Пожалуйста зарегистрируйся для просмотра данного изображения.
Пожалуйста зарегистрируйся для просмотра данного изображения.
ЦитатаПоказать весь код
...
"The Hacker's Choice" hat ein Tool veröffentlicht, mit dem bereits ein einziger Rechner einen Server mit Verschlüsselung in die Knie zwingen kann. Das Konzept beruht darauf, Neuaushandlungen der verwendeten Schlüssel zu erzwingen.
Das Ver- und Entschlüsseln der Nutzdaten etwa für einen https-Server ist eigentlich nicht sonderlich aufwändig. Was bei https-Verbindungen wirklich Ressourcen kostet, ist der SSL-Verbindungsaufbau, bei dem Schlüssel ausgehandelt werden. Das liegt unter anderem daran, dass die Daten-Verschlüsselung mit sehr effizient arbeitenden, symmetrischen Verfahren wie AES stattfindet. Für das Aushandeln der AES-Sitzungs-Schlüssel muss SSL aber auf die ressourcen-intensiven asymmetrischen Verfahren wie RSA zurückgreifen. Das liegt neben den konkreten mathematischen Verfahren auch an den notwendigen Schlüssellängen. Da kommt AES mit 128 beziehungsweise 256 Bit aus; RSA benötigt 1024 oder sogar 2048 Bit lange Schlüssel.
Das nutzt das jetzt veröffentlichte SSL-DoS-Tool, um auch mit geringer Bandbreite enorme Last auf einem https-Server zu erzeugen. Es fordert nach dem Verbindungsaufbau immer wieder Neuaushandlungen der Schlüssel an; dabei erzeugt es bis zu 1000 parallele Verbindungen. Laut THC kann damit bereits ein normaler Laptop über eine DSL-Verbindung einen "durchschnittlichen Server" lahmlegen. Besonders bedenklich ist, dass sich das nicht auf Web-Server beschränkt, sondern man damit auch etwa E-Mail-Server angreifen könnte, die verschlüsselte SSL-Verbindungen anbieten.
Als Workaround kann man in der SSL-Konfiguration die Key Renegotiation abschalten. Diese Funktion wird ohnehin von den wenigsten Clients genutzt. Und ohne sie verweigert das THC-Tool den Dienst. Allerdings schafft dies das eigentliche Problem nicht aus der Welt. Das Programm ließe sich leicht erweitern. Tatsächlich ist das offenbar bereits passiert. Im Quelltext findet sich ein Hinweis auf eine private Version mit erweitertem Funktionsumfang. Die soll dann auch in der Lage sein, mit etwa 20 PCs ganze Server-Farmen mit SSL-Load-Balancer lahmzulegen. ...
Пожалуйста зарегистрируйся для просмотра данной ссылки на страницу.
Пожалуйста зарегистрируйся для просмотра данной ссылки на страницу.