添加的内容 删除的内容
(我来啦, replaced: 學 → 学 (2), 協 → 协 (2), 傳 → 传 (2), 議 → 议, 倫 → 伦) |
小 (机器人:清理不当的来源、移除无用的模板参数) |
||
(未显示同一用户的2个中间版本) | |||
第1行: | 第1行: | ||
'''幸运十三攻击'''({{Lang|en|Lucky Thirteen attack}})是一项针对使用[[密码块链接]]操作模式的[[传輸層安全性协定]]实现的加密学{{Tsl|en|timing attack|时序攻击}}方法,由[[伦敦大学皇家霍洛威学院]]信息安全组的纳迪姆·J·阿尔法丹(Nadhem J. AlFardan)及肯尼·帕特森(Kenny Paterson)于2013年2月首次开发并反馈。<ref name="ars2013-02-04">{{Cite web|title="Lucky Thirteen" attack snarfs cookies protected by SSL encryption|url=https://arstechnica.com/security/2013/02/lucky-thirteen-attack-snarfs-cookies-protected-by-ssl-encryption/|accessdate=2013-02-04|author=Dan Goodin|date=2013-02-04|publisher=Ars Technica |
'''幸运十三攻击'''({{Lang|en|Lucky Thirteen attack}})是一项针对使用[[密码块链接]]操作模式的[[传輸層安全性协定]]实现的加密学{{Tsl|en|timing attack|时序攻击}}方法,由[[伦敦大学皇家霍洛威学院]]信息安全组的纳迪姆·J·阿尔法丹(Nadhem J. AlFardan)及肯尼·帕特森(Kenny Paterson)于2013年2月首次开发并反馈。<ref name="ars2013-02-04">{{Cite web|title="Lucky Thirteen" attack snarfs cookies protected by SSL encryption|url=https://arstechnica.com/security/2013/02/lucky-thirteen-attack-snarfs-cookies-protected-by-ssl-encryption/|accessdate=2013-02-04|author=Dan Goodin|date=2013-02-04|publisher=Ars Technica}}</ref><ref name="lucky13-website">{{Cite web|title=Lucky Thirteen: Breaking the TLS and DTLS Record Protocols|url=http://www.isg.rhul.ac.uk/tls/Lucky13.html|accessdate=2013-06-21|date=2013-02-04|publisher=Royal Holloway, University of London}}</ref> |
||
== 攻击方式 == |
== 攻击方式 == |
||
幸运十三攻击是{{Tsl|en|Serge Vaudenay|塞尔日·瓦德奈}}所提出的[[密文填塞攻击]](曾认为已被完全修复)的全新变种,其针对传输安全性协议算法中的[[訊息鑑別碼]]检查阶段进行{{Tsl|en|timing attack|时序攻击|时序侧信道攻击}},进而绕过原版密文填塞攻击的补丁。<ref>{{Cite web|title=Lucky Thirteen attack on TLS CBC|url=http://www.imperialviolet.org/2013/02/04/luckythirteen.html|accessdate=2013-02-04|author=Adam Langley|date=2013-02-04 |
幸运十三攻击是{{Tsl|en|Serge Vaudenay|塞尔日·瓦德奈}}所提出的[[密文填塞攻击]](曾认为已被完全修复)的全新变种,其针对传输安全性协议算法中的[[訊息鑑別碼]]检查阶段进行{{Tsl|en|timing attack|时序攻击|时序侧信道攻击}},进而绕过原版密文填塞攻击的补丁。<ref>{{Cite web|title=Lucky Thirteen attack on TLS CBC|url=http://www.imperialviolet.org/2013/02/04/luckythirteen.html|accessdate=2013-02-04|author=Adam Langley|date=2013-02-04}}</ref><blockquote>“就这方面而言,(幸运十三)攻击手段对传输安全性协议的普通用户并未造成显著的威胁。但是,攻击者的进攻方式肯定会逐渐提升,我们无法预料到攻击者的攻击方式将如何发展,亦或是提前知道尚未发现的攻击手段。”{{Notetag|原文:"In this sense, the attacks do not pose a significant danger to ordinary users of TLS in their current form. However, it is a truism that attacks only get better with time, and we cannot anticipate what improvements to our attacks, or entirely new attacks, may yet be discovered."|name=注}}——纳迪姆·J·阿尔法丹及肯尼·帕特森<ref name="ars2013-02-04"/></blockquote>研究人员仅仅对传输层安全协议的自由软件实现进行了测试,发现所有被测试的产品均受到此问题的影响,并已成功对OpenSSL及GnuTLS进行了攻击。因为研究者负有[[负责任的披露|披露责任]]且与软件供应商进行了合作,部分软件更新已在缺陷公开当时修复漏洞。<ref name="lucky13-website"/> |
||
虽然亚马逊专有的{{Tsl|en|S2n}}实现已作出了防止时序攻击的措施,但马丁·R·阿尔布雷特(Martin R. Albrecht)和帕特森还是成功对S2n实现了幸运十三的变种攻击。<ref>{{Cite web|title=Lucky Microseconds: A Timing Attack on Amazon's s2n Implementation of TLS|url=https://eprint.iacr.org/2015/1129|accessdate=2015-11-24|author=Albrecht|first=Martin R.|work=Cryptology ePrint Archive |
虽然亚马逊专有的{{Tsl|en|S2n}}实现已作出了防止时序攻击的措施,但马丁·R·阿尔布雷特(Martin R. Albrecht)和帕特森还是成功对S2n实现了幸运十三的变种攻击。<ref>{{Cite web|title=Lucky Microseconds: A Timing Attack on Amazon's s2n Implementation of TLS|url=https://eprint.iacr.org/2015/1129|accessdate=2015-11-24|author=Albrecht|first=Martin R.|work=Cryptology ePrint Archive}}</ref> |
||
== 脚注 == |
== 脚注 == |
||
第10行: | 第10行: | ||
== 参考文献 == |
== 参考文献 == |
||
{{ |
{{reflist}} |
||
== 外部链接 == |
== 外部链接 == |