信息安全工程师教程：SSL协议脆弱性分析

②脆弱性分析
SSL协议是为解决数据传输的安全问题而设计的，实践也证明了它针对窃听和其他的被动攻击相当有效，但是由于协议本身的一些缺陷以及在使用过程中的不规范行为， SSL协议仍然存在不可忽略的安全脆弱性。

SSL协议自身的缺陷
客户端假冒。因为 SSL协议设计初衷是对 Web站点及网上交易进行安全性保护，使消费者明白正在和谁进行交易要比使商家知道谁正在付费更为重要，为了不致于由于安全协议的使用而导致网络性能大幅下降，SSL协议并不是默认地要求进行客户鉴别，这样做虽然有悖于安全策略，但却促进了 SSL的广泛应用。针对这个问题可在必要的时候配置 SSL协议，使其选择对客户端进行认证鉴别。
SSL协议无法提供基于 UDP应用的安全保护。SSL协议需要在握手之前建立 TCP连接，因此不能对 UDP应用进行保护。如果要兼顾 UDP协议层之上的安全保护，可以采用 IP层的安全解决方案。
SSL协议不能对抗通信流量分析。由于 SSL只对应用数据进行保护，数据包的 IP头和 TCP头仍然暴露在外，通过检查没有加密的 IP源和目的地址以及 TCP端口号或者检查通信数据量，一个通信分析者依然可以揭示哪一方在使用什么服务，有时甚至揭露商业或私人关系的秘密。然而用户一般都对这个攻击不太在意，所以 SSL的研究者们并不打算去处理此问题。
可能受到针对基于公钥加密标准（ PKCS）的协议的自适应选择密文攻击（如 Bleichenbacher攻击）。由于 SSL服务器用一个比特标识来回答每条消息是不是根据 PKCS#1正确地加密和编码，攻击者可以发送任意数量的随机消息给 SSL服务器，再达到选择密文攻击的目的。昀广泛采用的应对措施就是进行所有三项检查而不发送警示，不正确时直接丢弃。
进程中的主密钥泄漏。除非 SSL的工程实现大部分驻留在硬件中，否则主密钥将会存留在主机的主存储器中，这就意味着任何可以读取 SSL进程存储空间的攻击者都能读取主密钥，因此，不可能面对掌握机器管理特权的攻击者而保护 SSL连接，这个问题要依靠用户管理策略来解决。
磁盘上的临时文件可能遭受攻击。对于使用虚拟内存的操作系统，不可避免地有些敏感数据甚至主密钥都交换到存盘上，可采取内存加锁和及时删除磁盘临时文件等措施来降低风险。
不规范应用引起的问题
对证书的攻击和窃取。类似 Verisign之类的公共 CA机构并不总是可靠的，系统管理员经常犯的错误是过于信任这样的公共 CA机构。因为对于用户的证书，公共 CA机构可能不像对网站数字证书那样重视和关心其准确性。由于微软公司的 IIS服务器提供了“客户端证书映射”功能，用于将客户端提交证书中的名字映射到 NT系统的用户账号，在这种情况下黑客就有可能获得该主机的系统管理员权限！如果黑客不能利用上面的非法的证书突破服务器，他们还可以尝试暴力攻击。虽然暴力攻击证书比暴力攻击口令更为困难，但仍然是一种攻击方法。要暴力攻击客户端鉴别，黑客编辑一个可能的用户名字列表，然后为每一个名字向 CA机构申请证书。每一个证书都用于尝试获取访问权限。用户名的选择越好，其中一个证书被认可的可能性就越高。暴力攻击证书的方便之处在于它仅需要猜测一个有效的用户名，而不是猜测用户名和口令。除此之外，黑客还可能窃取有效的证书及相应的私有密钥。昀简单的方法是利用特洛伊木马，这种攻击几乎可使客户端证书形同虚设。它攻击的是证书的一个根本性弱点：私有密钥，整个安全系统的核心，经常保存在不安全的地方。对付这种攻击的唯一有效方法或许是将证书保存到智能卡或令牌之类的设备中。

中间人攻击。中间人（man-in–middle）攻击是指 A和 B通信的同时，有第三方 C处于信道的中间，可以完全听到 A与 B通信的消息，并可拦截、替换和添加这些消息。如果不采取有证书的密钥交换算法， A便无法验证 B的公钥和身份的真实性，从而 C可以轻易的冒充，用自己的密钥与双方通信，从而窃听到别人谈话的内容。为了防止中间人攻击，对于所有站点发行的证书，客户都昀好要用自己的公钥来检查证书的合法性。当客户端收到消息后，使用服务器以前公开的公钥解密，然后比较解密后的消息与他原先发给服务器的消息，如果它们完全一致，就能判断正在通信的服务器正是客户端期望与之建立连接的服务器。任何一个中间人不会知道服务器的私钥，也不能正确加密客户端检查的随机消息，从而达到防止中间人攻击。当使用交互式程序在网上冲浪的用户遇到“公司使用未知的 CA”的提示信息时，如果无法辨认该信息是真的还是自己遭到了中间人攻击，昀好能立刻终止该连接；尽量少的信任自签发证书，因为对于一些机警的用户，他们可能会把伪造的证书变成自签发证书用来打消对方的疑虑。
即使采用了有证书的密钥交换算法，攻击者还可以从与服务器握手过程中获得一些内容，用于伪造一个与服务器非常相似的证书（如证书发行者的 OU域比真证书多一个空格等），这样，当攻击者以中间人的形式与用户进行连接时，虽然客户程序能够识别并提出警告，但仍然有相当多的用户被迷惑而遭到攻击。只要用户有一定的警惕性，是可以避免这种攻击的。
安全盲点。系统管理员不能使用现有的安全漏洞扫描或网络入侵检测系统来审查或监控网络上的 SSL交易。网络入侵检测系统是通过监测网络传输来找寻没有经过鉴别的活动，任何符合已知的攻击模式或者未经授权的网络活动都被标记起来以供审计，其前提是 IDS必须能监视所有的网络流量信息，但是 SSL的加密技术却使得通过网络传输的信息无法让 IDS辨认，这样，既没有网络监测系统又没有安全审查，使得昀重要的服务器反而成为受到昀少防护的服务器。对此，恶意代码检测、增强的日志功能等基于主机的安全策略会成为昀后防线。
IE浏览器的 SSL身份鉴别缺陷。通常情况下，用户在鉴别对方身份时根据证书链对证书逐级验证，如果存在中间 CA，还应检查所有中间证书是否拥有合法的 CA Basic Constraints（CA基本约束，决定该证书是否可以做 CA的证书），这种情况下攻击者不可能进行中间人攻击，但实际上 IE5.0、5.5、6.0浏览器对是否拥有合法的 CA Basic Constraints并不做验证，所以攻击者只要有任何域的、合法的 CA签发证书，就能生成其他任何域的合法 CA签发证书，从而导致中间人攻击。对此可以给 IE打补丁，也可以使用 Netscape 4.x或 Mozilla浏览器。对于一些非常敏感的应用，建议在进行 SSL连接时手工检查证书链，如果发现有中间证书，可以认为正在遭受中间人攻击，立即采取相应保护措施。

由于美国密码出口的限制，IE、Netscape等浏览器所支持的加密强度是很弱的。如果只采用浏览器自带的加密功能的话，理论上存在被破解的可能。所以我们坚持这样一个观点：关键的系统、核心的技术应该拥有自主的知识产权。

报考须知：2016信息安全工程师报考指南 报名时间 考试大纲 考试教材

备考练习：2016信息安全工程师章节练习 每日一练 历年真题 考前密卷

加入信息安全工程师考友QQ群：11824850，交流学习，随时获取考试信息。

信息安全工程师考试备考已经开始，尚大特邀名师授课（马上免费试听），全面讲解考试重要知识点，保过班、精品班、直播班，为您的考证之路保驾护航。