽器協(xié)商安全連接。

這個(gè)實(shí)際流程如下：

Alice使用RSA公鑰在Let's Encrypt中注冊(cè)。
Alice要求Let's Encrypt證書example-com。
Let's Encrypt讓Alice證明自己是example-com所有者，需要簽發(fā)一些數(shù)據(jù)并將其上傳到example-com/.well-known/acme-challenge/some_file。
愛麗絲簽署并上傳簽名后，要求Let's Encrypt其進(jìn)行檢查。
Let's Encrypt檢查是否可以訪問上的文件example-com，如果它成功下載了簽名并且簽名有效，則Let's Encrypt向Alice頒發(fā)證書。

這個(gè)過程的流程圖如下：

數(shù)字證書劫持

那么，我們假設(shè)Alice并不會(huì)實(shí)際擁有example-com，但是她通過中間劫持的方法實(shí)現(xiàn)了步驟5中進(jìn)行加密。自從Let's Encrypt推出以來，這一直是個(gè)問題。事實(shí)上普林斯頓大學(xué)的一組研究人員在Bamboozling證書頒發(fā)機(jī)構(gòu)的BGP中證明了這一點(diǎn)：他們執(zhí)行了一個(gè)真實(shí)的BGP攻擊演示，以合乎道德的方式從頂級(jí)CA獲得虛假證書。為了評(píng)估PKI的脆弱性，研究人員收集了180萬個(gè)證書的數(shù)據(jù)集，發(fā)現(xiàn)這些數(shù)據(jù)集中絕大多數(shù)域都可以成功偽造證書。

該論文中，研究人員提出了兩種解決方案，以進(jìn)行補(bǔ)救，或至少降低這些針對(duì)KPI攻擊的風(fēng)險(xiǎn)：

CA機(jī)構(gòu)從多個(gè)有利位置對(duì)域名進(jìn)行驗(yàn)證，以使其難以發(fā)起成功的攻擊;
CA機(jī)構(gòu)通過BGP監(jiān)視系統(tǒng)，檢測可疑BGP路由并延遲證書驗(yàn)證使網(wǎng)絡(luò)運(yùn)營商有時(shí)間對(duì)BGP攻擊做出反應(yīng)。

最近Let's Encrypt實(shí)現(xiàn)了第一個(gè)解決方案：多角度域驗(yàn)證。該方法改變了上述流程的第5步：在新的策略下Let's Encrypt會(huì)從多個(gè)位置下載域名的證書驗(yàn)證。

Let's Encrypt攻擊的工作原理

安德魯·艾耶(Andrew Ayer)在2015年發(fā)現(xiàn)了對(duì)Let's Encrypt的攻擊。在其中，Andrew提出了一種方法來控制已經(jīng)驗(yàn)證了域的Let's Encrypt帳戶(例如example-com)

攻擊是這樣的：

Alice通過在example-com上的一些數(shù)據(jù)上載簽名(example-com/.well-known/acme-challenge/some_file) 來注冊(cè)并完成域驗(yàn)證。然后，成功地從Let's Encrypt獲得證書。
之后Eve使用新帳戶和新的RSA公鑰簽署了Let's Encrypt，并請(qǐng)求恢復(fù)example-com域
Let's Encrypt要求Eve簽發(fā)一些新數(shù)據(jù)，并將其上傳到example-com/.well-known/acme-challenge/some_file。
Eve制作了一個(gè)新的假冒密鑰對(duì)，并在Let's Encrypt上更新了其公共密鑰。然后，她要求Let's Encrypt以檢查簽名。
Let's Encrypt從example-com獲取簽名文件，簽名匹配，于是Eve被授予example-com域所有權(quán)。

攻擊的圖示如下：

在上述攻擊中，Eve設(shè)法創(chuàng)建了一個(gè)有效的公鑰，該公鑰驗(yàn)證了給定的簽名和消息。數(shù)字簽名不能唯一地標(biāo)識(shí)密鑰或消息

根據(jù)RSA的工作原理(這是現(xiàn)代證書交換鏈的基礎(chǔ))：

對(duì)于固定簽名signature和(PKCS#1 v1.5)消息message，公鑰(e，N)必須滿足以下方程式以驗(yàn)證簽名：

一個(gè)人可以很容易地制作一個(gè)(大部分時(shí)間)滿足以下等式的公鑰：

可以輕松驗(yàn)證驗(yàn)證是否有效：

根據(jù)定義，最后一行是正確的。

數(shù)字簽名的安全性

由于理論領(lǐng)域與應(yīng)用領(lǐng)域之間安全性證明與已實(shí)施協(xié)議之間存在差距。密碼學(xué)中的簽名通常使用EUF-CMA模型進(jìn)行分析，該模型代表自適應(yīng)選擇消息攻擊下的存在不可偽造性。

通過模型中，生成了一個(gè)密鑰對(duì)，然后要求簽署一些任意消息。在觀察簽署的簽名時(shí)，如果可以在某個(gè)時(shí)間點(diǎn)對(duì)未請(qǐng)求的消息產(chǎn)生有效的簽名，將獲勝。

不幸的是，盡管現(xiàn)代簽名方案似乎通過了EUF-CMA測試，但它們往往表現(xiàn)出一些令人驚訝的特性。論文《Automated Analysis of Subtle Attacks on Protocols that Use Signatures》中Dennis Jackson，Cas Cremers，Katriel Cohn-Gordon和Ralf Sasse試圖對(duì)使用簽名的協(xié)議進(jìn)行細(xì)微的攻擊的自動(dòng)化分析，試圖列出這些令人驚訝的特性以及受它們影響的簽名方案(然后找到一堆)在使用正式驗(yàn)證的協(xié)議。

保守的排他性(CEO)/破壞性的排他性(DEO)：

(1) 密鑰替換攻擊(CEO)，其中使用不同的密鑰對(duì)或公鑰來驗(yàn)證給定消息上的給定簽名。

(2) 消息密鑰替換攻擊(DEO)，其中使用不同的密鑰對(duì)或公共密鑰來驗(yàn)證新消息上的給定簽名。

可延展性。大多數(shù)簽名方案都是可塑的，這意味著如果給出一個(gè)有效的簽名，就可以對(duì)其進(jìn)行篡改，以使其成為一個(gè)不同但仍然有效的簽名。請(qǐng)注意，如果我是簽名人，通常可以為同一條消息創(chuàng)建不同的簽名。不清楚這是否會(huì)對(duì)任何現(xiàn)實(shí)世界的協(xié)議產(chǎn)生影響，盡管比特幣MtGox交易所將其資金損失歸咎于該協(xié)議，2014年2月，曾經(jīng)是最大的比特幣交易所MtGox關(guān)閉并申請(qǐng)破產(chǎn)，聲稱攻擊者利用可塑性攻擊來耗盡其帳戶。

請(qǐng)注意，一種新的安全模型SUF-CMA(用于強(qiáng)EUF-CMA)試圖將這種行為包含在簽名方案的安全定義中，并且一些最新標(biāo)準(zhǔn)(如RFC 8032指定Ed25519)正在緩解對(duì)其簽名方案的延展性攻擊。。

可重新簽名。這很容易解釋。要驗(yàn)證消息上的簽名，通常不需要消息本身，但需要摘要。這樣，任何人都可以使用自己的密鑰重新簽名消息，而無需知道消息本身
可碰撞性。有些方案允許制作簽名，這些簽名將在幾條消息下進(jìn)行驗(yàn)證。更糟糕的是，按設(shè)計(jì)Ed25519允許人們制作公鑰和簽名，從而很有可能驗(yàn)證任何消息。(在某些實(shí)現(xiàn)中，例如libsodium，此問題已修復(fù)。)

下圖中概括了證書替代攻擊：