lucky 13 beast crime is tls dead or just resting
play

Lucky 13, BEAST, CRIME,... Is TLS dead, or just resting? - PowerPoint PPT Presentation

May 28, 2023 •480 likes •1.25k views

Lucky 13, BEAST, CRIME,... Is TLS dead, or just resting? Kenny Paterson Information Security Group Overview Introduction to TLS (and why YOU

  1. Lucky ¡13, ¡BEAST, ¡CRIME,... ¡ ¡ Is ¡TLS ¡dead, ¡or ¡just ¡resting? ¡ Kenny ¡Paterson ¡ Information ¡Security ¡Group ¡

  2. Overview ¡ Introduction ¡to ¡TLS ¡(and ¡why ¡YOU ¡should ¡care) ¡ BEAST ¡and ¡CRIME ¡ Lucky ¡13 ¡and ¡RC4 ¡attacks ¡ Current/future ¡developments ¡in ¡TLS ¡ 2 ¡

  3. About ¡the ¡Speaker ¡ Academic ¡ But ¡spent ¡5 ¡years ¡in ¡industrial ¡research ¡lab ¡ Still ¡involved ¡in ¡IPR, ¡consulting, ¡industry ¡liaison ¡ ¡ RHUL ¡since ¡2001 ¡ “You ¡are ¡teaching ¡Network ¡Security” ¡ Leading ¡to ¡research ¡into ¡how ¡crypto ¡is ¡used ¡in ¡Network ¡Security ¡ EPSRC ¡Leadership ¡Fellow, ¡2010-­‑2015 ¡ “Cryptography: ¡Bridging ¡Theory ¡and ¡Practice” ¡ Support ¡from ¡I4, ¡HP, ¡BT, ¡Mastercard, ¡CPNI ¡ Attacks ¡on ¡IPsec ¡(2006, ¡2007), ¡SSH ¡(2009) ¡ So ¡what ¡about ¡TLS? ¡ 3 ¡

  4. A ¡Word ¡from ¡my ¡Sponsors ¡ 4 ¡

  5. TLS ¡ ¡– ¡ ¡And ¡Why ¡You ¡Should ¡Care ¡ SSL ¡= ¡Secure ¡Sockets ¡Layer. ¡ Developed ¡by ¡Netscape ¡in ¡mid ¡1990s. ¡ SSLv2 ¡now ¡deprecated; ¡SSLv3 ¡still ¡widely ¡supported. ¡ ¡ TLS ¡= ¡Transport ¡Layer ¡Security. ¡ IETF-­‑standardised ¡version ¡of ¡SSL. ¡ TLS ¡1.0 ¡= ¡SSLv3 ¡with ¡minor ¡tweaks, ¡RFC ¡2246 ¡(1999). ¡ TLS ¡1.1 ¡= ¡TLS ¡1.0 ¡+ ¡tweaks, ¡RFC ¡4346 ¡(2006). ¡ TLS ¡1.2 ¡= ¡TLS ¡1.1 ¡+ ¡more ¡tweaks, ¡RFC ¡5246 ¡(2008). ¡ TLS ¡1.3? ¡ 5 ¡ 5 ¡

  6. TLS ¡ ¡– ¡ ¡And ¡Why ¡You ¡Should ¡Care ¡ Originally ¡for ¡secure ¡e-­‑commerce, ¡now ¡used ¡much ¡more ¡widely. ¡ Retail ¡customer ¡access ¡to ¡online ¡banking ¡facilities. ¡ User ¡access ¡to ¡gmail, ¡facebook, ¡Yahoo. ¡ Mobile ¡applications, ¡including ¡banking ¡apps. ¡ Payment ¡infrastructures. ¡ User-­‑to-­‑cloud. ¡ Post ¡Snowden: ¡back-­‑end ¡operations ¡for ¡google, ¡yahoo, ¡… ¡ ¡ Not ¡yet ¡Yahoo ¡webcam ¡traffic, ¡sadly. ¡ ¡ TLS ¡has ¡become ¡the ¡de ¡facto ¡secure ¡protocol ¡of ¡choice. ¡ Used ¡by ¡hundreds ¡of ¡millions ¡of ¡people ¡and ¡devices ¡every ¡day. ¡ A ¡serious ¡attack ¡could ¡be ¡catastrophic, ¡both ¡in ¡real ¡terms ¡and ¡in ¡terms ¡of ¡perception/confidence. ¡ ¡ 6 ¡ 6 ¡

  7. TLS ¡ ¡– ¡ ¡And ¡Why ¡You ¡Should ¡Care ¡ TLS ¡has ¡been ¡in ¡the ¡news….. ¡ BEAST, ¡CRIME, ¡Lucky ¡13, ¡RC4 ¡weaknesses. ¡ Renegotiation ¡attack ¡(2009), ¡triple ¡Handshake ¡attack ¡(3/2014). ¡ Poor ¡quality ¡of ¡implementations ¡(particularly ¡in ¡certificate ¡handling). ¡ ¡Not ¡only ¡the ¡Apple ¡ goto ¡fail , ¡but ¡also ¡“Why ¡Eve ¡and ¡Mallory ¡Love ¡Android” ¡and ¡ “The ¡most ¡dangerous ¡code ¡in ¡the ¡world”. ¡ Why? ¡ Higher ¡profile ¡means ¡more ¡attention. ¡ More ¡attention ¡begets ¡researcher ¡interest, ¡creating ¡a ¡ virtuous ¡cycle. ¡ Virtuous ¡because ¡TLS ¡gets ¡better ¡the ¡more ¡we ¡analyse ¡it ¡and ¡eliminate ¡its ¡ weaknesses. ¡ ¡ 7 ¡ 7 ¡

  8. TLS ¡Protocol ¡Architecture ¡ Change HTTP, Handshake Alert Cipher other apps Protocol Protocol Spec Protocol Record Protocol TCP 8 ¡ 8 ¡

  9. Simplified ¡View ¡of ¡TLS ¡ Used ¡by ¡client ¡and ¡server ¡to ¡ ¡ 1. Negotiate ¡ciphersuite ¡ 2. Authenticate ¡ ¡ 3. Establish ¡keys ¡used ¡in ¡the ¡Record ¡Protocol ¡ Client Server Handshake ¡Protocol ¡ Record ¡Protocol ¡ Provides ¡confidentiality ¡and ¡authenticity ¡of ¡application ¡ layer ¡data ¡using ¡keys ¡from ¡Handshake ¡Protocol ¡ 9 ¡ 9 ¡

  10. TLS ¡Record ¡Protocol: ¡MAC-­‑Encode-­‑Encrypt ¡ SQN ¡|| ¡HDR ¡ Payload ¡ MAC ¡ Padding ¡ MAC ¡tag ¡ Payload ¡ Encrypt ¡ Ciphertext ¡ HDR ¡ HMAC-MD5, HMAC-SHA1, HMAC-SHA256 MAC ¡ CBC-AES128, CBC-AES256, CBC-3DES, RC4-128 Encrypt ¡ 10 ¡ 10 ¡

  11. TLS ¡Record ¡Protocol: ¡AE ¡(GCM ¡and ¡CCM) ¡ SQN ¡|| ¡HDR ¡ Payload ¡ MAC ¡ Padding ¡ MAC ¡tag ¡ Payload ¡ Encrypt ¡ Ciphertext ¡ HDR ¡ 11 ¡ 11 ¡

  12. AE ¡and ¡TLS ¡Record ¡Protocol ¡ 28% ¡of ¡Alexa ¡top ¡200k ¡servers ¡support ¡TLS ¡1.1 ¡or ¡higher. ¡ (source: ¡ssl ¡pulse, ¡Feb. ¡2014) ¡ TLS ¡1.2 ¡support ¡in ¡browsers: ¡ ¡ ¡ ¡Chrome: ¡since ¡release ¡30. ¡ ¡ ¡Firefox: ¡since ¡release ¡28. ¡ ¡ ¡IE: ¡since ¡IE11. ¡ ¡ ¡Safari: ¡since ¡iOS5 ¡and ¡OS ¡X ¡10.9. ¡ (source: ¡wikipedia, ¡Nov. ¡2013) ¡ ¡ Stronger, ¡modern ¡AE ¡designs ¡are ¡not ¡yet ¡in ¡universal ¡use. ¡ 6 ¡months ¡ago, ¡the ¡situation ¡was ¡much ¡bleaker! ¡ Attacks ¡have ¡driven ¡accelerating ¡pace ¡of ¡adoption ¡of ¡TLS ¡1.2. ¡ ¡ 12 ¡ 12 ¡

  13. CRIME ¡and ¡BEAST ¡Attacks ¡

  14. BEAST ¡ Relevant ¡only ¡for ¡CBC-­‑mode ¡ciphersuites ¡in ¡SSL ¡3.0 ¡and ¡TLS ¡1.0. ¡ Exploits ¡use ¡of ¡non-­‑random ¡IV ¡in ¡those ¡ciphersuites. ¡ Theoretical ¡attack ¡pointed ¡out ¡to ¡IETF ¡in ¡1995 ¡(Rogaway) ¡ Made ¡practical ¡by ¡Duong ¡and ¡Rizzo ¡in ¡2011. ¡ Via ¡malicious ¡Javascript ¡running ¡in ¡the ¡browser. ¡ Recovery ¡of ¡HTTP ¡session ¡cookies ¡(and ¡more). ¡ Now ¡(mostly) ¡mitigated ¡in ¡browsers ¡using ¡1/n-­‑1 ¡record ¡splitting. ¡ Makes ¡it ¡ almost ¡defensible ¡to ¡continue ¡using ¡CBC-­‑mode ¡in ¡TLS ¡1.0. ¡ Many ¡experts ¡recommended ¡RC4 ¡as ¡a ¡mitigation. ¡ More ¡later! ¡ 14 ¡ 14 ¡

  15. BEAST ¡– ¡Lessons ¡ ¡ A ¡theoretical ¡vulnerability ¡pointed ¡out ¡in ¡1995 ¡became ¡a ¡practical ¡ attack ¡in ¡2011. ¡ ¡Attacks ¡really ¡do ¡get ¡better ¡(worse!) ¡with ¡time. ¡ ¡Practitioners ¡really ¡should ¡listen ¡to ¡(some) ¡theoreticians. ¡ ¡And, ¡in ¡this ¡case, ¡they ¡did: ¡TLS ¡1.1 ¡and ¡1.2 ¡use ¡random ¡IVs. ¡ ¡Problem ¡was ¡that ¡no-­‑one ¡was ¡using ¡these ¡versions. ¡ Tools ¡from ¡the ¡wider ¡security ¡field ¡were ¡needed ¡to ¡make ¡the ¡ attacks ¡headline ¡news. ¡ ¡Man-­‑in-­‑the-­‑browser ¡via ¡Javascript. ¡ ¡Fair ¡game ¡given ¡the ¡huge ¡range ¡of ¡ways ¡in ¡which ¡TLS ¡get ¡used. ¡ ¡Maybe ¡those ¡tools ¡can ¡be ¡used ¡elsewhere? ¡ ¡ ¡ 15 ¡ 15 ¡

  16. CRIME ¡ Exploits ¡use ¡of ¡optional ¡compression ¡in ¡TLS. ¡ Theoretical ¡attack ¡known ¡since ¡2004, ¡made ¡practical ¡by ¡Duong ¡ and ¡Rizzo ¡in ¡2012. ¡ Idea: ¡ Plaintext ¡length ¡leaks ¡through ¡ciphertext ¡length. ¡ But ¡plaintext ¡length ¡leaks ¡amount ¡of ¡compression. ¡ And ¡amount ¡of ¡compression ¡leaks ¡a ¡tiny ¡amount ¡about ¡plaintext. ¡ Recovery ¡of ¡HTTP ¡session ¡cookies ¡(and ¡more). ¡ Mitigated ¡by ¡switching ¡off ¡TLS ¡compression. ¡ Application ¡layer ¡compression ¡still ¡problematic. ¡ ¡ 16 ¡ 16

  17. CRIME ¡– ¡Lessons ¡ ¡ A ¡theoretical ¡vulnerability ¡pointed ¡out ¡in ¡2004 ¡became ¡a ¡practical ¡ attack ¡in ¡2011. ¡ ¡Attacks ¡really ¡do ¡get ¡better ¡(worse!) ¡with ¡time. ¡ ¡Do ¡you ¡see ¡the ¡emerging ¡theme ¡here? ¡ Tools ¡developed ¡for ¡BEAST ¡ were ¡reused ¡in ¡committing ¡CRIME. ¡ And ¡maybe ¡they ¡can ¡be ¡used ¡yet ¡elsewhere? ¡ ¡ ¡ 17 ¡ 17

  18. Lucky ¡13 ¡Attack ¡

  19. TLS ¡Record ¡Protocol: ¡MAC-­‑Encode-­‑Encrypt ¡ SQN ¡|| ¡HDR ¡ Payload ¡ MAC ¡ Padding ¡ MAC ¡tag ¡ Payload ¡ Encrypt ¡ Ciphertext ¡ HDR ¡ HMAC-MD5, HMAC-SHA1, HMAC-SHA256 MAC ¡ CBC-AES128, CBC-AES256, CBC-3DES, RC4-128 Encrypt ¡ “00” or “01 01” or “02 02 02” or … . or “FF FF … .FF” Padding ¡ 19 ¡ 19 ¡

Recommend

How broken is TLS? A tale of BEAST, CRIME, Lucky Thirteen and Heartbleed Hanno B ock,

How broken is TLS? A tale of BEAST, CRIME, Lucky Thirteen and Heartbleed Hanno B ock,

Introduction Software CAs X.509 Symmetric encryption TLS misc Misc End How broken is TLS? A tale of BEAST, CRIME, Lucky Thirteen and Heartbleed Hanno B ock, https://hboeck.de 2014-04-19 1 / 44 Introduction Software CAs Introduction

821 views • 44 slides
A Perfect CRIME? TIME Will Tell Tal Beery, Web research TL Agenda BEAST + Modes of

A Perfect CRIME? TIME Will Tell Tal Beery, Web research TL Agenda BEAST + Modes of

A Perfect CRIME? TIME Will Tell Tal Beery, Web research TL Agenda BEAST + Modes of operation CRIME + Gzip compression + Compression + encryption leak data TIME + Timing + compression leak data Attacking responses 2

425 views • 41 slides
Revelation 13 The Beast and the Number 666 Becoming Closer The Beast from the Sea (Rev 13:1-2

Revelation 13 The Beast and the Number 666 Becoming Closer The Beast from the Sea (Rev 13:1-2

Revelation 13 The Beast and the Number 666 Becoming Closer The Beast from the Sea (Rev 13:1-2 NIV) And the dragon stood on the shore of the sea. And I saw a beast coming out of the sea. He had ten horns and seven heads, with ten crowns on

259 views • 15 slides
Pairings are not dead, just resting ECC 2017 Diego F. Aranha December 8, 2018 Institute of

Pairings are not dead, just resting ECC 2017 Diego F. Aranha December 8, 2018 Institute of

Pairings are not dead, just resting ECC 2017 Diego F. Aranha December 8, 2018 Institute of Computing University of Campinas Bilinear pairings 1 Bilinear pairings e ( P + R , Q ) = e ( P , Q ) e ( R , Q ) and e ( P , Q + S ) = e ( P , Q

1.02k views • 58 slides
Boring crypto Some recent TLS failures Daniel J. Bernstein Diginotar CA compromise. University

Boring crypto Some recent TLS failures Daniel J. Bernstein Diginotar CA compromise. University

Boring crypto Some recent TLS failures Daniel J. Bernstein Diginotar CA compromise. University of Illinois at Chicago & BEAST CBC attack. Technische Universiteit Eindhoven Trustwave HTTPS interception. CRIME compression attack. Lucky 13

1.3k views • 128 slides
BEAST 2 BEAST 2 RB subst model BEAST Add-Ons Remco R. Bouckaert

BEAST 2 BEAST 2 RB subst model BEAST Add-Ons Remco R. Bouckaert

BEAST 2 Remco Bouckaert BEAST 2 BEAST 2 RB subst model BEAST Add-Ons Remco R. Bouckaert remco@cs.{auckland|waikato}.ac.nz rrb@xm.co.nz Department of Computer Science University of Auckland & University of Waikato 1 BEAST 2 What

659 views • 20 slides
Resting state fMRI Introduction: The default mode network Resting state fMRI

Resting state fMRI Introduction: The default mode network Resting state fMRI

Resting state fMRI Introduction: The default mode network Resting state fMRI Physiological basis Other networks and their relation to EEG Our Application: Resting state networks in the severely injured brain Outlook Henning

1.07k views • 34 slides
400 . 20 . , - , , - , . , , .

400 . 20 . , - , , - , . , , .

400 . 20 . , - , , - , . , , . The Royal Hotel Spa, Resort&Convention Venter 5*Dlx Isrotel Dead Sea 5* The Daniel Dead Sea 5* Le Meridien Dead Sea 5* Crowne Plaza Dead

188 views • 17 slides
BEAUTY AND THE BEAUTY AND THE BEAST BEAST Eta Haskell for JVM JAREK RATAJSKI JAREK RATAJSKI

BEAUTY AND THE BEAUTY AND THE BEAST BEAST Eta Haskell for JVM JAREK RATAJSKI JAREK RATAJSKI

BEAUTY AND THE BEAUTY AND THE BEAST BEAST Eta Haskell for JVM JAREK RATAJSKI JAREK RATAJSKI @jarek000000 Loves programming since the first line I wrote for C64 Anarchitect @ Engenius GmbH Java developer (since 1999) with a functional

1.31k views • 114 slides
Dead Code Elimination (DCE) Dead code elimination is an optimization that removes DEAD

Dead Code Elimination (DCE) Dead code elimination is an optimization that removes DEAD

Dead Code Elimination (DCE) Dead code elimination is an optimization that removes DEAD variables A variable that is defined and not LIVE OUT is DEAD do { computeLiveness() foreach instruction I { if (defs.contains(I) &&

599 views • 12 slides
I W A K p r e s e n t a t i o n WHAT IS CRIME ? A crime is an illegal act for which someone

I W A K p r e s e n t a t i o n WHAT IS CRIME ? A crime is an illegal act for which someone

MKAN PRESENTS I W A K p r e s e n t a t i o n WHAT IS CRIME ? A crime is an illegal act for which someone can be punished by the government; especially a gross violation of law . Crime constitutes a major threat to the 60% national security

880 views • 34 slides
What is Cyber Crime? Cyber Enabled Crime Cyber Dependant Crime Traditional crime that is

What is Cyber Crime? Cyber Enabled Crime Cyber Dependant Crime Traditional crime that is

R egional C yber C rime U nit DC Louise Gibson Prepare, Prevent & Protect What is Cyber Crime? Cyber Enabled Crime Cyber Dependant Crime Traditional crime that is enhanced in scale or Crimes that can only be committed solely reach by use

316 views • 9 slides
Feeding Feeding the the beast: beast: science science cases cases for for SHAR(K)

Feeding Feeding the the beast: beast: science science cases cases for for SHAR(K)

Feeding Feeding the the beast: beast: science science cases cases for for SHAR(K) SHAR(K)-NIR@LB NIR@LBT Valentina DOrazi INAF Padova Francesca Bacciotti (INAF Arcetri), Angela Bongiorno (INAF Roma) and the science team ADONI 2016,

554 views • 18 slides
Taming the Beast Workshop Bayesian inference of species tree Species & gene trees *BEAST

Taming the Beast Workshop Bayesian inference of species tree Species & gene trees *BEAST

Taming the Beast Taming the Beast Workshop Bayesian inference of species tree Species & gene trees *BEAST Species tree prior Multispecies coalescent Bayesian inference of species tree Molecular clock model Felsenstein likelihood and

205 views • 19 slides
Speaking with Impact Issues 2 and Conversation Strategies Crime Crime . . . . . . . . .

Speaking with Impact Issues 2 and Conversation Strategies Crime Crime . . . . . . . . .

. Crime movies . . . . . . . . . Textbook Crime songs Punishment . Crime vocabulary I Cloze I Crime vocabulary II Cloze II and III Crime Exam Week 5 Criminal cases Death penalty The end Speaking with Impact Issues 2 and

1.66k views • 140 slides
Formal Power Series Emma Franz May 5, 2015 1 / 24 Lucky tickets example Lucky tickets of six

Formal Power Series Emma Franz May 5, 2015 1 / 24 Lucky tickets example Lucky tickets of six

Formal Power Series Emma Franz May 5, 2015 1 / 24 Lucky tickets example Lucky tickets of six digits A ticket of six digits is a string, six numbers long, where the digits can take on values from 0 to 9. Then a lucky ticket is a ticket

375 views • 24 slides
PRESENTATION SEPTEMBER 2016 H ow lucky we are. We have the scientific data, and as Art of

PRESENTATION SEPTEMBER 2016 H ow lucky we are. We have the scientific data, and as Art of

PRESENTATION SEPTEMBER 2016 H ow lucky we are. We have the scientific data, and as Art of Change 21 shows, we have the creativity of the world in our hands. We are lucky because we still have time to change. OLAFUR ELIASSON, PATRON OF ART

297 views • 18 slides
Beast II 101: Part 2 XML Add-ons Applications Remco R. Bouckaert

Beast II 101: Part 2 XML Add-ons Applications Remco R. Bouckaert

Beast II 101 Bouckaert Beast II 101: Part 2 XML Add-ons Applications Remco R. Bouckaert remco@cs.{auckland|waikato}.ac.nz Department of Computer Science University of Auckland & University of Waikato 1 Beast II 101 What is XML?

492 views • 26 slides
Beam background detection at SuperKEKB/Belle II Peter M. Lewis on behalf of the BEAST II

Beam background detection at SuperKEKB/Belle II Peter M. Lewis on behalf of the BEAST II

Beam background detection at SuperKEKB/Belle II Peter M. Lewis on behalf of the BEAST II Collaboration University of Hawai i at M noa 27 February 2017 INSTR-17 Overview This talk About BEAST II: a suite of detectors for measuring

273 views • 26 slides
PRESENTATION JULY 2016 H ow lucky we are. We have the scientific data, and as Art of Change 21

PRESENTATION JULY 2016 H ow lucky we are. We have the scientific data, and as Art of Change 21

PRESENTATION JULY 2016 H ow lucky we are. We have the scientific data, and as Art of Change 21 shows, we have the creativity of the world in our hands. We are lucky because we still have time to change. OLAFUR ELIASSON, PATRON OF ART OF

478 views • 20 slides
2018/10/24 1 2018/10/24 2 SAFE DEAD WORK SAFE DEAD WORK.. What is this?

2018/10/24 1 2018/10/24 2 SAFE DEAD WORK SAFE DEAD WORK.. What is this?

2018/10/24 1 2018/10/24 2 SAFE DEAD WORK SAFE DEAD WORK.. What is this? There are two practical options.. NRS 097-2-1 compliance (switch off and break before you make) What is the Dead Grid Safety Lock?

907 views • 27 slides
BEAST results on SuperKEKB beam background: focus on the PLUME pixelated system Jerome Baudot on

BEAST results on SuperKEKB beam background: focus on the PLUME pixelated system Jerome Baudot on

BEAST results on SuperKEKB beam background: focus on the PLUME pixelated system Jerome Baudot on behalf of the BEAST/Belle II collaboration Beam induced background at SuperKEKB & Belle II: BEAST The double-sided PLUME device

601 views • 38 slides
Its Your Life, Real Education Unit 1, Lesson 5 1 Who is Dead Prez? 2 Video Clip 10 - Dead

Its Your Life, Real Education Unit 1, Lesson 5 1 Who is Dead Prez? 2 Video Clip 10 - Dead

Its Your Life, Real Education Unit 1, Lesson 5 1 Who is Dead Prez? 2 Video Clip 10 - Dead Prez - Hip Hop Dead Prez is a hip hop group that makes music designed to free the mind of their community from The Matrix. Study them. 3 Video

621 views • 15 slides
Cyb e r Crime Wha t is it? Ho w do e s it o c c ur? Ho w c a n we pre ve nt it? Wha t if it

Cyb e r Crime Wha t is it? Ho w do e s it o c c ur? Ho w c a n we pre ve nt it? Wha t if it

Cyb e r Crime Wha t is it? Ho w do e s it o c c ur? Ho w c a n we pre ve nt it? Wha t if it ha ppe ns? Cyb e r Crime : T ho ug ht Pro vo king Sta tistic s I n the Ye a r 2020: 5 Billio n Pe o ple will b e Online 50

394 views • 13 slides

More recommend