Lucky 13
Was ist Lucky 13?
Lucky 13Timing-Angriff (AlFardan und Paterson, 2013) auf TLS-CBC, der MAC-then-encrypt zu einem Padding-Orakel macht und Klartext rekonstruiert.
Lucky 13 wurde 2013 von Nadhem AlFardan und Kenny Paterson am Royal Holloway veroeffentlicht. Es greift CBC-Suiten von SSL 3.0, TLS 1.0/1.1/1.2 und DTLS an, die MAC-then-encrypt mit HMAC-SHA1 verwenden. Die Zahl 13 bezieht sich auf die konstanten Bytes (TLS-Header und Sequenznummer), die der MAC abdeckt. Winzige Laufzeitunterschiede bei der MAC-Pruefung, abhaengig von der Padding-Laenge, zeigen, ob ein gefaelschter Ciphertext gueltiges Padding hat, und liefern so ein Padding-Orakel ohne explizite Fehlermeldungen. Ueber viele Verbindungen lassen sich Klartext-Bytes wie Cookies wiederherstellen. Gegenmassnahmen: Konstantzeit-MAC und AEAD-Chiffren (AES-GCM, ChaCha20-Poly1305) in TLS 1.2/1.3.
● Beispiele
- 01
Wiederherstellung weniger Klartext-Bytes aus einer TLS-CBC-Sitzung ueber Millionen gefaelschter Records.
- 02
Ausnutzung von DTLS-Implementierungen, bei denen Retransmits zusaetzliche Messungen erlauben.
● Häufige Fragen
Was ist Lucky 13?
Timing-Angriff (AlFardan und Paterson, 2013) auf TLS-CBC, der MAC-then-encrypt zu einem Padding-Orakel macht und Klartext rekonstruiert. Es gehört zur Kategorie Angriffe und Bedrohungen der Cybersicherheit.
Was bedeutet Lucky 13?
Timing-Angriff (AlFardan und Paterson, 2013) auf TLS-CBC, der MAC-then-encrypt zu einem Padding-Orakel macht und Klartext rekonstruiert.
Wie funktioniert Lucky 13?
Lucky 13 wurde 2013 von Nadhem AlFardan und Kenny Paterson am Royal Holloway veroeffentlicht. Es greift CBC-Suiten von SSL 3.0, TLS 1.0/1.1/1.2 und DTLS an, die MAC-then-encrypt mit HMAC-SHA1 verwenden. Die Zahl 13 bezieht sich auf die konstanten Bytes (TLS-Header und Sequenznummer), die der MAC abdeckt. Winzige Laufzeitunterschiede bei der MAC-Pruefung, abhaengig von der Padding-Laenge, zeigen, ob ein gefaelschter Ciphertext gueltiges Padding hat, und liefern so ein Padding-Orakel ohne explizite Fehlermeldungen. Ueber viele Verbindungen lassen sich Klartext-Bytes wie Cookies wiederherstellen. Gegenmassnahmen: Konstantzeit-MAC und AEAD-Chiffren (AES-GCM, ChaCha20-Poly1305) in TLS 1.2/1.3.
Wie schützt man sich gegen Lucky 13?
Schutzmaßnahmen gegen Lucky 13 kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für Lucky 13?
Übliche alternative Bezeichnungen: Lucky Thirteen.
● Verwandte Begriffe
- attacks№ 786
Padding-Orakel-Angriff
Kryptografischer Angriff (Vaudenay, 2002), der CBC-Chiffren entschluesselt, wenn der Server die Gueltigkeit von PKCS#7-Padding einer manipulierten Nachricht offenbart.
- attacks№ 089
BEAST Attack
Chosen-Plaintext-Angriff (Rizzo und Duong, 2011; CVE-2011-3389) auf SSL 3.0 und TLS 1.0 im CBC-Modus, der HTTPS-Cookies ueber einen vorhersagbaren IV ausliest.
- attacks№ 235
CRIME Attack
Seitenkanalangriff von Rizzo und Duong (2012), der HTTPS-Sitzungscookies durch Ausnutzung der TLS-Kompression und Messung der Chiffrenlaenge zurueckgewinnt.
- network-security№ 1159
TLS (Transport Layer Security)
Das von der IETF standardisierte Kryptoprotokoll, das Vertraulichkeit, Integrität und Authentizität für den Verkehr zwischen zwei Netzwerkanwendungen liefert.
- vulnerabilities№ 1038
Seitenkanalangriff
Angriff, der Geheimnisse aus einem System gewinnt, indem er physikalische oder implementierungsbedingte Merkmale beobachtet – Zeit, Strom, elektromagnetische Emissionen, Caches, Akustik – statt logische Fehler auszunutzen.