stringtranslate.com

Атака Lucky Thirteen

Атака Lucky Thirteen — это криптографическая атака по времени против реализаций протокола Transport Layer Security (TLS), использующих режим работы CBC , о которой впервые сообщили в феврале 2013 года его разработчики Надхем Дж. Аль-Фардан и Кенни Патерсон из группы информационной безопасности в Royal Holloway, Лондонский университет . [1] [2]

Атака

Это новый вариант атаки оракула-заполнителя Сержа Воденея , которая ранее считалась исправленной, использующий атаку по побочным каналам синхронизации против этапа проверки кода аутентификации сообщения (MAC) в алгоритме TLS для взлома алгоритма способом, который не был исправлен предыдущими попытками смягчить атаку Воденея. [3]

«В этом смысле атаки не представляют значительной опасности для обычных пользователей TLS в их нынешнем виде. Однако общеизвестно, что атаки со временем становятся только лучше, и мы не можем предвидеть, какие улучшения наших атак или совершенно новые атаки могут быть обнаружены». — Надхем Дж. Аль-Фардан и Кенни Патерсон [1]

Исследователи проверили только реализации TLS в свободном программном обеспечении и обнаружили, что все исследованные продукты потенциально уязвимы для атаки. Они успешно протестировали свои атаки против OpenSSL и GnuTLS. Поскольку исследователи применили ответственное раскрытие информации и работали с поставщиками программного обеспечения, на момент публикации были доступны некоторые обновления программного обеспечения для смягчения атак. [2]

Мартин Р. Альбрехт и Патерсон с тех пор продемонстрировали вариант атаки Lucky Thirteen против реализации Amazon s2n TLS, хотя s2n включает контрмеры, предназначенные для предотвращения атак по времени. [4]

Ссылки

  1. ^ ab Dan Goodin (4 февраля 2013 г.). "Атака "Lucky Thirteen" обкрадывает файлы cookie, защищенные шифрованием SSL". Ars Technica . Получено 4 февраля 2013 г.
  2. ^ ab Nadhem J. AlFardan; Kenneth G. Paterson (4 февраля 2013 г.). «Lucky Thirteen: Breaking the TLS and DTLS Record Protocols». Royal Holloway, University of London. Архивировано из оригинала 2 июля 2013 г. Получено 21 июня 2013 г.Включает список уязвимых версий программного обеспечения.
  3. Адам Лэнгли (4 февраля 2013 г.). «Атака Lucky Thirteen на TLS CBC» . Получено 4 февраля 2013 г.
  4. ^ Альбрехт, Мартин Р.; Патерсон, Кеннет Г. «Счастливые микросекунды: атака по времени на реализацию TLS Amazon s2n». Архив Cryptology ePrint . Получено 24 ноября 2015 г.

Внешние ссылки