Biblioteka OpenSSL stała się ostatnio obiektem dociekliwych badań kryptologów, na co zapewne zasługuje jako jedna z najpopularniejszych obecnie implementacji protokołów SSL/TLS. Tym razem naukowcy ze Stanfordu opublikowali praktyczny atak czasowy (timing attack) na serwery niewłaściwie wykorzystujące bibliotekę. A ściślej, nie wykorzystujące wbudowanego w nią zabezpieczenia (blinding) przed atakami tego typu. Atak jest możliwy do przeprowadzenia wyłączenie w sieci lokalnej i pozwala na odzyskanie klucza prywatnego serwera po ok. milionie zapytań.

Boneh, Brumley ,, Remote timing attacks are practical” http://crypto.stanford.edu/~dabo/abstracts/ssl-timing.html

Archiwalny news dodany przez użytkownika: ipsec.pl.
Kliknij tutaj by zobaczyć archiwalne komentarze.

Oznaczone jako → 
Share →