<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN" "http://www.w3.org/TR/REC-html40/loose.dtd">
<html lang="en">
<head>
<meta content="text/html; charset=utf-8" http-equiv="Content-Type">
<title>
GitLab
</title>


<style>img {
max-width: 100%; height: auto;
}
</style>
</head>
<body>
<div class="content">
<div>
<p dir="auto">I'm evaluating the vulnerabilities discussed in the paper titled <a href="http://ia.cr/2018/747" rel="nofollow noreferrer noopener" target="_blank">"Pseudo
Constant Time Implementations of TLS Are Only Pseudo Secure"</a>. I'm working on backporting security fixes to
the Debian LTS security suite which currently shipped a patched version
of GnuTLS 3.3.8.</p>
<p dir="auto">In that paper, the authors claim that:</p>
<blockquote dir="auto">
<p>However, we believe that the GnuTLS code is still vulnerable to
variants of the attacks presented in our paper due to its
padding-dependent memory accesses. We notified the GnuTLS team of our
concerns about this on June 13th 2018. Our understanding is that the
GnuTLS team does not plan to address the issues, but prefers to
promote the use of Encrypt-then-MAC (as specified in RFC 7366) when
legacy cipher suites are required.</p>
</blockquote>
<p dir="auto">In the Debian security tracker, all three issues are marked as fixed in
3.5.19 or 3.6.3:</p>
<ul dir="auto">
<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-10844" rel="nofollow noreferrer noopener" target="_blank">https://security-tracker.debian.org/tracker/CVE-2018-10844</a></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-10845" rel="nofollow noreferrer noopener" target="_blank">https://security-tracker.debian.org/tracker/CVE-2018-10845</a></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2018-10846" rel="nofollow noreferrer noopener" target="_blank">https://security-tracker.debian.org/tracker/CVE-2018-10846</a></li>
</ul>
<p dir="auto">Yet the above claim makes me wonder if our characterization is
correct. On top of the concerns outlined by the researchers, one concern
specific to LTS is we are hesitant in breaking backwards compatibility
with older clients. In that respect, Encrypt-then-MAC (EtM) might not be
an acceptable solution as, again according to the authors:</p>
<blockquote dir="auto">
<p>The “Encrypt-then-MAC” countermeasure from RFC 7366 is supported in
mbed TLS and GnuTLS, but requires client-side support and has seen
little uptake elsewhere (e.g.  neither Firefox nor Chrome supports the
EtM extension).</p>
</blockquote>
<p dir="auto">Considering that at least 10% of TLS traffic still uses CBC, it seems a
little premature to enforce those new algorithms. Removing some SHA
implementations might also be a problem for us.</p>
<p dir="auto">What should be the course of action for LTS developers?</p>
<p dir="auto">Do you agree with the researcher's characterization of the solutions
deployed by the GnuTLS project? Are those CVEs really completely fixed
in GnuTLS?</p>
<p dir="auto">Thanks for any feedback.</p>
</div>


</div>
<div class="footer" style="margin-top: 10px;">
<p style="font-size: small; color: #777;">

<br>
Reply to this email directly or <a href="https://gitlab.com/gnutls/gnutls/issues/456#note_105579686">view it on GitLab</a>.
<br>
You're receiving this email because of your account on gitlab.com.
If you'd like to receive fewer emails, you can
<a href="https://gitlab.com/sent_notifications/102ccc000408dc1c9b5cb3dde34734f5/unsubscribe">unsubscribe</a>
from this thread or
adjust your notification settings.
<script type="application/ld+json">{"@context":"http://schema.org","@type":"EmailMessage","action":{"@type":"ViewAction","name":"View Issue","url":"https://gitlab.com/gnutls/gnutls/issues/456#note_105579686"}}</script>
</p>
</div>
</body>
</html>