Biblioteka OpenSSL stała się ostatnio obiektem dociekliwych badań kryptologów, na co zapewne zasługuje jako jedna z najpopularniejszych obecnie implementacji protokołów SSL/TLS. Tym razem naukowcy ze Stanfordu opublikowali praktyczny atak czasowy (timing attack) na serwery niewłaściwie wykorzystujące bibliotekę. A ściślej, nie wykorzystujące wbudowanego w nią zabezpieczenia (blinding) przed atakami tego typu. Atak jest możliwy do przeprowadzenia wyłączenie w sieci lokalnej i pozwala na odzyskanie klucza prywatnego serwera po ok. milionie zapytań.
Boneh, Brumley ,, Remote timing attacks are practical” http://crypto.stanford.edu/~dabo/abstracts/ssl-timing.html
Archiwalny news dodany przez użytkownika: ipsec.pl.
Kliknij tutaj by zobaczyć archiwalne komentarze.
Share →
Ostatnie komentarze
- Zaufana Trzecia Strona - MAiC proponuje polskie "Raporty o przejrzystości"
- fantomik - Backdoorów PRISM nie ma. Pełnej informacji w Transparency Reports też.
- rumcajs - Backdoorów PRISM nie ma. Pełnej informacji w Transparency Reports też.
- KMP - Permanentna inwigilacja – również w Polsce
- KMP - Permanentna inwigilacja – również w Polsce