HTTPS с RC4
Он же взломан? Безопасно ли его применять?
|
||||||||||||||||||||||||||
|
||||||||||||||||||||||||||
Нормы пользования. Некоторые права на материалы сайта защищены по условиям лицензии CreativeCommons. Движок
openSpace 0.8.25a и дизайн сайта © 2006-2007 Vlad "SATtva" Miller.
|
||||||||||||||||||||||||||
комментариев: 1060 документов: 16 редакций: 32
А с SSL сейчас вообще беда и огорчение. RC4 без пяти минут взломан, а механизм использования блочных шифров к padding oracle атакам уязвим. Тут нужен как минимум какой-нибудь новый TLS 1.3, в которому будет другой padding или лучше возможность выбора padding в качестве параметра. Только когда всё это будет, если даже не все ещё TLS 1.1 внедрили?
Также есть костылик, который рандомизирует положение кук или вообще убирает их из первых 256 байтов. Запрашиваемый адрес по-прежнему под ударом.
комментариев: 9796 документов: 488 редакций: 5664
Что взглянув на 256 графиков из слайдов Бернштейна и Ко надо сразу ужаснуться, независимо от того, к какому числу реальных шагов атаки приводит такой очевидный дефект шифра. Ну т.е. — это такой шок-контент для криптографов.
комментариев: 1060 документов: 16 редакций: 32
К beast да, костыль прикрутили. А что с Lucky13 делать?
Я перевести просил. На русский.
А что с ним?
комментариев: 1060 документов: 16 редакций: 32
http://arstechnica.com/securit.....d-by-ssl-encryption/
Уязвим даже TLS 1.2
комментариев: 9796 документов: 488 редакций: 5664
На графиках ясно виден тривиальный статистический различитель. Да ещё и побайтовый.
Если бы шифр был неотличим от идеального, то в пределах возможностей перебора грубой силой для каждого байта наблюдалось бы равномерное плоское распределение.
Обратное неверно: графики могут быть идеальными, а шифр легковзламываемый. Но когда такие элементарные графики показывают плохие показатели — это, соответственно, совсем плохо.
о_О а эта атака вообще реалистична?
unknown, ну из неидеальности еще не следует практической уязвимости. Мб на тот момент требования к криптографии были гораздо проще.
комментариев: 1060 документов: 16 редакций: 32
Не сказать, что столь же практична, как beast, но 2^23 сессий в тяжелейшем случае – это даже меньше, чем нужно для атаки на RC4 сейчас. В общем, всё на грани. Криптографы-теоретики хватаются за сердце, остальным явно плевать.
Upd: А я как-то упустил, что в tls 1.2 Galois/Counter ещё появился – можно и с ним жить. Надо только дождаться, пока
рак на горе свистнетtls 1.2 появится во всех браузерах и сайтах.http://www.imperialviolet.org/...../08/tlsversions.html – тут пишут о проблемах совместимости.
Какие условия для Lucky13? MitM или пассивное прослушивание?
2^23 сессий, а там – сообщений (запросов). SSL просто так сессию не начинает, ибо нужно впрягать асимметрику.
Чем этот счетчик галуа так привлекателен?
комментариев: 1060 документов: 16 редакций: 32
Это padding oracle, т.е. одной из сторон (серверу на практике) посылаются фрагменты зашифрованных данных со спецаильно подобранным IV. Это не пассивное прослушивание, но и не mitm. Скорее, человек "со стороны" :)
А вот тут на сцену выходит beast-оподобная техника с внедреним скрипта на страничку, который и будет новые сессии создавать.
Да, можно.
Каким же образом?
Получаем замкнутый круг – поддержка в браузерах может заставить глючить сервера, а пока не будет полной поддержки – нельзя будет запретить уязвимые версии.