浣熊攻击 - 全都关乎时机

两天前，9月8日，来自德国和以色列的研究团队发表了一篇 联合研究论文，描述了另一种TLS时序攻击——称为浣熊攻击。此攻击针对所有TLS版本，直至1.2版。

该新型攻击利用了TLS握手期间的时序侧信道，此时使用迪菲-赫尔曼（DH）密钥交换来在客户端和服务器之间建立共享密钥。特别是，攻击者可以根据TLS规范在DH密钥交换的情况下如何定义密钥派生来获知TLS预主密钥的第一个字节是否为零。利用此信息，攻击者可以发动数学攻击来重构整个预主密钥。

这里需要注意的是，此攻击之所以有效是因为TLS规范引入了时序侧信道，而不是特定实现引起的。但是，此攻击仅在服务器使用静态密钥或重用短暂DH密钥时才有效。

首先，这是一种不良做法，因为它不提供前向安全性（PFS）。即使重用了DH密钥，攻击者也必须能够进行非常精确的时序测量。因此，在实践中发动此新型攻击并非易事。

MinIO支持TLS 1.2和TLS 1.3。后者不支持有限域DH，而仅支持椭圆曲线DH（ECDH），因此不受此攻击的影响。此外，MinIO使用Go TLS栈，该栈不受浣熊攻击的影响，仅仅因为它仅实现了基于椭圆曲线的DH。

在此，我们向Go安全维护者表示衷心的感谢，感谢他们选择了安全的默认设置，并且没有实现几乎未使用且难以正确使用的传统密码学。

但是，即使Go本身受到浣熊攻击的影响，MinIO也不会受到影响，因为我们仅支持少量PFS密码套件，每个套件都使用ECDH。

如果您有任何疑问，请随时通过security@min.io与我们联系。安全审计是MinIO订阅网络的核心组成部分。我们鼓励所有生产客户成为订阅用户，它提供商业许可证，同时还提供针对此类棘手问题的深入技术支持。