ETS – ukryty smok

Standard finansjery w Europie

Obraz ekranu telefonu z kłódką

W zeszłym roku ukazała się nowa, ulepszona specyfikacja standardu ochrony transmisji TLS, oznaczona numerem wersji 1.3. Zamknięto kilka poważnych usterek konstrukcyjnych i wzmocniono mechanizmy strzegące prywatności. W trakcie prac nad nowym wydaniem do IETF (organizacji odpowiedzialnej za rozwój TLS-u) napisał przedstawiciel grupy finansowej BITS, wyrażając zaniepokojenie niepodatnością proponowanego zestawu protokołów na pasywne podsłuchiwanie.

Transport Layer Security (skr. TLS), to zbiór mechanizmów, dzięki którym możliwa jest bezpieczna wymiana danych między komunikującymi się przez sieć stronami. Ten meta-standard łączy w sobie sprawdzone metody wymiany klucza, symetrycznego oraz asymetrycznego szyfrowania, cyfrowego podpisywania danych, a także wprowadza własne protokoły uzgadniania parametrów ochrony i nawiązywania łączności.

To właśnie z TLS (starszego brata SSL) korzystają przeglądarki stron WWW, aby zabezpieczać transmisje z serwerami, np. bankowości elektronicznej, sklepów online czy systemów dostępu do skrzynek e-mailowych.

Co nowego w TLS 1.3?

Twórcy standardu TLS 1.3, czyli Internet Engineering Task Force (skr. IETF), podkreślają w wydanym komunikacie, że pojawiło się wiele znaczących usprawnień w stosunku do TLS 1.2, między innymi:

  • Usunięto domyślną obsługę przestarzałych i uznawanych za niebezpieczne algorytmów szyfrujących i służących do generowania kryptograficznych sum kontrolnych. Warto nadmienić, że jednym z nich jest RSA – szeroko upowszechniowy algorytm szyfrowania asymetrycznego.

  • Wzbogacono mechanizmy nawiązywania połączenia, aby chronić komunikujące się strony przed możliwością poznania transmitowanych treści w przyszłości; gdyby napastnik dysponujący zarejestrowanym wcześniej szyfrogramem poznał klucz prywatny serwera (np. przez wykradzenie go lub zmuszenie właściciela do jego wydania). Osiągnięto to przez zastosowanie tzw. doskonałego utajniania z wyprzedzeniem (ang. perfect forward secrecy, skr. PFS).

  • Przyspieszono protokół odpowidzialny za wymianę informacji podczas ustanawiania połączenia minimalizując liczbę potrzebnych do przeprowadzenia dialogów.

W tworzeniu nowego wydania standardu uczestniczyło wiele organizacji, jak i indywidualnych badaczy.

Zaniepokojenie

22 września 2016 roku członkowie grupy roboczej IETF odpowiedzialnej za prace nad TLS-em otrzymali korespondencję, w której przedstawiciel grupy BITS (technologiczej frakcji amerykańskiej organizacji Bank Policy Insitute, skr. BPI) wyraził zaniepokojenie oznaczeniem RSA jako algorytmu przestarzałego z uwagi na interesy zrzeszonych w BPI instytucji. Wydaje się to zrozumiałe: nowy standard usuwa technologiczny puzzel, który potrzebny jest do poprawnej pracy pewnym organizacjom, więc sugeują one, aby ze zmianami poczekać. Okazuje się jednak, że nie chodzi tu przede wszystkim o kwestie kompatybilności ze starszym oprogramowaniem czy sprzętem w celu zabezpieczania transmisji, ale o możliwość odszyfrowywania ruchu sieciowego. Autor pisze:

[…] Podobnie jak wiele przedsiębiorstw, instytucje finansowe zależą od możliwości deszyfrowania ruchu TLS, aby wdrażać ochronę przed utratą danych, systemy wykrywania i przeciwdziałania włamaniom, wykrywanie szkodliwego oprogramowania, przechwytywanie i analizę pakietów, a także zwalczanie DDoS-ów. W przeciwieństwie do innych rodzajów biznesu instytucje finansowe polegają na deszyfrowaniu ruchu TLS, aby implementować monitoring oszustw i nadzorowanych pracowników. Produkty, które na to pozwalają będą musiały być zastąpione lub poważnie przeprojektowane, co pociągnie za sobą znaczące koszty i utratę skalowalności wymaganej do zachowania ciągłości działania funkcji, których wymagają instytcje finansowe oraz regulatorzy. […]

Możemy zauważyć, że motywem przewodnim propozycji jest nadzór nad strumieniami danych klientów i pracowników poddawanych inwigilacji. Przedstawiciel BITS wymienia w niej pocztę elektroniczną pracowników, wiadomości komunikatorów, media społecznościowe i aplikacje służące współpracy nad projektami. Roztropnie zauważa, że wspomniane kanały komunikacyjne są chronione mechanizmami obecnymi w TLS.

W dalszej części autor korespondencji ubolewa nad tym, że z uwagi na zastosowane mechanizmy ochrony przed podsłuchiwaniem (w tym wprowadzenie efemerycznych kluczy) niemożliwe staje się pasywne badanie zawartości strumieni sieciowych. Wspomina też m.in. o konieczności zastosowania kosztownej „infrastruktury MITM”, czyli wewnętrznych serwerów „rozszywających” zabezpieczone transmisje i łączących się w imieniu użytkownika do żądanych usług.

Propozycję nie do odrzucenia można streścić w słowach: nie implementujcie w ogólnoświatowym standardzie mocnej ochrony, ponieważ oznacza to dla nas wydatki na infrastrukturę konieczną do tego, aby tej ochronie przeciwdziałać.

Nietrudno się domyślić, że członkowie IETF zajmujący się TLS-em nie przystali na propozycję. Nie ma nic złego w dostosowywaniu protokołów komunikacyjnych do potrzeb biznesu, jednak w tym przypadku celem opracowywanego standardu jest zapewnianie poufności i integralności przesyłanych danych, tak więc ukłon w stronę BITS byłby jego zaprzeczeniem. Istniały uzasadnione obawy, że przyzwolenie na korzystanie ze słabszych algorytmów skończyłoby się podatnościami na zagrożenia obecnymi w publicznych serwisach sieciowych, które z przedsiębiorstwami zrzeszonymi w BPI nie mają nic wspólnego. Byłoby to więc pogarszanie jakości w celu dostosowania do potrzeb wąskiej grupy użytkowników.

Propozycja ETSI

Jakiś czas po propozycji nie do odrzucenia skierowanej do IETF Europejski Instytut Norm Telekomunikacyjnych (ang. European Telecommunications Standards Institute, skr. ETSI) dziwnym zbiegiem okoliczności zaczął prace nad ułomną wersją TLS-u, nazwaną butnie enterprise TLS (w skr. eTLS). Po około roku ukazał się nawet pierwszy oficjalny dokument z zarysem standardu.

Dysponując opracowaną specyfikacją, ETSI poprosiło swój amerykański odpowiednik NIST (ang. National Institute of Standards and Technology, pol. Narodowy Instytut Standaryzacji i Technologii) o opóźnienie publikowania wytycznych standardu TLS 1.3. Jakby tego było mało, zasugerowano, aby w zamian skorzystać z proponowanego standardu eTLS. W uzasadnieniu możemy znaleźć odwołania do spuścizny ETSI w dziedzinie standaryzacji: protokołu GSM, algorytmów kryptograficznych itp.

Kłopoty z nazwą

Zastrzeżenia do działań ETSI zgłosiła organizacja IETF, która posiada prawa do nazwy TLS, zauważając, że posługiwanie się terminem eTLS na określenie osłabionego i zmienionego wydania TLS-u, może wprowadzać w błąd klientów i użytkowników. ETSI zmienił więc nazwę proponowanego standardu na Enterprise Transport Security (skr. ETS) i w dokumentach dalej wszystko się zgadzało.

Obwieszczenie

21 lutego 2019 wydział BITS wystosował list do amerykańskiego NIST-u, w którym zwraca uwagę, że mechanizmy zarządzania certyfikatami w nowym wydaniu TLS-u mogą wzmagać ryzyko operacyjne w niektórych przedsięwzięciach, a nawet krajach (sic!).

Tłumacząc ten komunikat na bardziej przystępny język: koszty podsłuchiwania ruchu sieciowego w organizacjach inwigilujących klientów oraz pracowników mogą znacząco wzrosnąć z powodu konieczności inwestowania w infrastrukturę lub płacenia kar za niezgodność z wytycznymi dotyczącymi np. dyrektyw o przeciwdziałaniu praniu brudnych pieniędzy.

Z listu możemy wywnioskować, że osią sprzeczności jest protokół wymiany kluczy Diffiego-Hellmana, który w nowym TLS-ie korzysta z zalążków efemerycznych, natomiast organizacjom reprezentowanym przez BPI zależy na tym, aby uzgadnianie klucza sesyjnego odbywało się z użyciem stałych wartości. Dzięki temu dalej możliwe będzie reaktywne podsłuchiwanie transmisji, tzn. po wykryciu naruszenia, mając zapis strumienia danych i uzyskany klucz serwera, będzie można dokonać odszyfrowania i poznać zawartość komunikacji.

BITS sugeruje, że NIST powinien, wzorem ETSI, zaadaptować ETS jako standard, który ma szanse zagościć w przeglądarkach WWW, serwerach usług i urządzeniach aktywnych.

Podsumowanie

Zrozumiałe jest, że w niektórych branżach istotne jest monitorowanie aktywności użytkowników bądź klientów. Problematycznym natomiast wydaje się używanie narodowych bądź międzynarodowych organów standaryzacyjnych do tego, aby protokoły o osłabionym bezpieczeństwie stawały się standardami wykorzystywanymi przez wszystkich obywateli. Oznacza to de facto propozycję finansowania ryzyk wybranych instytucji przez ogół, który poświęci bezpieczeństwo i prywatność, aby one mogły zaoszczędzić na infrastrukturze.

Zajmująca się ochroną prywatności i wolności obywatelskich w Sieci organizacja Electronic Frontier Foundation określa ETS mianem Extra Terrible Security, co można w wolny sposób przetłumaczyć jako Dodatkowe Potworne Zabezpieczenie. Namawia też do niestandaryzowania osłabionego wydania TLS-u.

Źródła: Electronic Frontier Foundation, Bank Policy Institute

Jesteś w sekcji

comments powered by Disqus