一组研究人员发现19年前的老旧加密攻击现新变体“ROBOT”，在特定条件下能获取加密私钥，从而解密敏感HTTPS流量。

何为ROBOT

ROBOT的全称为Return Of Bleichenbacher's Oracle Threat，即Bleichenbacher的 Oracle威胁回归，从字面意思可以看出这种攻击是Bleichenbacher攻击的变种。

ROBOT攻击：19年前的Bleichenbacher攻击回归-E安全

Bleichenbacher攻击原理

1998年，贝尔实验室(Bell Laboratories)的丹尼尔-布莱汀巴克尔在TLS服务器的操作机制中发现漏洞：当服务器所有者选择RSA算法加密服务器-客户端的密钥交换时，TLS服务器操作过程就会出现漏洞。

默认情况下，在客户端(浏览器)与服务器通过HTTPS开始通信之前，客户端将会选择将服务器公钥加密的随机会话密钥。这个被加密的会话密钥会被发送到服务器，服务器再使用私钥解密消息，并保存会话密钥副本，以便后续用来识别每个客户端。但由于RSA算法并不安全，它还使用填充系统在加密会话密钥的顶层添加额外的随机字节。

布莱汀巴克尔发现，如果会话密钥通过RSA算法加密，而填充系统为PKCS #1 1.5，攻击者可简单将随机会话密钥发送给TLS服务器，并询问是否有效，TLS服务器将会以简单的“是”或“否”给出回应。这意味着攻击者可通过简单的暴力破解攻击猜测这个会话密钥，并解密在TLS(HTTPS)服务器和客户端(浏览器)之间交换的所有HTTPS消息。

TLS标准设计者并未替换不安全的RSA算法，而是决定添加应对策略，加大暴力猜密过程的难度。这种修复方案不足以应对不断演进的Bleichenbacher攻击，2003年、2012年、2014年、2015年和2016年不同的Bleichenbacher攻击新变体出现。2016年的变体为DROWN漏洞攻击，该攻击影响了三分之一的HTTPS站点。

最新的变体ROBOT攻击强势现身

ROBOT攻击也绕过了TLS开发人员1998年及之后部署的应对策略。研究人员表示，TLS标准相当复杂，许多服务器设备厂商未正确实现TLS标准第7.4.7.1节(RFC 5246)定义的原始Bleichenbacher攻击应对策略。

影响范围

研究人员指出，思科、Citrix、F5和Radware等公司在某些配置下——即服务器所有者决定通过RSA算法加密TLS会话密钥，并使用PKCS #1 1.5填充系统——易遭遇ROBOT攻击。

ROBOT攻击：19年前的Bleichenbacher攻击回归-E安全

研究人员表示，尽管是ROBOT老旧攻击的变种，但包括Facebook和PayPal等27个Alexa排名前100的站点易遭遇ROBOT攻击。而且研究人员在案例研究中加密了Facebook流量。其它排名靠后的站点也可能易遭受ROBOT攻击。

检测方法与应对措施

研究人员已经发布了一个Python脚本(https://github.com/robotattackorg/robot-detect)，帮助服务器管理员扫描易受攻击的主机，并在ROBOT攻击网站首页添加了ROBOT漏洞检查程序(请戳!)。

补丁发布之前，研究人员和美国计算机应急响应小组(US-CERT)建议设备所有者禁用设备上的TLS会话密钥RSA加密(也就是所谓的RSA加密模式)。这种方法实现起来不是问题，因为大多数设备还支持Elliptic Curve Diffie Hellman(ECDH)会话密钥加密。

使用思科ACE产品的用户应注意

思科表示，受影响的思科ACE产品线几年前已停产，因此不会提供更新。然而目前仍有大量易受攻击的主机仍在使用这些设备，因为这些设备不支持任何其它密码套件，禁用RSA也无济于事。

ROBOT与DROWN漏洞攻击的影响力相当，因为攻击者能记录 HTTPS，并解密流量。另外值得注意的是：攻击者通过 ROBOT攻击获取的并非TLS 服务器私钥，而是每个客户端连接的个人会话密钥。这就意味着，攻击者无法访问通用解密密钥，而只是访问某个 HTTPS 会话的一次性密钥。要解密大量 HTTPS 流量，ROBOT 攻击也要投入大量计算能力。