私見：この脆弱性のポイント

関連情報を読んだ限りでは、僕はこの脆弱性のポイントを以下の 2 つだと考えます。

1. 前提条件として、中間者攻撃ができる環境を準備しなければいけない
2. SSL/TLS 通信を改ざんできるのではなく、任意の平文を挿入できるだけである

理解できなかった点

この脆弱性で僕が理解できなかったのは、この脆弱性の技術的背景です。

発見者 Marsh Ray氏、Steve Dispensa氏が公開している資料では、SSL/TLS*3の 2 つの機能 − a) Renegotiation 機能、b) セッションの再利用（Session resumption） − を脆弱性の技術的背景として説明しています。機能 a) を利用する 3 つのシナリオを提示して、そのシナリオにおいて任意の平文を挿入できるとのことです。3 つのシナリオは以下の通りです。

1. クライアント認証が必要となり、Renegotiation が生じる（トリガー：Server）
2. サーバ・クライアントの暗号スイートが異なるため、Renegotiation が生じる（トリガー：Server）
3. クライアントから Renegotiation 要求により、Renegotiation が生じる（トリガー：Client）

どのシナリオでも、中間者とサーバ間で確立した SSL/TLS セッションを再利用して、クライアントとサーバ間で確立した SSL/TLS セッションに任意の平文を挿入するようですが、この仕組みがよく分かりません。SSL/TLS 機能 b) を説明していることから、既存の SSL/TLS セッションのやり取りを Replay して、ごにょごにょしているんだけど思うんですが・・・

おまけ：SSL/TLS の Renegotiation 機能

RFC 5246では、TLS においてRenegotiation 機能は必須ではなく、あくまでオプショナルなものと定義しています。この脆弱性を対策した OpenSSL では、Renegotiation 機能を無効にしたことから、あまり利用される機会もないものだろうか（SANS Diary の記事）

Do you support renegotiation, both client and server initiated?
While renegotiation is an optional feature, supporting it is
highly recommended.

D.4. Implementation Pitfalls, RFC5246

参考情報

• Renegotiating TLS, extendedsubset.com（発見者 Marsh Ray氏、Steve Dispensa氏のアドバイザリ？）
  • Renegotiating_TLS.pdf
• https://www.ihteam.net/blog/hacking-tutorial/tls-sslv3-man-in-the-middle-attack/（PoC）
• Ivan Ristić: SSL and TLS Authentication Gap vulnerability discovered
  • Apache セキュリティモジュール ModSecurity の開発者 Ivan Ristic 氏のブログ
• http://www.asahi.com/digital/cnet/CNT200911060027.html
  • Technology News, Analysis, Comments and Product Reviews for IT Professionals | ZDNet（オリジナル）
• http://yebo-blog.blogspot.com/2009/11/ssltlsmitm.html

【収集用メールアドレス】：q1w2e3w2@gmail.com