Lucky Thirteen útok - Lucky Thirteen attack

A Lucky Thirteen útok je kryptografický načasování útoku proti implementaci Zabezpečení transportní vrstvy (TLS) protokol, který používá protokol CBC způsob provozu, poprvé oznámeny v únoru 2013 jeho vývojáři Nadhem J. AlFardan a Kenny Paterson ze skupiny Information Security Group na Royal Holloway, University of London.^[1]^[2]

Záchvat

Je to nová varianta Serge Vaudenay je padding oracle útok který byl dříve považován za opravený, který používá a načasování útoku bočního kanálu proti ověřovací kód zprávy (MAC) zkontrolujte fázi v algoritmu TLS, aby se algoritmus rozbil způsobem, který nebyl opraven předchozími pokusy o zmírnění útoku Vaudenay.^[3]

„V tomto smyslu útoky nepředstavují významné nebezpečí pro běžné uživatele TLS v jejich současné podobě. Jde však o pravdivost, že útoky se časem zlepšují, a nemůžeme předvídat, jaká vylepšení našich útoků, nebo zcela nová útoky, mohou být ještě objeveny. “ - Nadhem J. AlFardan a Kenny Paterson^[1]

Vědci zkoumali pouze implementace TLS svobodného softwaru a zjistili, že všechny zkoumané produkty jsou potenciálně zranitelné vůči útoku. Úspěšně otestovali své útoky proti OpenSSL a GnuTLS. Protože se vědci přihlásili odpovědné zveřejnění a ve spolupráci s prodejci softwaru byly v době vydání k dispozici některé aktualizace softwaru ke zmírnění útoků.^[2]

Martin R. Albrecht a Paterson od té doby předvedli variantní útok Lucky Thirteen proti Amazonu s2n Implementace TLS, přestože s2n zahrnuje protiopatření určená k zabránění načasování útoků.^[4]

Reference

^ ^A ^b Dan Goodin (4. února 2013). ""Lucky Thirteen „útok snarfs cookies chráněné šifrováním SSL“. Ars Technica. Citováno 4. února 2013.
^ ^A ^b Nadhem J. AlFardan a Kenneth G. Paterson (4. února 2013). „Lucky Thirteen: Breaking the TLS and DTLS Record Protocols“. Royal Holloway, University of London. Citováno 21. června 2013.CS1 maint: používá parametr autoři (odkaz)
^ Adam Langley (4. února 2013). „Lucky Thirteen attack on TLS CBC“. Citováno 4. února 2013.
^ Albrecht, Martin R .; Paterson, Kenneth G. „Lucky Microseconds: A Timing Attack on Amazon's s2n Implementation of TLS“. Archiv kryptologie ePrint. Citováno 24. listopadu 2015.

externí odkazy

Čas jsou peníze (v CBC šifrech), Nikos Mavrogiannopoulos, 5. února 2013

Tento článek týkající se kryptografie je pahýl. Wikipedii můžete pomoci pomocí rozšiřovat to.

[ars2013-02-04-1] A ^b Dan Goodin (4. února 2013). ""Lucky Thirteen „útok snarfs cookies chráněné šifrováním SSL“. Ars Technica. Citováno 4. února 2013.

[lucky13-website-2] A ^b Nadhem J. AlFardan a Kenneth G. Paterson (4. února 2013). „Lucky Thirteen: Breaking the TLS and DTLS Record Protocols“. Royal Holloway, University of London. Citováno 21. června 2013.CS1 maint: používá parametr autoři (odkaz)

[3] Adam Langley (4. února 2013). „Lucky Thirteen attack on TLS CBC“. Citováno 4. února 2013.

[4] Albrecht, Martin R .; Paterson, Kenneth G. „Lucky Microseconds: A Timing Attack on Amazon's s2n Implementation of TLS“. Archiv kryptologie ePrint. Citováno 24. listopadu 2015.

[1]

[2]

[3]

[4]