Un ataque Lucky Thirteen es un ataque de tiempo criptográfico contra implementaciones del protocolo Transport Layer Security (TLS) que utilizan el modo de operación CBC , informado por primera vez en febrero de 2013 por sus desarrolladores Nadhem J. AlFardan y Kenny Paterson del Information Security Group en Royal Holloway, Universidad de Londres . [1] [2]
Ataque
Es una nueva variante de Serge Vaudenay 's ataque relleno oráculo que anteriormente se cree que se han fijado, que utiliza un ataque de canal lateral de temporización contra el código de autenticación de mensaje (MAC) etapa de verificación en el algoritmo de TLS para romper el algoritmo en una manera que no fue arreglada por intentos previos para mitigar el ataque de Vaudenay. [3]
"En este sentido, los ataques no representan un peligro significativo para los usuarios comunes de TLS en su forma actual. Sin embargo, es una obviedad que los ataques solo mejoran con el tiempo, y no podemos anticipar qué mejoras en nuestros ataques, o completamente nuevos ataques, aún pueden ser descubiertos ". - Nadhem J. AlFardan y Kenny Paterson [1]
Los investigadores solo examinaron las implementaciones de software libre de TLS y encontraron que todos los productos examinados eran potencialmente vulnerables al ataque. Han probado sus ataques con éxito contra OpenSSL y GnuTLS. Debido a que los investigadores aplicaron la divulgación responsable y trabajaron con los proveedores de software, algunas actualizaciones de software para mitigar los ataques estaban disponibles en el momento de la publicación. [2]
Desde entonces, Martin R. Albrecht y Paterson han demostrado una variante del ataque Lucky Thirteen contra la implementación de s2n TLS de Amazon , a pesar de que s2n incluye contramedidas destinadas a prevenir ataques de sincronización. [4]
Referencias
- ↑ a b Dan Goodin (4 de febrero de 2013). " " Lucky Thirteen "ataca las cookies snarfs protegidas por cifrado SSL" . Ars Technica . Consultado el 4 de febrero de 2013 .
- ^ a b Nadhem J. AlFardan y Kenneth G. Paterson (4 de febrero de 2013). "Lucky Thirteen: Rompiendo los protocolos de registro TLS y DTLS" . Royal Holloway, Universidad de Londres . Consultado el 21 de junio de 2013 .Mantenimiento de CS1: utiliza el parámetro de autores ( enlace )
- ^ Adam Langley (4 de febrero de 2013). "Ataque Lucky Thirteen en TLS CBC" . Consultado el 4 de febrero de 2013 .
- ^ Albrecht, Martin R .; Paterson, Kenneth G. "Microsegundos afortunados: un ataque de tiempo en la implementación s2n de TLS de Amazon" . Archivo ePrint de criptología . Consultado el 24 de noviembre de 2015 .
enlaces externos
- El tiempo es dinero (en conjuntos de cifrado CBC) , Nikos Mavrogiannopoulos, 5 de febrero de 2013