各位女士们先生们,各位游戏玩家以及密码学狂热粉们,你们有没有想过目前哪一款主流游戏主机所采用的信息加密算法是最好的?如果没有的话,我会在这篇文章中告诉大家近期我在个人测试中得到的结果。
如果你还记得的话,2015年巴黎曾经历过一次恐怖袭击,而就在袭击发生的几个小时之后就有传言称恐怖分子所使用的通讯工具是PlayStations。但是经过调查之后,我们也证实了这条谣言纯属扯谈(恐怖分子使用的是一次性手机),但是这条谣言成功地激起了我的好奇心。因此,我监听并拦截了我自己PS4的通信数据,然后对这些信息进行了分析,最终得出的结论是:PS4所采用的消费者级加密保护并没有想象中的那么糟糕。索尼提升了他们的信息加密水平,但到底提升了多少呢?
为了完成此次的游戏主机加密大PK,我不得不向我的同事Benjamin Guite寻求帮助,因为他手上有目前所有的现代游戏终端。他将他的PS4和Xbox One一起连接到了一台可控制的交换机上,然后拦截并分析每一台游戏主机与相应信息服务器之间的网络通信数据。经过分析发现,PS4使用的是亚马逊AWS托管的消息服务器,即usntl.np.community.playstation.net,而Xbox使用的是messenger.live.com来作为它的服务器(由微软Azure托管)。
TLS协议参数:两者相同
在2015年,PS4的消息服务器使用的是TLS 1.0,而不是最新的TLS 1.2协议。而时至今日,PlayStation和Xbox One这两种游戏主机在连接各自的云消息服务器时使用的都是TLS 1.2,这也是我们意料之中的。
前向保密性方面的胜者:Xbox One
前向保密性(Forward Secrecy)是一种用来保护通信链接的密码学技术,它可以保证两个节点之间可以进行安全的网络通信,就算某个第三方拥有与服务器相关的私钥也仍然无法解密密文。
在过去的三年时间里,前向保密性在安全社区中受到了非常热的追捧,前向保密性的实现基于的是Diffie-Helman密钥交换协议,而且它甚至还会要求使用即将发布的TLS 1.3协议,。下面给出的是我们用Wireshark捕捉到的信息(DHE和ECDHE):
对称密钥方面的胜者:Xbox One
PlayStation 4的系统使用的密码是TLS_RSA_WITH_AES_128_CBC_SHA256,虽然使用128位的AES或256位的SHA并没有多大的问题,但是Xbox使用的密钥要比PS4的更高级,因为Xbox使用的是256位的AES以及384位的SHA。目前绝大多数的互联网应用已经从CBC密码转向使用速度更快的GCM密码了,我们也可以期待这些游戏主机在不久的将来也开始使用这种密码。
证书方面的胜者:Xbox One
在2015年,PlayStation消息服务器使用的仍然是带有一个SHA-1签名的证书,但现在他们也不再使用这种证书了,看到索尼能够在这方面作出改进,本人表示非常欣慰。他们所采用的最新证书使用的是SHA2签名,这一点与微软的消息服务器是一样的。
但是,Xbox的消息服务器支持OCSP Stapling,这种技术可以在不需要进行任何单独网络链接的情况下将近期的证书链撤销信息返回给游戏主机。虽然我也不知道游戏主机是否会使用这些信息,但服务器端如果能够支持这种功能的话,确实也是一个非常好的消息。所以在证书的安全性方面,对证书的支持性更好的是微软。
SSL服务器评分的胜者:Xbox One
Qualys公司SSL实验室的服务器测试结果也向我们展示了这两种游戏主机的SSL/TLS服务器的安全水平。很不幸,由于索尼的服务器由于存在漏洞CVE-2016-2108而无法抵御CBC Padding Oracle攻击,因此PS4的服务器评分非常低。
与索尼相反,微软的消息服务器得到的评分近乎完美,所以Xbox One绝对是此次游戏主机加密大对决中的胜者。微软涉足信息安全领域也有很长一段时间了,我们也可以从这种更高级别的信息加密中看到他们在信息安全方面的丰富经验。
总结
所以,Xbox One毫无悬念地赢得了此次游戏主机加密大对决的胜者。我们要感谢微软的XboxOne,因为它不仅是一款优秀的游戏主机,而且它也能很好地保护玩家们的隐私。
* 参考来源:securityweek, FB小编Alpha_h4ck编译,转载请注明来自FreeBuf.COM0day
文章评论