lucky 13 beast crime is tls dead or just resting
play

Lucky 13, BEAST, CRIME,... Is TLS dead, or just resting? - PowerPoint PPT Presentation

May 28, 2023 •480 likes •1.25k views

Lucky 13, BEAST, CRIME,... Is TLS dead, or just resting? Kenny Paterson Information Security Group Overview Introduction to TLS (and why YOU

  1. Lucky ¡13, ¡BEAST, ¡CRIME,... ¡ ¡ Is ¡TLS ¡dead, ¡or ¡just ¡resting? ¡ Kenny ¡Paterson ¡ Information ¡Security ¡Group ¡

  2. Overview ¡ Introduction ¡to ¡TLS ¡(and ¡why ¡YOU ¡should ¡care) ¡ BEAST ¡and ¡CRIME ¡ Lucky ¡13 ¡and ¡RC4 ¡attacks ¡ Current/future ¡developments ¡in ¡TLS ¡ 2 ¡

  3. About ¡the ¡Speaker ¡ Academic ¡ But ¡spent ¡5 ¡years ¡in ¡industrial ¡research ¡lab ¡ Still ¡involved ¡in ¡IPR, ¡consulting, ¡industry ¡liaison ¡ ¡ RHUL ¡since ¡2001 ¡ “You ¡are ¡teaching ¡Network ¡Security” ¡ Leading ¡to ¡research ¡into ¡how ¡crypto ¡is ¡used ¡in ¡Network ¡Security ¡ EPSRC ¡Leadership ¡Fellow, ¡2010-­‑2015 ¡ “Cryptography: ¡Bridging ¡Theory ¡and ¡Practice” ¡ Support ¡from ¡I4, ¡HP, ¡BT, ¡Mastercard, ¡CPNI ¡ Attacks ¡on ¡IPsec ¡(2006, ¡2007), ¡SSH ¡(2009) ¡ So ¡what ¡about ¡TLS? ¡ 3 ¡

  4. A ¡Word ¡from ¡my ¡Sponsors ¡ 4 ¡

  5. TLS ¡ ¡– ¡ ¡And ¡Why ¡You ¡Should ¡Care ¡ SSL ¡= ¡Secure ¡Sockets ¡Layer. ¡ Developed ¡by ¡Netscape ¡in ¡mid ¡1990s. ¡ SSLv2 ¡now ¡deprecated; ¡SSLv3 ¡still ¡widely ¡supported. ¡ ¡ TLS ¡= ¡Transport ¡Layer ¡Security. ¡ IETF-­‑standardised ¡version ¡of ¡SSL. ¡ TLS ¡1.0 ¡= ¡SSLv3 ¡with ¡minor ¡tweaks, ¡RFC ¡2246 ¡(1999). ¡ TLS ¡1.1 ¡= ¡TLS ¡1.0 ¡+ ¡tweaks, ¡RFC ¡4346 ¡(2006). ¡ TLS ¡1.2 ¡= ¡TLS ¡1.1 ¡+ ¡more ¡tweaks, ¡RFC ¡5246 ¡(2008). ¡ TLS ¡1.3? ¡ 5 ¡ 5 ¡

  6. TLS ¡ ¡– ¡ ¡And ¡Why ¡You ¡Should ¡Care ¡ Originally ¡for ¡secure ¡e-­‑commerce, ¡now ¡used ¡much ¡more ¡widely. ¡ Retail ¡customer ¡access ¡to ¡online ¡banking ¡facilities. ¡ User ¡access ¡to ¡gmail, ¡facebook, ¡Yahoo. ¡ Mobile ¡applications, ¡including ¡banking ¡apps. ¡ Payment ¡infrastructures. ¡ User-­‑to-­‑cloud. ¡ Post ¡Snowden: ¡back-­‑end ¡operations ¡for ¡google, ¡yahoo, ¡… ¡ ¡ Not ¡yet ¡Yahoo ¡webcam ¡traffic, ¡sadly. ¡ ¡ TLS ¡has ¡become ¡the ¡de ¡facto ¡secure ¡protocol ¡of ¡choice. ¡ Used ¡by ¡hundreds ¡of ¡millions ¡of ¡people ¡and ¡devices ¡every ¡day. ¡ A ¡serious ¡attack ¡could ¡be ¡catastrophic, ¡both ¡in ¡real ¡terms ¡and ¡in ¡terms ¡of ¡perception/confidence. ¡ ¡ 6 ¡ 6 ¡

  7. TLS ¡ ¡– ¡ ¡And ¡Why ¡You ¡Should ¡Care ¡ TLS ¡has ¡been ¡in ¡the ¡news….. ¡ BEAST, ¡CRIME, ¡Lucky ¡13, ¡RC4 ¡weaknesses. ¡ Renegotiation ¡attack ¡(2009), ¡triple ¡Handshake ¡attack ¡(3/2014). ¡ Poor ¡quality ¡of ¡implementations ¡(particularly ¡in ¡certificate ¡handling). ¡ ¡Not ¡only ¡the ¡Apple ¡ goto ¡fail , ¡but ¡also ¡“Why ¡Eve ¡and ¡Mallory ¡Love ¡Android” ¡and ¡ “The ¡most ¡dangerous ¡code ¡in ¡the ¡world”. ¡ Why? ¡ Higher ¡profile ¡means ¡more ¡attention. ¡ More ¡attention ¡begets ¡researcher ¡interest, ¡creating ¡a ¡ virtuous ¡cycle. ¡ Virtuous ¡because ¡TLS ¡gets ¡better ¡the ¡more ¡we ¡analyse ¡it ¡and ¡eliminate ¡its ¡ weaknesses. ¡ ¡ 7 ¡ 7 ¡

  8. TLS ¡Protocol ¡Architecture ¡ Change HTTP, Handshake Alert Cipher other apps Protocol Protocol Spec Protocol Record Protocol TCP 8 ¡ 8 ¡

  9. Simplified ¡View ¡of ¡TLS ¡ Used ¡by ¡client ¡and ¡server ¡to ¡ ¡ 1. Negotiate ¡ciphersuite ¡ 2. Authenticate ¡ ¡ 3. Establish ¡keys ¡used ¡in ¡the ¡Record ¡Protocol ¡ Client Server Handshake ¡Protocol ¡ Record ¡Protocol ¡ Provides ¡confidentiality ¡and ¡authenticity ¡of ¡application ¡ layer ¡data ¡using ¡keys ¡from ¡Handshake ¡Protocol ¡ 9 ¡ 9 ¡

  10. TLS ¡Record ¡Protocol: ¡MAC-­‑Encode-­‑Encrypt ¡ SQN ¡|| ¡HDR ¡ Payload ¡ MAC ¡ Padding ¡ MAC ¡tag ¡ Payload ¡ Encrypt ¡ Ciphertext ¡ HDR ¡ HMAC-MD5, HMAC-SHA1, HMAC-SHA256 MAC ¡ CBC-AES128, CBC-AES256, CBC-3DES, RC4-128 Encrypt ¡ 10 ¡ 10 ¡

  11. TLS ¡Record ¡Protocol: ¡AE ¡(GCM ¡and ¡CCM) ¡ SQN ¡|| ¡HDR ¡ Payload ¡ MAC ¡ Padding ¡ MAC ¡tag ¡ Payload ¡ Encrypt ¡ Ciphertext ¡ HDR ¡ 11 ¡ 11 ¡

  12. AE ¡and ¡TLS ¡Record ¡Protocol ¡ 28% ¡of ¡Alexa ¡top ¡200k ¡servers ¡support ¡TLS ¡1.1 ¡or ¡higher. ¡ (source: ¡ssl ¡pulse, ¡Feb. ¡2014) ¡ TLS ¡1.2 ¡support ¡in ¡browsers: ¡ ¡ ¡ ¡Chrome: ¡since ¡release ¡30. ¡ ¡ ¡Firefox: ¡since ¡release ¡28. ¡ ¡ ¡IE: ¡since ¡IE11. ¡ ¡ ¡Safari: ¡since ¡iOS5 ¡and ¡OS ¡X ¡10.9. ¡ (source: ¡wikipedia, ¡Nov. ¡2013) ¡ ¡ Stronger, ¡modern ¡AE ¡designs ¡are ¡not ¡yet ¡in ¡universal ¡use. ¡ 6 ¡months ¡ago, ¡the ¡situation ¡was ¡much ¡bleaker! ¡ Attacks ¡have ¡driven ¡accelerating ¡pace ¡of ¡adoption ¡of ¡TLS ¡1.2. ¡ ¡ 12 ¡ 12 ¡

  13. CRIME ¡and ¡BEAST ¡Attacks ¡

  14. BEAST ¡ Relevant ¡only ¡for ¡CBC-­‑mode ¡ciphersuites ¡in ¡SSL ¡3.0 ¡and ¡TLS ¡1.0. ¡ Exploits ¡use ¡of ¡non-­‑random ¡IV ¡in ¡those ¡ciphersuites. ¡ Theoretical ¡attack ¡pointed ¡out ¡to ¡IETF ¡in ¡1995 ¡(Rogaway) ¡ Made ¡practical ¡by ¡Duong ¡and ¡Rizzo ¡in ¡2011. ¡ Via ¡malicious ¡Javascript ¡running ¡in ¡the ¡browser. ¡ Recovery ¡of ¡HTTP ¡session ¡cookies ¡(and ¡more). ¡ Now ¡(mostly) ¡mitigated ¡in ¡browsers ¡using ¡1/n-­‑1 ¡record ¡splitting. ¡ Makes ¡it ¡ almost ¡defensible ¡to ¡continue ¡using ¡CBC-­‑mode ¡in ¡TLS ¡1.0. ¡ Many ¡experts ¡recommended ¡RC4 ¡as ¡a ¡mitigation. ¡ More ¡later! ¡ 14 ¡ 14 ¡

  15. BEAST ¡– ¡Lessons ¡ ¡ A ¡theoretical ¡vulnerability ¡pointed ¡out ¡in ¡1995 ¡became ¡a ¡practical ¡ attack ¡in ¡2011. ¡ ¡Attacks ¡really ¡do ¡get ¡better ¡(worse!) ¡with ¡time. ¡ ¡Practitioners ¡really ¡should ¡listen ¡to ¡(some) ¡theoreticians. ¡ ¡And, ¡in ¡this ¡case, ¡they ¡did: ¡TLS ¡1.1 ¡and ¡1.2 ¡use ¡random ¡IVs. ¡ ¡Problem ¡was ¡that ¡no-­‑one ¡was ¡using ¡these ¡versions. ¡ Tools ¡from ¡the ¡wider ¡security ¡field ¡were ¡needed ¡to ¡make ¡the ¡ attacks ¡headline ¡news. ¡ ¡Man-­‑in-­‑the-­‑browser ¡via ¡Javascript. ¡ ¡Fair ¡game ¡given ¡the ¡huge ¡range ¡of ¡ways ¡in ¡which ¡TLS ¡get ¡used. ¡ ¡Maybe ¡those ¡tools ¡can ¡be ¡used ¡elsewhere? ¡ ¡ ¡ 15 ¡ 15 ¡

  16. CRIME ¡ Exploits ¡use ¡of ¡optional ¡compression ¡in ¡TLS. ¡ Theoretical ¡attack ¡known ¡since ¡2004, ¡made ¡practical ¡by ¡Duong ¡ and ¡Rizzo ¡in ¡2012. ¡ Idea: ¡ Plaintext ¡length ¡leaks ¡through ¡ciphertext ¡length. ¡ But ¡plaintext ¡length ¡leaks ¡amount ¡of ¡compression. ¡ And ¡amount ¡of ¡compression ¡leaks ¡a ¡tiny ¡amount ¡about ¡plaintext. ¡ Recovery ¡of ¡HTTP ¡session ¡cookies ¡(and ¡more). ¡ Mitigated ¡by ¡switching ¡off ¡TLS ¡compression. ¡ Application ¡layer ¡compression ¡still ¡problematic. ¡ ¡ 16 ¡ 16

  17. CRIME ¡– ¡Lessons ¡ ¡ A ¡theoretical ¡vulnerability ¡pointed ¡out ¡in ¡2004 ¡became ¡a ¡practical ¡ attack ¡in ¡2011. ¡ ¡Attacks ¡really ¡do ¡get ¡better ¡(worse!) ¡with ¡time. ¡ ¡Do ¡you ¡see ¡the ¡emerging ¡theme ¡here? ¡ Tools ¡developed ¡for ¡BEAST ¡ were ¡reused ¡in ¡committing ¡CRIME. ¡ And ¡maybe ¡they ¡can ¡be ¡used ¡yet ¡elsewhere? ¡ ¡ ¡ 17 ¡ 17

  18. Lucky ¡13 ¡Attack ¡

  19. TLS ¡Record ¡Protocol: ¡MAC-­‑Encode-­‑Encrypt ¡ SQN ¡|| ¡HDR ¡ Payload ¡ MAC ¡ Padding ¡ MAC ¡tag ¡ Payload ¡ Encrypt ¡ Ciphertext ¡ HDR ¡ HMAC-MD5, HMAC-SHA1, HMAC-SHA256 MAC ¡ CBC-AES128, CBC-AES256, CBC-3DES, RC4-128 Encrypt ¡ “00” or “01 01” or “02 02 02” or … . or “FF FF … .FF” Padding ¡ 19 ¡ 19 ¡

Download Presentation
Download Policy: The content available on the website is offered to you 'AS IS' for your personal information and use only. It cannot be commercialized, licensed, or distributed on other websites without prior consent from the author. To download a presentation, simply click this link. If you encounter any difficulties during the download process, it's possible that the publisher has removed the file from their server.

Recommend

How broken is TLS? A tale of BEAST, CRIME, Lucky Thirteen and Heartbleed Hanno B ock,

How broken is TLS? A tale of BEAST, CRIME, Lucky Thirteen and Heartbleed Hanno B ock,

Introduction Software CAs X.509 Symmetric encryption TLS misc Misc End How broken is TLS? A tale of BEAST, CRIME, Lucky Thirteen and Heartbleed Hanno B ock, https://hboeck.de 2014-04-19 1 / 44 Introduction Software CAs Introduction

821 views • 44 slides
A Perfect CRIME? TIME Will Tell Tal Beery, Web research TL Agenda BEAST + Modes of

A Perfect CRIME? TIME Will Tell Tal Beery, Web research TL Agenda BEAST + Modes of

A Perfect CRIME? TIME Will Tell Tal Beery, Web research TL Agenda BEAST + Modes of operation CRIME + Gzip compression + Compression + encryption leak data TIME + Timing + compression leak data Attacking responses 2

425 views • 41 slides
Revelation 13 The Beast and the Number 666 Becoming Closer The Beast from the Sea (Rev 13:1-2

Revelation 13 The Beast and the Number 666 Becoming Closer The Beast from the Sea (Rev 13:1-2

Revelation 13 The Beast and the Number 666 Becoming Closer The Beast from the Sea (Rev 13:1-2 NIV) And the dragon stood on the shore of the sea. And I saw a beast coming out of the sea. He had ten horns and seven heads, with ten crowns on

259 views • 15 slides
Pairings are not dead, just resting ECC 2017 Diego F. Aranha December 8, 2018 Institute of

Pairings are not dead, just resting ECC 2017 Diego F. Aranha December 8, 2018 Institute of

Pairings are not dead, just resting ECC 2017 Diego F. Aranha December 8, 2018 Institute of Computing University of Campinas Bilinear pairings 1 Bilinear pairings e ( P + R , Q ) = e ( P , Q ) e ( R , Q ) and e ( P , Q + S ) = e ( P , Q

1.02k views • 58 slides
Boring crypto Some recent TLS failures Daniel J. Bernstein Diginotar CA compromise. University

Boring crypto Some recent TLS failures Daniel J. Bernstein Diginotar CA compromise. University

Boring crypto Some recent TLS failures Daniel J. Bernstein Diginotar CA compromise. University of Illinois at Chicago & BEAST CBC attack. Technische Universiteit Eindhoven Trustwave HTTPS interception. CRIME compression attack. Lucky 13

1.3k views • 128 slides
BEAST 2 BEAST 2 RB subst model BEAST Add-Ons Remco R. Bouckaert

BEAST 2 BEAST 2 RB subst model BEAST Add-Ons Remco R. Bouckaert

BEAST 2 Remco Bouckaert BEAST 2 BEAST 2 RB subst model BEAST Add-Ons Remco R. Bouckaert remco@cs.{auckland|waikato}.ac.nz rrb@xm.co.nz Department of Computer Science University of Auckland & University of Waikato 1 BEAST 2 What

659 views • 20 slides
Resting state fMRI Introduction: The default mode network Resting state fMRI

Resting state fMRI Introduction: The default mode network Resting state fMRI

Resting state fMRI Introduction: The default mode network Resting state fMRI Physiological basis Other networks and their relation to EEG Our Application: Resting state networks in the severely injured brain Outlook Henning

1.07k views • 34 slides
400 . 20 . , - , , - , . , , .

400 . 20 . , - , , - , . , , .

400 . 20 . , - , , - , . , , . The Royal Hotel Spa, Resort&Convention Venter 5*Dlx Isrotel Dead Sea 5* The Daniel Dead Sea 5* Le Meridien Dead Sea 5* Crowne Plaza Dead

188 views • 17 slides
BEAUTY AND THE BEAUTY AND THE BEAST BEAST Eta Haskell for JVM JAREK RATAJSKI JAREK RATAJSKI

BEAUTY AND THE BEAUTY AND THE BEAST BEAST Eta Haskell for JVM JAREK RATAJSKI JAREK RATAJSKI

BEAUTY AND THE BEAUTY AND THE BEAST BEAST Eta Haskell for JVM JAREK RATAJSKI JAREK RATAJSKI @jarek000000 Loves programming since the first line I wrote for C64 Anarchitect @ Engenius GmbH Java developer (since 1999) with a functional

1.31k views • 114 slides
Dead Code Elimination (DCE) Dead code elimination is an optimization that removes DEAD

Dead Code Elimination (DCE) Dead code elimination is an optimization that removes DEAD

Dead Code Elimination (DCE) Dead code elimination is an optimization that removes DEAD variables A variable that is defined and not LIVE OUT is DEAD do { computeLiveness() foreach instruction I { if (defs.contains(I) &&

599 views • 12 slides
I W A K p r e s e n t a t i o n WHAT IS CRIME ? A crime is an illegal act for which someone

I W A K p r e s e n t a t i o n WHAT IS CRIME ? A crime is an illegal act for which someone

MKAN PRESENTS I W A K p r e s e n t a t i o n WHAT IS CRIME ? A crime is an illegal act for which someone can be punished by the government; especially a gross violation of law . Crime constitutes a major threat to the 60% national security

880 views • 34 slides
What is Cyber Crime? Cyber Enabled Crime Cyber Dependant Crime Traditional crime that is

What is Cyber Crime? Cyber Enabled Crime Cyber Dependant Crime Traditional crime that is

R egional C yber C rime U nit DC Louise Gibson Prepare, Prevent & Protect What is Cyber Crime? Cyber Enabled Crime Cyber Dependant Crime Traditional crime that is enhanced in scale or Crimes that can only be committed solely reach by use

316 views • 9 slides
Feeding Feeding the the beast: beast: science science cases cases for for SHAR(K)

Feeding Feeding the the beast: beast: science science cases cases for for SHAR(K)

Feeding Feeding the the beast: beast: science science cases cases for for SHAR(K) SHAR(K)-NIR@LB NIR@LBT Valentina DOrazi INAF Padova Francesca Bacciotti (INAF Arcetri), Angela Bongiorno (INAF Roma) and the science team ADONI 2016,

554 views • 18 slides
Taming the Beast Workshop Bayesian inference of species tree Species & gene trees *BEAST

Taming the Beast Workshop Bayesian inference of species tree Species & gene trees *BEAST

Taming the Beast Taming the Beast Workshop Bayesian inference of species tree Species & gene trees *BEAST Species tree prior Multispecies coalescent Bayesian inference of species tree Molecular clock model Felsenstein likelihood and

205 views • 19 slides
Speaking with Impact Issues 2 and Conversation Strategies Crime Crime . . . . . . . . .

Speaking with Impact Issues 2 and Conversation Strategies Crime Crime . . . . . . . . .

. Crime movies . . . . . . . . . Textbook Crime songs Punishment . Crime vocabulary I Cloze I Crime vocabulary II Cloze II and III Crime Exam Week 5 Criminal cases Death penalty The end Speaking with Impact Issues 2 and

1.66k views • 140 slides
Formal Power Series Emma Franz May 5, 2015 1 / 24 Lucky tickets example Lucky tickets of six

Formal Power Series Emma Franz May 5, 2015 1 / 24 Lucky tickets example Lucky tickets of six

Formal Power Series Emma Franz May 5, 2015 1 / 24 Lucky tickets example Lucky tickets of six digits A ticket of six digits is a string, six numbers long, where the digits can take on values from 0 to 9. Then a lucky ticket is a ticket

375 views • 24 slides
CBC Steering Committee Virtual meeting, 15 September 2020 Please write your name, organization

CBC Steering Committee Virtual meeting, 15 September 2020 Please write your name, organization

CBC Steering Committee Virtual meeting, 15 September 2020 Please write your name, organization and country in the chat Function: Example: Peter Pan, Office of the Auditor General, Never Never Land Please use the chat function to communicate

373 views • 34 slides
Impossible plaintext cryptanalysis and probable-plaintext collision attacks of 64-bit block

Impossible plaintext cryptanalysis and probable-plaintext collision attacks of 64-bit block

Background Collision attack on CBC and CFB Impossible plaintext cryptanalysis of CTR Conclusions Impossible plaintext cryptanalysis and probable-plaintext collision attacks of 64-bit block cipher modes David McGrew mcgrew@cisco.com Fast

554 views • 43 slides
Protect Sensitive Data with Ada Keystore Stphane Carrez FOSDEM 2020 Why Ada Keystore?

Protect Sensitive Data with Ada Keystore Stphane Carrez FOSDEM 2020 Why Ada Keystore?

Protect Sensitive Data with Ada Keystore Stphane Carrez FOSDEM 2020 Why Ada Keystore? Store sensitive parameters of an Ada server : Database connection passwords API secret keys Tool to store sensitive information :

266 views • 24 slides
Update on Diagnosis of Myelodysplastic Syndromes Jay L. Patel, MD Disclosure None

Update on Diagnosis of Myelodysplastic Syndromes Jay L. Patel, MD Disclosure None

Update on Diagnosis of Myelodysplastic Syndromes Jay L. Patel, MD Disclosure None Objectives Review current diagnostic criteria pertaining to myelodysplastic syndromes Understand the relevance of selected somatic gene mutations

737 views • 25 slides
Secret-Key Encryption Introduction Encryption is the process of encoding a message in such a

Secret-Key Encryption Introduction Encryption is the process of encoding a message in such a

Secret-Key Encryption Introduction Encryption is the process of encoding a message in such a way that only authorized parties can read the content of the original message History of encryption dates back to 1900 BC Two types of

533 views • 38 slides
A Surfeit of SSH Cipher Suites Martin R. Albrecht, Jean Paul Degabriele, Torben B. Hansen and

A Surfeit of SSH Cipher Suites Martin R. Albrecht, Jean Paul Degabriele, Torben B. Hansen and

A Surfeit of SSH Cipher Suites Martin R. Albrecht, Jean Paul Degabriele, Torben B. Hansen and Kenneth G. Paterson ACM CCS - 27/10/2016 Outline of this talk Overview of SSH and related work. SSH deployment statistics. A new attack on

356 views • 25 slides
Symmetric and Password-based encrypDon CS642: Computer

Symmetric and Password-based encrypDon CS642: Computer

Symmetric and Password-based encrypDon CS642: Computer Security Professor Ristenpart h9p://www.cs.wisc.edu/~rist/ rist at cs dot wisc dot edu University

330 views • 29 slides
https://xkcd.com/538/ Cryptocurrencies & Security on the Blockchain Cryptography Review

https://xkcd.com/538/ Cryptocurrencies & Security on the Blockchain Cryptography Review

https://xkcd.com/538/ Cryptocurrencies & Security on the Blockchain Cryptography Review Prof. Tom Austin San Jos State University Goals of Cryptography Confidentiality Protecting secrets Integrity Notice when something

980 views • 42 slides

More recommend