Existe-t-il un moyen d'atténuer BEAST sans désactiver complètement AES?

Une façon d'atténuer BEAST est de ne rien faire . Il se trouve que bien que la vulnérabilité utilisée dans BEAST soit toujours là, son exploitation est plutôt difficile. Cela nécessite la capacité de faire des requêtes inter-domaines, avec un haut niveau de contrôle sur les données envoyées dans la requête; en particulier, il a besoin de données "binaires". Duong et Rizzo n'ont pas trouvé de moyen de cartographier l'attaque sur la plaine <img> tags (Javascript hostile qui produit de telles balises, avec un chemin choisi par l'attaquant: le chemin obtient dans la requête, mais il est uniquement en texte). Dans leur démonstration, ils pourraient utiliser deux trous interdomaines, l'un dans une version préliminaire de WebSockets, l'autre dans l'implémentation de Java d'Oracle. Les deux trous ont depuis été corrigés, donc, à droite maintenant, BEAST ne s'applique plus (sauf si vous n'avez pas mis à jour votre navigateur pendant plus d'un an, auquel cas vous avez probablement de plus gros problèmes).

Étant donné que s'appuyer sur l'inexistence de vulnérabilités interdomaines est, au mieux, fragile, les fournisseurs de navigateurs ont également inclus des contre-mesures supplémentaires, avec fractionnement des enregistrements . Lorsque le navigateur veut envoyer un bloc de n octets de données, au lieu de le mettre dans un enregistrement SSL, il le divise en deux enregistrements, le premier étant très petit. Les limites d'enregistrement n'ont aucune signification sémantique dans SSL/TLS, vous pouvez donc effectuer un tel fractionnement sans changer la signification. Cependant, chaque enregistrement se termine par un MAC calculé sur les données d'enregistrement et un numéro de séquence, et en utilisant une clé dérivée de l'échange de clés initial. Cela agit en quelque sorte comme un générateur de nombres pseudo-aléatoires. Par conséquent, le petit enregistrement "émule" la génération IV aléatoire qui rend TLS 1.1+ immunisé contre BEAST.

Idéalement, la répartition serait 0/n: un enregistrement sans données (mais toujours avec un MAC), suivi d'un enregistrement avec les données réelles. Les enregistrements de longueur nulle sont autorisés (conformément à la standard ) mais les implémentations client et serveur boguées ne les tolèrent pas (en particulier IE 6.0); à la place, les navigateurs utilisent un 1/n-1 split, ce qui est tout aussi bon pour vaincre BEAST, mais fonctionne également avec presque tous les clients et serveurs SSL/TLS existants. Au moins Chrome et Firefox l'ont poussé l'année dernière .

La bonne solution est TLS 1.1 + mais même sur SSL 3.0 et TLS 1.0, le problème BEAST peut être considéré comme résolu, au moins dans le contexte Web. Par conséquent, utilisez AES et soyez heureux.