Onderzoekers hebben een kwetsbaarheid in het protocol ontdekt dat voor het uitwisselen van allerlei vertrouwelijke gegevens wordt gebruikt. Het gaat om het Datagram Transport Layer Security (DTLS) protocol, een datagram-compatibele variant van het TLS protocol. Via deze protocollen wordt informatie tussen een client en server uitgewisseld zonder dat derden de inhoud kunnen zien.
Professor Kenny Paterson en PhD student Nadhem AlFardan van de Royal Holloway universiteit ontdekten een probleem in de manier waarop het protocol een TLS-sessie beëindigt, en waardoor het onderscheppen van gegevens mogelijk is. Het gaat om kleine hoeveelheden informatie die 'vrijkomen' en ervoor zorgen dat een aanvaller geleidelijk aan een volledig beeld van de verstuurde gegevens kan opbouwen.
Oplossing
De onderzoekers ontwikkelden een volledige 'plaintext recovery' aanval tegen de OpenSSL implementatie van DTLS en een gedeeltelijke 'plaintext recovery' aanval tegen de GnuTLS implementatie van DTLS. "Hoewel deze aanvallen in de huidige vorm geen grote bedreiging voor doorsnee gebruikers vormen, maar aanvallen worden met de tijd steeds beter", zegt Paterson tegen Phys.org.
Volgens de professor moeten de problemen vanwege het grootschalige gebruik van TLS nu worden aangepakt. "De zwakheden zijn eenvoudig te voorkomen door het aanpassen van de code, zodat de cryptografische verwerkingstijd van de ontvanger onafhankelijk is van hoe de decryptie faalt", laat Paterson in dit rapport weten.
Inmiddels zou er met verschillende partijen zoals Google, Oracle en OpenSSL gewerkt om de problemen op te lossen.
Met dank aan Michael voor de tip
Deze posting is gelocked. Reageren is niet meer mogelijk.