一封加密邮件，就能让 macOS/iOS 系统须臾死机？

这并非科幻情节，而是阿里安全最新猜测效劳揭示确凿切报复。

为了有用提防这种报复，阿里安全与好意思国印第安纳大学伯明顿分校长入探索并发现了一项用于检测密码算法库中潜在的 DoS（Denial-of-Service，拒却劳动）类安全问题的报复向量——无理 X.509 文凭，并围绕该向量张开了一系列针对密码算法库中存在的干系问题的猜测使命。

此效劳已发表于USENIX Security ’ 25 会议，且已得到"黑客界奥斯卡" Pwnie Awards 提名。

借助无理 X.509 文凭，猜测者在六款主流开源密码算法库：OpenSSL、Botan、Bouncy Castle、Crypto++、GnuTLS 和 phpseclib，以及一款专为 Apple 生态遐想的密码库 Security 进行了实验，整个发现了18 个新 CVE 缝隙，并识别出了12 个已知的 CVE 缝隙。

X.509 数字文凭是收集寰宇的"身份证"

跟着互联网的普及与世俗应用，收集安全问题日益凸起。为了确保收集通讯的安全性与可靠性，数字文凭成为保险身份认证和数据安全的紧迫技能。

数字文凭就像是收集寰宇中的"身份证"，它由真实的第三方机构（称为文凭颁发机构，CA）签发，用于考证通讯两边的身份，并确保信息在传输流程中不被点窜。

现在，X.509 是海外上最世俗选拔的数字文凭范例之一。它界说了文凭的基本结构和内容，包括主体信息、公钥、签名算法、有用期等字段，并支援文凭链考证机制，从而构建起一个真实赖的公钥基础设施（PKI）。

不仅如斯，X.509 文凭也已成为当代收集安全体系的基础组成部分，被应用于多种左券（如 TLS、S/MIME）中，以罢了通讯安全。当代操作系统（如 macOS/iOS）也使用 X.509 文凭进行签名考证，从而确保应用次序确凿切性和好意思满性。

尽管 X.509 文凭为收集安全提供了紧迫维持，但其处理流程自己也可能成为报复者的商量。

为了经管上述安全问题，猜测东谈主员要点饶恕了一种借助无理 X.509 文凭发起汉典 DoS 报复（包含 CPU 资源耗尽、内存耗尽、Crash 等类型）的报复形状。

在文凭领略、文凭链考证等关节中，若密码算法库的代码罢了有在颓势，报复者便可据此构造出无理文凭，使得商量系统在处理文凭的流程中触发 DoS 类缝隙，从而对其可用性变成影响。

对于一个开启双向 TLS 认证的 HTTPS 网站而言，报复者不错在合手手关节中通过向劳动器发送无理文凭使得劳动器因资源耗尽而瘫痪，继而使得其他用户无法再走访该网站。

对于操作系统而言，报复者可通过发送包含坏心文凭的邮件（举例针对 macOS/iOSS 下的 S/MIME 邮件报复，该形状被单独定名为 Banana Mail 报复）等技能，耗尽用户系统处理文凭进度的资源，导致其无响应。

这继而使得系统中的其他应用次序因无法正常考证签名而被险峻实践。此类问题对履行应用场景组成了内容性的恐吓。

通过无理 X.509 文凭经管 Dos 类问题

密码学干系的 API 往往遐想复杂，而很多开发东谈主员对密码学常识的掌合手又相对匮乏，二者之间形成的矛盾使得密码学 API 误用问题在实践中经常发生，这也促使现有的猜测使命多围绕若何更好地废除密码学 API 误用问题而张开。

干系词，即使用户严格死守了使用表率并正确地调用了某个密码库中的 API，安全风险仍然可能由该 API 自己罢了中的安全问题引入。

现在对于密码学罢了中安全问题的猜测，主要长入在 CIA 三元组（微妙性、好意思满性和可用性）中的微妙性（如侧信谈报复）和好意思满性（如哈希碰撞）方面，而对可用性问题的饶恕较少。

这是因为在遐想层面，密码学对数据微妙性和好意思满性的保险作用更为显耀，比拟之下，其对数据可用性的孝顺则相对较小。因此，很多猜测使命也会预设密码学库中不错用于分析可用性安全问题（如 DoS 报复）的场景也较为有限。

干系词，猜测团队提神到，出于以下两个特点，密码库相较于其他类型的模样，履行上往往更容易受到 DoS 类报复的影响：

1、密码库的罢了中时常会触及"大数"运算（举例触及一个 1024 比特的素数的有限域上的运算），这类运算偏执数目级在非密码学模样中较为罕有。

2、密码库的罢了中时常会触及处理多样的数据类型（如 ASN.1）和编码限定（如 DER 编码），这些决策的遐想往往较为复杂，在罢了流程中很容易商量不成全。

为了进一步考证这一不雅察，猜测团队开展了一项针对多款密码算法库中易受 DoS 报复影响的代码罢了的系统性的分析使命，并在这一流程中论证了使用无理 X.509 文凭手脚报复向量来应用和检测密码算法库中 DoS 类问题的可行性。

该使命的主要孝顺包括以下三点：

系统性分析与新发现：他们进行了首个针对密码算法库中易受 DoS 报复罢了的系统性分析使命。在这一流程中，他们发现了三种新的 DoS 类安全风险，并揭示了一种通用的报复向量——无理 X.509 文凭，以应用本猜测中回来出的整个 10 种典型风险所干系的 DoS 缝隙。

自动化器具开发 + 缝隙挖掘与应用：他们开发了一款名为 X.509DoSTool 的自动化器具，可用于快速生成特定无理文凭并检测加密库相应罢了中的 DoS 缝隙。应用该器具，他们顺利发掘了 18 个新缝隙，并识别出了 12 个已知缝隙。同期，他们基于这些缝隙在履行场景中进行了考证，并在 macOS/iOS 平台上发现了新的汉典缝隙应用方法。

恐吓建模与缓解计谋：通过恐吓建模和实验收尾，他们展示了 X.509DoS 在现实寰宇中是一种世俗存在但先前却清寒充足猜测的履行恐吓。在此基础上，他们进一步分析了 X.509DoS 报复的根底原因，并建议了可行的缓解计谋，以匡助开发东谈主员增强其系统的安全性。

该部天职容详见论文中的第 1 节。此外，为了更好地交融后续章节的内容，建议读者参考论文第 2 节中的配景常识先容，以获取对椭圆弧线中的数学部分、ASN.1 和 X.509 等内容的进一步了解。

恐吓模子

猜测团队的报复模子主要竖立在针对文凭的领略或针对文凭链的考证先于签名考证这一基技艺实之上，这一前提确保了报复者不错径直修改文凭或文凭链，而无需获取颁发者的私钥进行再行签名。

因此，任何使用了密码算法库中存在代码罢了缝隙的与 X.509 干系的 API、并尝试处理来自不成信外部源的文凭的模样，表面上齐存在受到 X.509DoS 报复的可能性。

鉴于 X.509 文凭在实践中的世俗应用，他们以 TLS 合手手和 App 验签两个场景来对恐吓模子作念进一步阐发：

一个典型的 TLS v1.2 合手手流程的暗示图如图 1 所示：

△图 1.TLS v1.2 合手手暗示图

在这一流程中，X.509DoS 报复的恐吓主要来自于以下两个要领：

要领 3：报复者不错扮演一个坏心的劳动器，并向客户端发送全心构造的文凭或文凭链。

要领 7：报复者不错扮演一个坏心的客户端，并向劳动器发送全心构造的文凭或文凭链（需开启双向 TLS 合手手）。

若是客户端或劳动器使用了存在缝隙的第三方库罢了来处理文凭，则有可能成为 DoS 报复的受害者。在 HTTPS 场景下，这正常发达为劳动器上搭建的网站无法走访，或者客户端浏览器无法正常动手。

为了确保应用次序来自真实的发布者况兼在发布后未被点窜，当代操作系统（如 macOS/iOS）正常选拔签名考证的方式来保证应用次序确凿切性和好意思满性。

这一流程包括基于系统内置的真实根文凭列表对应用次序的文凭进行考证，并从文凭中索要公钥来考证应用次序的签名，继而决定该应用次序后续是否应该被启动或险峻。

在操作系统中，上述文凭的考证和经管正常由一个特定的系统进度处理。若是这一进度的触及文凭处理的代码罢了中存在 DoS 缝隙，该进度在处理报复者构造的无理文凭后，就可能会因资源耗尽等问题而堕入未响应。

此时，后续发起的同其他应用次序签名考证干系苦求一样无法被该进度处理，继而发达为系统内整个应用次序无法正常启动，况兼跟着资源的慢慢耗尽，最终发达为通盘操作系统的瘫痪。

针对这两类场景，他们均在实验关节以发现的具体 CVE 缝隙手脚 case study 进行了报复实例的演示，请参见实验收尾部分的敷陈。

安全分析与应用

字据 DoS 风险存在于密码库中模块位置的不同，猜测东谈主员将典型的 DoS 风险分为了数学模块、ASN.1 模块和 X.509 模块三类：

数学模块：密码算法的罢了依赖底层数学运算的罢了，举例对于选拔 ECDSA 签名的 X.509 文凭而言，在领略公钥和使用公钥验签时会引入有限域上的椭圆弧线的基础运算的罢了（如点加运算、倍点运算等操作会用到 F_p 或 F{2^m} 上的运算等），这些运算的罢了是一类容易引入 DoS 风险的典型罢了。

ASN.1 模块：X.509 文凭使用 ASN.1 来界说其数据结构，并通过特定的编码方式（如 DER 或 PEM）进行传输和存储。在领略一个特定的 X.509 文凭的流程中，一个紧迫的要领即是将 DER 编码后的 ASN.1 对象进行解码并同 X.509 文凭的特定字段进行对应，这些解码流程和对不同 ASN.1 对象的处理流程的罢了一样容易引入 DoS 风险。

X.509 模块：除了前述的数学模块和 ASN.1 模块外，DoS 风险也可动力自 X.509 文凭干系功能的罢了自己。在此类情况下，风险正常不再来自单个文凭，而是来自于对多个文凭组成的文凭链进行 path validation 的流程（详见 RFC 5280 第 6 章）。当商量系统摄取到文凭链后，该考证流程往往先于签名的考证流程而被触发。

在上述分类的基础上，猜测东谈主员对每一分类中的典型运算或处理场景进行了进一步探索，图 2 展示了她们在本猜测均分析的 10 种典型风险，并对每类风险（尤其是新发现的 Risk-1、Risk-2 和 Risk-5）的缝隙旨趣进行了详备分析。干系内容详见论文中的第 4 章和附录 A。

△图 2. 本使命均分析的 10 种典型 DoS 风险总览

此外，他们展示了若何针对某一类特定的 DoS 风险来构造对应的无理 X.509 数字文凭（如修改 SubjectPublicKeyInfo 结构中的某个字段，修改文凭中某个 OBJECT IDENTIFIER 对象的 DER 编码后的 sub-identifier 的值，修改某个文凭链中捎带的 name constraints 的数目等）来触发对应的代码罢了中的缝隙，即基于 X.509 文凭的缝隙应用的手法。

对于每一种手法，他们还商讨了若何绕过常见的搜检来确保缝隙的触发（如通过成立 ECDSA 公钥捎带的椭圆弧线中的素数为模 8 余 1 来绕过计算二次剩余的方便算法），该部天职容详见论文中的第 5 章。

应用 X.509DoSTool 发现缝隙

即使有了构造文凭的念念路，手动去进行文凭的修改和无理文凭的构造仍然是一项复杂的任务。

为了更好的援救使用文凭对密码算法库中的罢了问题进行检测，猜测东谈主员开发了一款名为 X.509DoSTool 的自动化器具，该器具包含了 Generate、Edit 和 Detect 三个子模块，通过字据用户指定的风险类型自动化地生成对应的文凭并将其手脚输入传入待检测的 API 中实践，并字据实践收尾（如 Crash）和监测系统的 CPU/ 内存资源滥用情况来反馈是否存在对应的缝隙，其暗示图如图 3 所示。

△图 3.X.509DoSTool 器具暗示图实验收尾：检测出新缝隙

针对每个未受特定文凭影响的密码算法库，猜测东谈主员进一步区别了其免疫性是由于罢了中的安靖计谋，一经由于清寒干系活动的罢了，并将整个新发现的缝隙答复给相应的密码库的叹惜者或供应商，其对应的版块号和 CVE 分拨情况等信息如图 4 所示：

△图 4. 实验流程中检测出的缝隙信息汇总

此外，为了进一步阐发猜测东谈主员在恐吓模子部分提到的 TLS 合手手和 App 验签两类恐吓模子并展示这些缝隙的履行恐吓，他们以在 Botan 算法库和 Apple Security 算法库中发现的两个问题（分别为 CVE-2024-34703 和 CVE-2024-54538）为例进行了报复演示：

1、CVE-2024-34703：报复者通过在双向 TLS 合手手关节向基于 Botan 搭建的 HTTPS 网站发送无理文凭，即可使得该网站在领略文凭流程中由于缝隙触发的资源耗尽而瘫痪。

2、CVE-2024-54538：报复者只需发送一封包含无理文凭链的 S/MIME 加密邮件，即可在收件东谈主未进行任何操作的情况下，导致其 macOS/iOS 系统在考证文凭链流程中由于缝隙触发的资源耗尽而瘫痪。

该部天职容详见论文中的第 7 章，对于上述实验流程的演示视频请参考宣传网站中给出的视频联结。

缓解措施

针对这类报复，除了实时更新至最新版块外，他们还就开发东谈主员如安在模样中更好地幸免引入此类风险建议了一些建议：

安全编程实践：密码算法库的开发触及多种复杂的密码学场景，开发东谈主员正常难以在脱离干系讲义（如数学模块）或行业范例（如 ASN.1 或 X.509 模块）的情况下孤独完成开发。干系词，这些贵寓的遐想初志主要用于教训和指导，在编写流程中可能并未充分商量履行应用中潜在的安全风险。

因此，开发东谈主员应意志到，即使严格按照这些参考贵寓进行开发，并不虞味着罢了就一定是安全的。在开发流程中，还应高度爱重安全编程实践，尤其是在处理不成信的用户输入时，需要加入充足的搜检和考证机制。

此外，致密的编程民俗也有助于缓解 X.509DoS 报复的风险。举例，在复杂的 while 轮回中引入计数器以提神无穷轮回，在分拨动态内存前搜检其大小是否超出预界说阈值，从而幸免潜在的安全缝隙。

高效代码罢了：一些密码算法库天然短少对参数的安全搜检，但选拔了一些更高效的罢了方式，举例在 F_{2^m} 中，乘法运算不错通过更高效的算法替代传统罢了。这些更为高效的罢了方式在一定程度上大略缓解 DoS 报复带来的影响，同期增多报复者实施报复的老本。

一种量度 X.509DoS 报复老本的典型范例是构造出的无理文凭文献大小。举例，部分密码库在其 TLS 罢了中会对文凭大小成立上限（如 OpenSSL 的默许最大文凭大小为 100KiB）。因此，此类安靖机制在一定程度上也不错迤逦镌汰潜在履行应用中的危害。

减少冗余特点：一些密码算法库之是以受到 X.509DoS 报复的影响相对较小，并非是因为它们主动罢了了很多安靖机制，而是因为这些库自己并未罢了和支援某些容易被应用的特点，因此也就莫得包含存在问题的代码罢了。

尽管通过鸿沟功能来障翳安全风险不应手脚主要的防护技能，但这也从侧面反应出：新增功能往往会带来新的安全隐患。开发东谈主员应字据系统的履行需求，审慎评估是否需要引入特定功能。举例，在早期 ECC 手艺尚未练习时，ANSI X9.62 等范例允许在 X.509 文凭中使用自界说弧线。

跟着安全意志的提高，RFC 5480 等后续表率已明确险峻该活动，但很多密码算法库仍保留对该功能的支援以确保向后兼容性。在未来，开发东谈主员应慢慢淘汰这类不安全的特点，选拔经过严格安全评估的 NIST 弧线等，从而升迁举座的安全性。

回来

在本使命中，猜测东谈主员进行了一项针对密码算法库中易受 DoS 报复影响的代码罢了的系统性的安全分析。在这一流程中，他们识别出了三种新式的 DoS 风险，并探讨了一种借助无理 X.509 文凭手脚报复向量来应用密码算法库中潜在的 DoS 缝隙的报复形状。

围绕该报复，他们进一步张开了一系列同密码算法库中存在的 DoS 风险干系的缝隙旨趣偏执应用手法的分析。借助他们开发的自动化器具，在七款主流密码算法库中发现了 18 个新缝隙，并针对 HTTPS 网站的双向 TLS 合手手和苹果 macOS/iOS 系统验签两个实践中确凿切场景手脚 case study 进行了演示。

实验收尾展示了他们构造的无理 X.509 文凭在检测和应用密码算法库中的 DoS 缝隙方面的可行性，同期也揭示了 X.509DoS 是一类影响世俗但先前尚未被充分猜测的安全恐吓，值得猜测东谈主员过问更多的饶恕。鉴于此，他们也商讨了这类报复的根底原因，并建议了一系列可行的缓解计谋。

未来，猜测团队但愿这项使命能进一步提高安全社区对密码学缝隙和报复手法的相识，并激发更多猜测东谈主员探索有用的检测与安靖机制，共同鼓舞密码系统的斥地和保险用户的安全。

本论文包括第一作家石冰在内的主要作家均来自于阿里巴巴集团安一谈下属安全猜测团队。团队在认真东谈主白小龙博士（本论文通讯作家）的带领下，遥远专注于系统安全、数据安全等方进取的转换手艺猜测，猜测效劳屡次发表于 Usenix Security、CCS、BlackHat、DEFCON 等学术界与工业界计算机安全顶会，得到过苹果、华为等国表里著名厂商的致谢。

论文联结：https://www.usenix.org/conference/usenixsecurity25/presentation/shi-bing

X.509Dos 报复：https://www.x509dos.com/

Banana Mail 报复：https://www.banana-mail.com/

一键三连「点赞」「转发」「小心心」

宽宥在指摘区留住你的主张！

—  完  —

� � 点亮星标 � �

科技前沿进展逐日见亚博体育