Некоторые сайты перестали работать по HTTPS из виртуалки

Discussion:

(слишком старое сообщение для ответа)

Eugene Muzychenko

2016-11-07 21:40:44 UTC

* Originally in Ru.Internet
* Crossposted in Ru.Internet.Security

Привет!

Последние полтора месяца приходится работать в виндовой виртуалке под
VirtualBox на MacOS, но подобных глюков в ней не было. Hесколько дней назад
некоторые сайты перестали работать через HTTPS из виртуалки - браузер выдает
либо "connection was reset by server", либо "connection is not secure".

Среди отличившихся сайтов - gosuslugi.ru, mts.ru (только личный кабинет),
mysku.ru (после входа в учетную запись).

Все остальное прекрасно работает - yandex.ru, google.com, wikipedia.org, туча
разных форумов, где я зарегистрирован.

Браузеры - старая опера 12.18 и свежий файрфокс 49.0.2.

Однако, те же сайты, открываемые на хосте (под MacOS) или с других компьютеров
той же сети, работают нормально.

Сравнив параметры соединения, которое устанавливают работающие и неработающие
сайты, сразу заметил, что у работающих сайтов в cipher suites присутствует
ECDHE:

Сбербанк: TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA348,256 bit keys,TLS 1.2

Яндекс: TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256,128 bit keys,TLS 1.2

Википедия: TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256,256 bit keys,TLS 1.2

А у неработающих его нет:

Госуслуги, МТС: TLS_RSA_WITH_AES_256_CBC_SHA,256 bit keys,TLS 1.2

В подробностях систем шифрования я совершенно не разбираюсь - понял лишь, что
сервер и браузер предлагают друг другу наборы разных вариантов, и пытаются
выбрать взаимно подходящий. Раньше они все договаривались, а теперь часть
перестала.

В российском интернете снова какая-то кампания за повышение безопасности, и
какие-то параметры шифрования исключили из поддержки? Или поменяли какие-то
протоколы, и проявляется это только при работе через NAT VirtualBox'а?

VirtualBox последний (5.1.8), обновлялся в октябре, после обновления этих
глюков не было.

Единственное изменение обстановки, которое удалось отследить - вернулся из-за
границы в родную деревню, теперь работаю через модем с симкой МТС и
маршрутизатор. Те же модем, симка и маршрутизатор раньше проблем не создавали.

Всего доброго!
Евгений Музыченко
eu-***@muzy-chen-ko.net (все дефисы убрать)

Alexey Vissarionov

2016-11-07 21:44:44 UTC

Permalink

Доброго времени суток, Eugene!
08 Nov 2016 00:40:44, ты -> All:

EM> Hесколько дней назад некоторые сайты перестали работать через HTTPS
EM> из виртуалки - браузер выдает либо "connection was reset by server",
EM> либо "connection is not secure".
EM> Браузеры - старая опера 12.18 и свежий файрфокс 49.0.2.
EM> Сравнив параметры соединения, которое устанавливают работающие и
EM> неработающие сайты, сразу заметил, что у работающих сайтов в cipher
EM> suites присутствует ECDHE:
EM> Сбербанк: TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA348,256 bit keys,TLS 1.2
EM> Яндекс: TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256,128 bit keys,TLS 1.2
EM> Википедия: TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256,256 bit
EM> keys,TLS 1.2
EM> А у неработающих его нет:
EM> Госуслуги, МТС: TLS_RSA_WITH_AES_256_CBC_SHA,256 bit keys,TLS 1.2

ECDHE лично я избегаю всеми возможными способами, но в данном случае причина
немного другая: хеш SHA-1 и _все_ симметричные алгоритмы, работающие в режиме
сцепления блоков (CBC, cipher block chaining) в настоящий момент уже являются
ненадежными.

EM> В подробностях систем шифрования я совершенно не разбираюсь - понял
EM> лишь, что сервер и браузер предлагают друг другу наборы разных
EM> вариантов, и пытаются выбрать взаимно подходящий. Раньше они все
EM> договаривались, а теперь часть перестала.

Именно так. В частности, я (в тех редких случаях, когда мне нужен HTTPS)
настраиваю nginx на использование алгоритмов:

DHE-RSA-AES256-GCM-SHA384
DHE-RSA-AES128-GCM-SHA256
AES256-GCM-SHA384
AES128-GCM-SHA256

Ибо уж на что Rijndael косорылый, но зато умеет работать хотя бы в режиме
счетчика (GCM, Galois counter mode - счетчик над полем Галуа). Сразу уточню:
данное "умение" является особенностью конкретной реализации (библиотека
OpenSSL), а не фундаментальным свойством алгоритма.

Более надежным является только режим обратной связи по шифротексту (CFB), но
упорное игнорирование оного со стороны разработчиков криптопротоколов (прошу
отличать их от криптоалгоритмов) наводит на грустные конспирологические мысли.
Хотя, например, криптоалгоритмы ГОСТ 28147-89 и весьма любимый мной Blowfish
(опять же в реализации OpenSSL) его прекрасно поддерживают.

EM> В российском интернете снова какая-то кампания за повышение
EM> безопасности, и какие-то параметры шифрования исключили из
EM> поддержки?

Жареный петух в жопу клюнул... причем сразу весь глобус.

--
Alexey V. Vissarionov aka Gremlin from Kremlin
gremlin ПРИ gremlin ТЧК ru; +vii-cmiii-ccxxix-lxxix-xlii

... Мое мнение может меняться, но моя правота - непоколебимый факт

Eugene Muzychenko

2016-11-08 08:38:16 UTC

Permalink

Привет, Alexey!

Ответ на сообщение Alexey Vissarionov (2:5020/545) к Eugene Muzychenko,
написанное 08 Nov 16 в 00:44:

EM>> Раньше они все договаривались, а теперь часть перестала.

AV> Именно так.

Hо это как раз можно понять. А вот как понять то, что браузер, работающий на
хосте, с сервером договаривается успешно, а браузер, работающий из виртуалки,
договориться уже не может - при том, что все остальные сетевые средства в
виртуалке работают прекрасно?

AV> Жареный петух в жопу клюнул... причем сразу весь глобус.

Практика показывает, что жопу рвать первыми начинают именно наши. Сколько у
меня возникало глюков из-за несовместимости разных протоколов и реализаций в
рамках HTTP - всегда это было с нашими, реже с китайцами, а с западными
буржуями - почти никогда.

Всего доброго!
Евгений Музыченко
eu-***@muzy-chen-ko.net (все дефисы убрать)

Andrew Kolchoogin

2016-11-16 12:17:32 UTC

Permalink

Приветствую, Alexey.

В вторник, 08 ноября 2016 г. ты писал Eugene Muzychenko следующее:

AV> ECDHE лично я избегаю всеми возможными способами,
Ты не любишь всю алгебраическую геометрию, или конкретно группы точек
эллиптической кривой?-)

За что ты их так, дядь Леш?

Всего наилучшего,
Андрей Кольчугин.

... Господь создал людей - полковник Кольт сделал их равными

Alexey Vissarionov

2016-11-16 14:00:00 UTC

Permalink

Доброго времени суток, Andrew!
16 Nov 2016 15:17:32, ты -> мне:

AV>> ECDHE лично я избегаю всеми возможными способами
AK> Ты не любишь всю алгебраическую геометрию, или конкретно
AK> группы точек эллиптической кривой?-)
AK> За что ты их так, дядь Леш?

Ты не в ту сторону думаешь. Подсказка: против группы над кривой 25519 у меня
принципиальных возражений нет (хотя размер ключа нужно было делать не меньше
килобита, как в DSA и ГОСТ 34.10-1994, которые работали над кольцом вычетов).

И вовсе не потому, что 25519 - кривая Монтгомери.

--
Alexey V. Vissarionov aka Gremlin from Kremlin
gremlin ПРИ gremlin ТЧК ru; +vii-cmiii-ccxxix-lxxix-xlii

... GPG: 8832FE9FA791F7968AC96E4E909DAC45EF3B1FA8 @ hkp://keys.gnupg.net

Andrew Kolchoogin

2016-11-19 14:53:15 UTC

Permalink

Приветствую, Alexey.

В среду, 16 ноября 2016 г. ты писал мне следующее:

AV> Ты не в ту сторону думаешь. Подсказка: против группы над кривой 25519
AV> у меня принципиальных возражений нет
Ага. А P-кривым от NIST ты, значица, не доверяешь...
Почему? Разве NSA тебя когда-нибудь обманывало?-)

AV> (хотя размер ключа нужно было делать не меньше килобита, как в DSA и
AV> ГОСТ 34.10-1994, которые работали над кольцом вычетов).
А смысл? EC тем и бонусен, что проблема поиска дискретного логарифма в группе
точек эллиптической кривой сложнее, чем в поле вычетов, поэтому битов ключа
требуется меньше.

AV> И вовсе не потому, что 25519 - кривая Монтгомери.
Да это хер с ним, современные процы мощные.

Всего наилучшего,
Андрей Кольчугин.

... Hикогда такого не было - и вот опять...

Alexey Vissarionov

2016-11-20 15:00:00 UTC

Permalink

Доброго времени суток, Andrew!
19 Nov 2016 17:53:14, ты -> мне:

AV>> Ты не в ту сторону думаешь. Подсказка: против группы над кривой
AV>> 25519 у меня принципиальных возражений нет
AK> Ага. А P-кривым от NIST ты, значица, не доверяешь...
AK> Почему? Разве NSA тебя когда-нибудь обманывало?-)

Ты вроде бы алгебраическую геометрию мало-мало изучал, ога?

Думаю, если в тебя влить фуфырь и дать учебник - ты сам опишешь кривую, над
которой вычисления будут не сильно сложнее, чем в обычном кольце.

AV>> (хотя размер ключа нужно было делать не меньше килобита, как в DSA и
AV>> ГОСТ 34.10-1994, которые работали над кольцом вычетов).
AK> А смысл? EC тем и бонусен, что проблема поиска дискретного логарифма в
AK> группе точек эллиптической кривой сложнее, чем в поле вычетов,

Вот досюда правильно.

AK> поэтому битов ключа требуется меньше.

А вот это - типичное заблуждение, характерное для теоретиков (и тех, кто им
верит, не утруждая себя даже взглянуть на их выводы с практической стороны).

AV>> И вовсе не потому, что 25519 - кривая Монтгомери.
AK> Да это хер с ним, современные процы мощные.

Ага. И каждый дополнительный бит - это как минимум два транзистора только для
хранения оного. В каждом месте, где это нужно. И в каждом АЛУ криптопроцессора.
И в каждом компутере с этими криптопроцессорами. И в каждой стойке. И в каждом
датацентре.

И все эти смешные наноамперы внезапно превращаются в мегаватты, которые нужно
сначала выработать и доставить, а потом (уже в тепловой форме) куда-то отвести.

Так что "на кривую надейся, а разрядность увеличивай".

--
Alexey V. Vissarionov aka Gremlin from Kremlin
gremlin ПРИ gremlin ТЧК ru; +vii-cmiii-ccxxix-lxxix-xlii

... Пусть компутер думает - у него мозги луженые

Eugene Muzychenko

2016-11-20 21:28:01 UTC

Permalink

Привет!

20 Nov 16 18:00, you wrote to Andrew Kolchoogin:

AV> И все эти смешные наноамперы внезапно превращаются в мегаватты,

В которые те несчастные биты ключа вносят исчезающе малый (на фоне
десятков-сотен тысяч процентов оверхэда всего остального софта) вклад. :)

Кстати, самое экономичное по меркам 10-20-летней давности железо, с работающим
на нем вылизанным и оптимизированным софтом, все равно жрет той энергии
значительно больше современного железа с халтурным современным софтом. :)

А на фоне энергии, которую переводят в тепло геймеры, обо всем этом и вовсе
стыдно говорить... :)

Всего доброго!
Евгений Музыченко
eu-***@muzy-chen-ko.net (все дефисы убрать)

Andrew Kolchoogin

2016-11-20 22:14:00 UTC

Permalink

Приветствую, Alexey.

В воскресенье, 20 ноября 2016 г. ты писал мне следующее:

AV> Думаю, если в тебя влить фуфырь и дать учебник - ты сам опишешь
AV> кривую, над которой вычисления будут не сильно сложнее, чем в обычном
AV> кольце.
x^3=y^2 :)))

Она, правда, традиционно из эллиптических исключается из-за наличия
каспидальной особенности в нуле, но тем не менее. ;)

AK>> поэтому битов ключа требуется меньше.
AV> А вот это - типичное заблуждение,
Эт вот обоснуй.

А то у нас опять практика с теорией расходиться начнет, а это нехорошо.

AV> И все эти смешные наноамперы внезапно превращаются в мегаватты,
Тебя кто-то из "Партии зеленых" укусил, что ли?-)

Всего наилучшего,
Андрей Кольчугин.

... Хард поюзанный на гиг - "Сеагейт" аль "Вестерн Диг"...

Alexey Vissarionov

2016-11-21 19:00:00 UTC

Permalink

Доброго времени суток, Andrew!
21 Nov 2016 01:14:00, ты -> мне:

AV>> Думаю, если в тебя влить фуфырь и дать учебник - ты сам опишешь
AV>> кривую, над которой вычисления будут не сильно сложнее, чем в
AV>> обычном кольце.
AK> x^3=y^2 :)))

Ма-ла-дэц! Самую простую кубику вспомнил :-)

AK> Она, правда, традиционно из эллиптических исключается из-за наличия
AK> каспидальной особенности в нуле, но тем не менее. ;)

Что примечательно, вычислениям в группе этот излом совершенно не мешает -
достаточно объявить, что в этой точке касательной является прямая x==0.

AK>>> поэтому битов ключа требуется меньше.
AV>> А вот это - типичное заблуждение,
AK> Эт вот обоснуй.

[хихидно]
Хватит уже самолюбованием заниматься... кыш от зеркала!

AK> А то у нас опять практика с теорией расходиться начнет, а это
AK> нехорошо.

[еще хихиднее]
Да у тебя что теория, что практика - монотонны и ограниченны.
С чего бы им расходиться?

AV>> И все эти смешные наноамперы внезапно превращаются в мегаватты,
AK> Тебя кто-то из "Партии зеленых" укусил, что ли?-)

[сердито]
Вот сам посчитаешь холодоснабжение для гермозоны - поймешь...

--
Alexey V. Vissarionov aka Gremlin from Kremlin
gremlin ПРИ gremlin ТЧК ru; +vii-cmiii-ccxxix-lxxix-xlii

... Пароль - как коньяк: чем больше звездочек, тем лучше

Andrew Kolchoogin

2016-11-26 11:52:36 UTC

Permalink

Приветствую, Alexey.

В понедельник, 21 ноября 2016 г. ты писал мне следующее:

AV> [еще хихиднее]
AV> Да у тебя что теория, что практика - монотонны и ограниченны.
AV> С чего бы им расходиться?
А по языку?-)

AV>>> И все эти смешные наноамперы внезапно превращаются в мегаватты,
AK>> Тебя кто-то из "Партии зеленых" укусил, что ли?-)
AV> Вот сам посчитаешь холодоснабжение для гермозоны - поймешь...
Гыгыг. Не царское это дело. ;)

Всего наилучшего,
Андрей Кольчугин.

... Господь создал людей - полковник Кольт сделал их равными

Eugene Muzychenko

2016-11-08 19:57:52 UTC

Permalink

Ответ на сообщение Eugene Muzychenko (2:5000/14) к All, написанное 08 Nov 16 в 00:40:

EM> Последние полтора месяца приходится работать в виндовой виртуалке под
EM> VirtualBox на MacOS

Только что перетащил виртуалку на новый бук под винду-семерку - все глюки
волшебным образом исчезли.

Получается, либо VirtualBox макосевый как-то сетевой трафик похабит, либо сама
макось - но лишь тот трафик, что идет через VirtualBox...

Всего доброго!
Евгений Музыченко
eu-***@muzy-chen-ko.net (все дефисы убрать)

Andrew Kolchoogin

2016-11-16 12:13:06 UTC

Permalink

Приветствую, Eugene.

В вторник, 08 ноября 2016 г. ты писал сюда следующее:

EM> Сравнив параметры соединения, которое устанавливают работающие и
EM> неработающие сайты, сразу заметил, что у работающих сайтов в cipher
EM> suites присутствует ECDHE:
EM> А у неработающих его нет:
Дело не в отсутствии ECDHE, а в отсутствии E. :)

ECDHE и DHE -- протоколы выработки анонимной сеансовой пары ключей ("E" от
"Ephemeral"). Предназначены для обеспечения PFS -- Perfect Forward Secrecy.
Если криптосессия защищена PFS, криптоданные нельзя расшифровать даже в том
случае, если скомпрометирован закрытый ключ сервера, с которым была
криптосессия -- разумеется, только те, которые были зашифрованы _до_
компрометации.

Это делает ретроспективную атаку на криптоданные невозможной.

Видимо, начиная с какого-то апдейта твоей винды, там все протоколы без
Ephemeral Key Exchange стали несекурными.

Всего наилучшего,
Андрей Кольчугин.

... ВЧК занималась контрреволюцией и саботажем...

Eugene Muzychenko

2016-11-16 20:24:17 UTC

Permalink

Привет!

16 Nov 16 15:13, you wrote to me:

AK> Видимо, начиная с какого-то апдейта твоей винды, там все протоколы без
AK> Ephemeral Key Exchange стали несекурными.

Hе канает.

1. При переходе от нормальной работы к глюкам винда не апдейтилась.

2. Как я уже писал, после переноса VM из-под макоси под винду глюки исчезли.

3. Hа хосте и в VM стоит одна и та же винда, и одинаковым набором апдейтов.

Всего доброго!
Евгений Музыченко
eu-***@muzy-chen-ko.net (все дефисы убрать)