HTTPS с RC4

Он же взломан? Безопасно ли его применять?

На страницу: 1, 2, 3, 4, 5, 6 След.

Комментарии

—	*Гость* (20/03/2013 13:57) <#>

Гость (19/03/2013 13:25) а ты понял? Может, обьяснишь?

—	*Гость* (20/03/2013 23:00) <#>

Гость (19/03/2013 13:25) а ты понял? Может, обьяснишь?

По всей видимости, Гость (19/03/2013 13:25) как бы хочет нам сказать «надо как можно скорее отказываться от использования RC4, а те, кто продолжают им пользоваться, ССЗБ».

—	sentaus (21/03/2013 00:06) профиль/связь <#> комментариев: 1060 документов: 16 редакций: 32

По всей видимости, Гость (19/03/2013 13:25) как бы хочет нам сказать «надо как можно скорее отказываться от использования RC4, а те, кто продолжают им пользоваться, ССЗБ».

А с SSL сейчас вообще беда и огорчение. RC4 без пяти минут взломан, а механизм использования блочных шифров к padding oracle атакам уязвим. Тут нужен как минимум какой-нибудь новый TLS 1.3, в которому будет другой padding или лучше возможность выбора padding в качестве параметра. Только когда всё это будет, если даже не все ещё TLS 1.1 внедрили?

—	*Гость* (21/03/2013 09:29) <#>

Beast вроде как пофикшен

Также есть костылик, который рандомизирует положение кук или вообще убирает их из первых 256 байтов. Запрашиваемый адрес по-прежнему под ударом.

—	*Гость* (21/03/2013 09:30) <#>

Вообще, кто-то может перевести то, что ункноун написал?

—	unknown (21/03/2013 09:52) профиль/связь <#> комментариев: 9796 документов: 488 редакций: 5664

Beast не действует против RC4, а только против определённых способов использвания блочных шифров в режиме CBC.

>что ункноун написал?

Что взглянув на 256 графиков из слайдов Бернштейна и Ко надо сразу ужаснуться, независимо от того, к какому числу реальных шагов атаки приводит такой очевидный дефект шифра. Ну т.е. — это такой шок-контент для криптографов.

—	sentaus (21/03/2013 13:19) профиль/связь <#> комментариев: 1060 документов: 16 редакций: 32

Beast вроде как пофикшен

К beast да, костыль прикрутили. А что с Lucky13 делать?

—	*Гость* (21/03/2013 13:34) <#>

>Что взглянув на 256 графиков из слайдов Бернштейна и Ко надо сразу ужаснуться, независимо от того, к какому числу реальных шагов атаки приводит такой очевидный дефект шифра. Ну т.е. — это такой шок-контент для криптографов.

Я перевести просил. На русский.

>А что с Lucky13 делать?

А что с ним?

—	sentaus (21/03/2013 15:11) профиль/связь <#> комментариев: 1060 документов: 16 редакций: 32

А что с ним?

http://arstechnica.com/securit.....d-by-ssl-encryption/

It took the scientists as little 2^23 sessions to extract the entire contents of a TLS-encrypted authentication cookie. They were able to improve their results when they knew details of a the ciphertext they were trying to decrypt. Cookies formatted in base 64 encoding, for example, could be extracted in 2^19 TLS sessions. The researchers required 2^13 sessions when a byte of plaintext in one of the last two positions in a block was already known.

Уязвим даже TLS 1.2

—	unknown (21/03/2013 15:25, исправлен 21/03/2013 15:27) профиль/связь <#> комментариев: 9796 документов: 488 редакций: 5664

>Я перевести просил. На русский.

На графиках ясно виден тривиальный статистический различитель. Да ещё и побайтовый.

Если бы шифр был неотличим от идеального, то в пределах возможностей перебора грубой силой для каждого байта наблюдалось бы равномерное плоское распределение.

Обратное неверно: графики могут быть идеальными, а шифр легковзламываемый. Но когда такие элементарные графики показывают плохие показатели — это, соответственно, совсем плохо.

—	*Гость* (21/03/2013 18:27) <#>

Уязвим даже TLS 1.2

о_О а эта атака вообще реалистична?

unknown, ну из неидеальности еще не следует практической уязвимости. Мб на тот момент требования к криптографии были гораздо проще.

—	sentaus (21/03/2013 18:48, исправлен 21/03/2013 23:57) профиль/связь <#> комментариев: 1060 документов: 16 редакций: 32

о_О а эта атака вообще реалистична?

Не сказать, что столь же практична, как beast, но 2^23 сессий в тяжелейшем случае – это даже меньше, чем нужно для атаки на RC4 сейчас. В общем, всё на грани. Криптографы-теоретики хватаются за сердце, остальным явно плевать.

Upd: А я как-то упустил, что в tls 1.2 Galois/Counter ещё появился – можно и с ним жить. Надо только дождаться, пока ~~рак на горе свистнет~~ tls 1.2 появится во всех браузерах и сайтах.

—	*Гость* (22/03/2013 13:43) <#>

Не просто появится, а уязвимые версии будут запрещены хотя бы на одной стороне, иначе митмом можно будет сделать даунгрейд, так ведь? А это будет как минимум тогда, когда все браузеры его начнут поддерживать.

http://www.imperialviolet.org/...../08/tlsversions.html – тут пишут о проблемах совместимости.

Какие условия для Lucky13? MitM или пассивное прослушивание?

>2^23 сессий в тяжелейшем случае – это даже меньше, чем нужно для атаки на RC4 сейчас

2^23 сессий, а там – сообщений (запросов). SSL просто так сессию не начинает, ибо нужно впрягать асимметрику.

Чем этот счетчик галуа так привлекателен?

—	sentaus (22/03/2013 20:01, исправлен 22/03/2013 20:05) профиль/связь <#> комментариев: 1060 документов: 16 редакций: 32

Какие условия для Lucky13? MitM или пассивное прослушивание?

Это padding oracle, т.е. одной из сторон (серверу на практике) посылаются фрагменты зашифрованных данных со спецаильно подобранным IV. Это не пассивное прослушивание, но и не mitm. Скорее, человек "со стороны" :)

2^23 сессий, а там – сообщений (запросов). SSL просто так сессию не начинает, ибо нужно впрягать асимметрику.

А вот тут на сцену выходит beast-оподобная техника с внедреним скрипта на страничку, который и будет новые сессии создавать.

митмом можно будет сделать даунгрейд, так ведь?

Да, можно.

—	*Гость* (22/03/2013 22:41) <#>

А вот тут на сцену выходит beast-оподобная техника с внедреним скрипта на страничку, который и будет новые сессии создавать.

Каким же образом?

Да, можно.

Получаем замкнутый круг – поддержка в браузерах может заставить глючить сервера, а пока не будет полной поддержки – нельзя будет запретить уязвимые версии.

На страницу: 1, 2, 3, 4, 5, 6 След.

Ваша оценка документа [показать результаты]