數字證書透明性CT機制安全威脅研究①

張 婕, 王 偉, 馬 迪, 毛 偉

1(中國科學院 計算機網絡信息中心, 北京 100190)

2(中國科學院大學, 北京 100049)

3(互聯網域名系統北京市工程研究中心, 北京 100190)

4(北龍中網(北京)科技有限責任公司, 北京 100190)

公鑰基礎設施(Public Key Infrasture, PKI)和 SSL/TLS加密協議是當今互聯網進行安全通信的關鍵要素.研究表明, SSL/TLS協議中的證書安全漏洞大量存在于各種系統中[1].在 TLS PKI中, 作為可信第三方的證書頒發機構 (Certificate Authority, CA)和管理著可信根CA證書列表的信任根源Web瀏覽器, 在TLS體系中有用重要權威.正因如此, 若CA或瀏覽器被攻擊或惡意劫持, 會造成嚴重的安全危害.近年來有關攻擊事件頻發, 結束了盲目信任CA簽發證書的時代.例如在 2011 年, 著名認證機構 Diginotar[2]和Comodo[3]遭到黑客入侵, 頒發非法證書;2015 年 4 月,Google在發現中國互聯網絡信息中心(CNNIC)私自給他人簽發證書的行為之后, 決定在包括Chrome在內的所有產品中刪除CNNIC根證書, 稱不再信任國內CNNIC證書[4];2016年10月, 因國內唯一一家通過國際審計、擁有全球信任的頂級根證書的商業CA沃通及被其秘密收購的StartCom均存在不同程度的違規問題, Google不再信任沃通的證書和StartCom CA[5].在這些情況下, 攻擊者可以進行中間人(MitM)攻擊[6],攔截安全鏈接, 并竊取用戶的敏感信息.為了減輕SSL證書系統的結構性缺陷, Google于2013年3月提出了 Certificate Transparency(數字證書透明性, 簡稱CT)技術[7], 用于提升SSL/TLS協議的服務器證書的可信性, 從而提高HTTPS網站的安全性.同年6月,CT技術被推進為IETF標準RFC6962:Certificate Transparency.2014 年 1 月, IETF 成立 Public Notary Transparency(TRANS)工作組, 在其中討論RFC6962的更新, 包括增加CT的設計和部署經驗, 和使用CT時的隱私性考慮.

對于證書頒發機構的實現情況, 2013年3月,Google推出其首個證書透明性日志, 同年9月,DigiCert成為首個實現CT的數字證書認證機構.Google Chrome在2015年開始要求新頒發的擴展驗證證書(EV)提供CT證明, 并要求2018年4月之前, 所有SSL證書都要支持CT.

CT是打破原有以證書頒發機構CA為認證體系中心的、扁平式認證體系的帶外認證技術.但CT在提升HTTPS網站的安全性的同時, 也改變了傳統WEB PKI的信任模型, 引入了新的運行風險.但Google卻一直規避CT所帶來的安全問題[8], 借助其Chrome瀏覽器在全球終端用戶中的覆蓋率, 全球范圍內推廣部署CT.因此, 為了更好地部署和應用 CT, 對于數字證書透明性的安全威脅因素的研究尤為重要.

然而, 截至目前, 國內外學術界圍繞CT展開的研究工作主要是針對證書撤銷和分散CA權力的方案實現, 缺少以CT安全威脅因素為主題的綜述性文章, 本文致力于填補這個研究方向的空白.本文首先介紹了CT基本原理, 基于基本原理分析歸納總結出基于CT的Web PKI信任模型和安全威脅模型, 從而提出安全保障機制及應用部署建議, 最后展望了未來基于CT的Web PKI的挑戰與機遇, 以期對未來研究提供有益的啟發和借鑒.

本文剩余部分的組織結構如下:第1節回顧了Web PKI信任模型及結構缺陷, 第2節闡述了CT的基本原理.第3節和第4節分別描述了基于CT的Web PKI信任模型、安全威脅模型.第5節針對CT的運行風險和存在的安全威脅, 提出了部署建議.第6節總結和展望.

1 Web PKI信任模型及結構缺陷

近年來, 大量網站默認使用基于SSL/TLS協議的https安全通信.在操作系統/瀏覽器中, 通常預置了數百個CA的根證書, 每個CA都可以簽發任何域名的服務器證書.這就導致了Web PKI系統有很大的缺陷:惡意攻擊者只要能成功入侵其中一個CA, 就能夠簽發它所需要的、包含虛假信息但可驗證成功的證書.

以一個真實事件為例, 如圖1所示, 惡意攻擊者通過DNS緩存污染的方法將用戶劫持到一個假冒的gmail.com網站, 并入侵DigiNotar CA為該網站偽造了一張SSL證書;當用戶訪問假冒網站時, 瀏覽器會成功驗證該虛假證書并建立https連接, 從而獲取用戶的敏感信息, 也即通常所說的網絡釣魚.有時為了不被用戶發現異常, 攻擊者還可能會在另一端與真實合法的gmail.com建立連接, 并作為中間人(MITM)竊取用戶與合法網站之間的通信數據.

鑒于證書的重要性, 很多機構投入了很多的精力來研究改善證書管理的現狀, 以期增強證書的有效性驗證.研究人員提出了很多加強SSL安全的方法, 如采用 HTTP Strict Transport Security(HSTS)來遏制SSL 剝離[9];使用 The Public Key Pinning Extension for HTTP (HPKP)允許網站使用HTTP標頭指定自己的公鑰, 并指示瀏覽器拒絕具有未知公鑰的任何證書[10];采用 DNS-based Authentication of Named Entities(DANE)[11], 依賴與DNSSEC阻止偽造修改DNS記錄來使瀏覽器只接受一些特定的證書;Google提出并發布的數字證書透明性[7], 可以實時檢測偽造證書, 出于谷歌的影響力, 這個方案的普及對于保障證書的安全性有顯著的改善.

圖1 https連接的建立過程 (中間人攻擊)

2 基于CT的Web PKI基本原理

CT的目標是提供一個開放透明的監控和審計系統, 要求CA向該系統中記錄所有的證書簽發行為, 從而讓任何CA和域名所有者確定證書是否被錯誤簽發或被惡意使用, 保護用戶訪問https網站時的安全.

CT改變了證書的簽發流程, 新流程規定:證書必須記錄到可公開驗證、不可篡改且只能添加內容的日志中, 用戶的Web瀏覽器才會將其視為有效.通過要求將證書記錄到這些公開的CT日志中, 任何感興趣的相關方都可以查看由任何CA向任何網站簽發的證書.這能夠促使CA在簽發證書時更加負責, 從而有助于形成一個更可靠的系統.

CT并不能阻止CA簽發錯誤或虛假證書, 但是它能讓人們清楚地看到CA簽發的所有證書, 從而使檢測這些證書的過程變得相對容易.具體來說, CT有三個主要的功能性目標:(1) CA 難以錯發證書, 從源頭上減少了錯發證書地機率.(2) 提供一個公開的審計和監控系統.(3) 用戶能夠識別惡意/錯誤的證書.

如圖2所示, CT系統由三部分組成, 確保CA和日志服務器遵循CT工作流程:

(1) 證書Log日志:維護可公開審計、只增不減的證書日志.

(2) 監控器:通過下載并檢查所有日志條目來檢查日志中的可以證書.

(3) 審計器:根據日志的部分視圖驗證日志的行為是否正確.

圖2 CT系統組成部分

3 基于CT的Web PKI信任模型

基于CT的Web PKI信任模型分為帶內帶外兩部分機制, 如圖3所示.其中帶內信任機制是基于傳統Web-PKI信任模型的, 證書頒發者(CA)是信任錨點,而Web瀏覽器是負責驗證證書的可信依賴方.帶外信任機制是基于CT的驗證鏈路, 在此情況下, 依賴方不僅要信任傳統Web PKI, 還要信任CT機制中的log日志.通過帶內帶外兩種信任機制, 為整個SSL證書系統增加公共監督和審查功能來增強信任鏈模型.

3.1 基于傳統Web PKI的帶內信任模型

在傳統Web-PKI信任模型中, 如圖4所示, 瀏覽器預置了一組受信任的根證書.可信的證書列表由瀏覽器供應商初始化、更新、在TLS連接建立期間, 目標網站提供相應域名的端點證書, 以及中間證書(一個或多個), 旨在讓瀏覽器構建從根到端點的證書信任鏈.在這種情況下, 證書頒發者(CA)是信任錨點, 而Web瀏覽器是負責驗證證書的可信依賴方[12].根據X.5905標準, 公鑰需要通過數字證書綁定身份, 則依賴方可以確定Web服務器的真實性[13].

Web PKI使用CA層次結構模型, 具體信任關系為:如果證書由瀏覽器信任的CA簽發, 則采用該證書的瀏覽器是可信的.Web PKI有一組根CA, 它們的公鑰通常存儲或預配置在根CA的受信任列表中、操作系統和瀏覽器中.根CA作為整個Web PKI的基礎, 證書路徑是指從根CA證書到Web服務器證書的證書鏈.鏈路驗證是指驗證路徑的正確性和有效性.

圖3 基于CT的Web PKI信任模型

對于依賴方瀏覽器來說, 為了確定公鑰的合法性,信任關系通過以下兩個操作進行確認:

(1)首先, 依賴方必須信任CA給簽發證書的秘鑰是合法的(秘鑰合法性).

(2)其次, 依賴方必須信任CA頒發合法證書(頒發者信任).

圖4 基于傳統Web PKI的帶內信任模型

在Web PKI中, 信任模型是頒發者信任和秘鑰合法性二元信任.由信任的根CA頒發的證書都是可信的, 但不同的CA可能實行不同的信任方案, 采用不同的安全機制.

但是, CA 可以任意頒發證書, 這使得Web PKI信任模型也存在中間人攻擊的問題:任何一個CA可以為任何一個網站簽發證書, 無需該網站的同意.拿到這種非授權的證書, 可以構造一個假冒的網站, 用戶的瀏覽器在訪問這種服務器時不會產生警告, 從而攻擊者可以進行中間人攻擊.

3.2 基于CT的帶外信任模型

CT改變了傳統的Web-PKI信任模型, 除了要信任傳統的Web-PKI模型, 即帶內信任機制CT, 還要信任 Log, Log 會對信任產生干預, 即帶外信任機制.基于CT的Web PKI信任模型中的帶外信任機制主要由三個實體組成:

A.證書日志 Log:存儲終端證書

B.證書監控器 Monitor:監控信任錨點

C.證書審計器 Auditor:瀏覽器驗證證書

如圖5所示, 基于CT的Web-PKI數據傳輸模型原理簡述如下:

CA在簽發了某個Web服務器的證書之后, 及時地將該證書簽發行為記錄到公開的Log服務器上.Log服務器以Merkle Tree[14]的形式來存儲SSL證書,保持 Append-Only(只增不刪)特性.即, 一旦 Log 接受了某個證書, 該Log的屬性即可保證相應條目永遠不會被移除或修改.

圖5 帶外信任模型原理

更具體地說, CA向Log服務器發送一個預簽證書(pre-certificate), Log服務器使用自己的私鑰簽署一個證書簽署時間戳 (Signed Certificate Timestamp, 簡稱SCT), 并返回給CA, 隨后CA將SCT嵌入到正式的SSL證書中, 并發送給Web服務器.Web服務器隨后在TLS握手協議中將帶有SCT簽名的證書發送給Web瀏覽器.

域名管理者、CA和利益第三方都可以部署CT Monitor.域名管理者通過CTMonitor, 周期性的對Log進行監視, 可以實時得知自己的各個域名被(部署了CT的所有CA)簽發的證書, 并從中排查出可疑證書.而CA也可以通過CT Monitor監視自己或其他CA簽發的證書.從而CA或域名管理者可以防止錯誤證書(如偽造的服務器證書或未得到合法授權的中間證書)被他人濫用.

Auditor使用證書上附帶的SCT簽名來向Log服務器驗證該證書是否被記錄, 如果沒有,Web瀏覽器就可以拒絕訪問該證書所對應的網站, 以保護自己的安全;另一方面, Auditor可以通過CT的 gossip 協議[15]將該問題證書的信息通知給Monitor.以便CA或域名管理者及時處理.

此外, 證書透明性中的Gossip協議[16]作為其通信協議, 允許Monitor、Auditor、Web客戶端之間相互交流信息, 共享從Log服務器中獲得的證書信息, 以保證證書的一致性、檢測Log服務器的不正當行為.

3.3 信任核心

從3.1和3.2節分析可以看出, 瀏覽器(依賴方RP)在基于CT的Web-PKI體系中是關鍵信任對象,是連接傳統信任模型和CT Log服務器的橋梁, 也是信任的核心.它是帶內帶外兩條數據驗證的信任核心:

(1) 帶內數據驗證:

作為證書依賴方, SSL/TLS協議客戶端(通常是瀏覽器)預先存儲有自己所信任的根CA自簽名證書, 用來驗證與之通信的PKI用戶的證書鏈, 可信地獲得該用戶的公鑰, 從而用于機密性、數據完整性、身份鑒別等各種安全功能.瀏覽器選擇哪些全球公開的信任錨點根證書, 也決定了后續有哪些CA是可信的.

(2) 帶外數據驗證:

由于CT機制的部署, 瀏覽器只接受放入Log服務器并由其信任背書的證書, 預示著瀏覽器在信任帶內數據驗證起點之前首先需要信任Log服務器的公鑰.

綜合這兩個數據驗證路徑, 瀏覽器直接影響基于CT的Web-PKI系統中證書條目的有效性.依賴方RP和Auditor分別是帶內數據驗證和帶外數據驗證的核心, 由此可見, 部署CT以后的整個Web-PKI體系信任核心是瀏覽器.

4 基于CT的Web PKI安全威脅模型

數字證書透明性(CT)這一概念及其相關技術體系, 是一次針對Web PKI安全缺陷在協議層面所做的系統性修復工作.這一安全技術擴展, 改變了傳統Web PKI的威脅模型, 但也引入了新的運行風險.本節面向CT體系中的實體對象(CA、證書、日志、監視器、瀏覽器等), 分析了“證書錯誤發放”錯誤類型和威脅因素, 提出了基于CT的Web PKI的安全威脅模型.

IETF 草案“Attack Model for Certificate Transprency”[17]討論了CT在Web PKI背景環境中的威脅、潛在攻擊場景.現將草案中提到的威脅情況根據CT中的實體進行提煉概括為安全威脅模型, 如圖6所示.

圖6 基于CT的Web PKI安全威脅模型

請注意, CT中的實體(Log服務器、Monitor、CA、Web客戶端), 可能存在兩種情況:一種是實體本身為惡意“攻擊者”, 產生一系列的威脅因素;另一種可能性是, 實體是非惡意的, 由于操作錯誤或受到攻擊的情況下, 產生一系列威脅因素.

在本模型中, 可以將威脅因素如下歸類:

1) (a3, a5, b4, b5 和 c2)這幾類威脅涉及證書的有效性和語義驗證.

2) 從密碼學角度分析, 主要存在的威脅是(a2和b3), 涉及的實體主要是 Monitor和 Auditor.(通常不會將Monitor和Auditor分開討論, 因為兩者可以通過Gossip協議共同協作驗證日志行為)

3) (c1和d1)類為無法根除的帶外威脅, 因為無法強制CA將證書添加到日志中, 也不能強迫客戶端拒絕特定的證書.但是如果客戶端拒絕缺少SCT的證書,那么違反c1類威脅的提交者會發現客戶端拒絕了他們的證書.

4.1 行為不正確的Log服務器

CT通過將證書添加日志, 從而達到公開審計的目的, 但若日志服務器是惡意的, 可能采取多種惡意行為.具體如下:

日志可能假意阻止虛假證書的日志條目, 或者可以為虛假證書創建證書的條目, 但不報告其虛假性.還可能會為虛假證書簽署用于驗證有效性的證書時間戳SCT, 從而虛假證書會被視為有效.

此外, 如果行為不當的日志可能會向實體呈現不同的Log日志視圖, 以幫助隱藏目標用戶的虛假證書.日志不會執行句法或語義檢查, 或者簡單地不發送錯誤報告.這種情況, 我們無法通過CT機制審計證書.

另一種情況是, 惡意日志可能會把語法有效的證書報告成語法錯誤.這可能導致CA進行不必要的調查工作, 或者可能不正確地撤銷并重新頒發證書.

4.2 行為不正確的Monitor

監控器監控日志中的可疑證書, 以發現非法或未經授權的證書、證書異常擴展或具有非法權限的證書.監控器只要檢測到異常情況, 就會通知用戶.

若監視器是惡意的, 將不會執行句法或語義檢查,或者簡單地不發送錯誤報告.還可能會把語法有效的證書報告成語法錯誤, 這可能導致CA進行不必要的調查工作, 或者可能不正確地撤銷并重新頒發證書.

更嚴重的是, 行為不正確的Monitor不會告知目標主體證書是虛假的, 甚至向目標域名所有者發出虛假警告.

4.3 證書認證機構(CA)

在基于CT的Web PKI體系中, CA的權力雖然被Log Server、證書持有者分散, 但是仍存在安全隱患.

CA若其選擇不將證書添加到日志中, 從而屏蔽CT的監控作用;若頒發虛假證書則可以偽裝成經過公開審計的有效證書;CA可能會拒絕撤銷或拖延證書撤銷的時間, 從而允許虛假證書仍存在一段時間, 從而引發安全隱患.

另一種情況, 惡意CA可能會反其道行之贏得信任:通過撤銷虛假的證書, 或列出虛假證書黑名單, 以避免瀏覽器廠商對CA采取懲罰措施.

更嚴重的是, 若多個父級CA為惡意的中間CA簽發證書, 則惡意證書存在多個有效路徑驗證鏈, 即使其中一條鏈路驗證被破壞, 其他鏈路驗證有效, 如圖7所

圖7 虛假證書的多個證書鏈

4.4 Web客戶端

在CT架構中, 必須對證書進行日志記錄, 以使監視器能夠檢測到證書錯發, 并觸發后續撤銷.若瀏覽器拒絕沒有SCT的證書、認為其無效, CA為了使其頒發的證書有效, 會主動將其添加Log服務器, 進行日志記錄, 以獲得 SCT.然而, 并不能強制瀏覽器拒絕缺少SCT證書, 因此這也是一種威脅因素.

5 基于CT的Web PKI安全保障機制

CT技術開始在Chrome和Chromium中廣泛部署后, 也引起了學術界的高度關注和后續研究.文獻[18,19]完成了對證書撤銷操作的公開審計, 使得能在Log服務器上維護可審計的證書撤銷狀態信息.PoliCert[20]方案和ARPKI[21]方案進一步限制了CA在SSL/TLS服務器證書簽發過程中的權力.文獻[14]和[22]提出了更有效的Gossip協議, 確保CT用戶獲得的日志具有一致性, 也在Gossip協議中更加注重隱私保護.文獻[15]改進了CT技術使其具有擴展功能和短日志證明(Proof)格式.

通過上述文獻分析, 對于CT技術方面的安全保障機制, 可以歸結為以下兩點:

(1)TLS PKI基礎架構中CA擁有很大權利, 域所有者無法控制其證書的使用和驗證.CT及其擴展增強方案, 都是在證書簽發階段, 由Log服務器、證書持有者借入來分散部分權利.然而, 由于CT的目標僅僅是使證書公開審計, 但是攻擊者仍可以入侵CA完成虛假證書的審計過程.所以我們需要新的技術模型實現對CA權力進行限制的可信模型.

(2)另外, CT本身并沒有對證書撤銷進行改進, 所以技術方面需要改進證書撤銷機制, 實現對證書撤銷操作的公開審計.證書撤銷也必須能夠驗證一致性, 并且允許刪除以及添加撤銷狀態.證書撤銷還必須能夠有效地驗證條目是否存在于日志的特定的版本中.

6 總結與展望

針對數字證書透明性的安全威脅問題, 本文首先梳理了基于CT的WEB-PKI的信任模型, 分析了信任模型的信任核心, 針對信任核心以及CT技術的其他實體對象歸納總結出安全威脅模型, 并提出了技術上的ji簡易部署.

在Web PKI體系中, 認證機構CA給予的信任水平一直在下降, 基于日志方法的CT能夠確保對TLS欺詐證書公開審計.但針對本文安全威脅模型, 如何對于CT技術中Log服務器、Auditor、Monitor等實體的不當行為進行檢測和傳播是目前基于日志的PKI體系結構的缺失;并且對于CT傳播過程中存在的隱私問題, 效率和可部署性都是具有挑戰的研究方向.近2年來, CT技術在走向大面積推廣的過程中, 其技術研究出現了新的深度.我們有理由相信作為普適性的證書驗證技術CT必定會有更加豐碩的研究成果.CT技術的安全性部署、隱私性、對Log服務器的檢測等工作將會在未來有更進一步的深入探討和研究.