Lucky 13
¿Qué es Lucky 13?
Lucky 13Ataque de temporizacion de 2013 (AlFardan y Paterson) sobre TLS-CBC con MAC-then-encrypt que actua como oraculo de padding para recuperar texto plano.
Lucky 13 fue publicado en 2013 por Nadhem AlFardan y Kenny Paterson de Royal Holloway. Apunta a las suites CBC de SSL 3.0, TLS 1.0/1.1/1.2 y DTLS, que usan MAC-then-encrypt con HMAC-SHA1. El 13 hace referencia a los bytes constantes (cabecera TLS y numero de secuencia) que cubre el MAC. Las pequenas diferencias de tiempo en la verificacion del MAC segun la longitud del padding revelan si un ciphertext falsificado tiene padding valido, generando un oraculo de padding aunque no haya mensajes de error explicitos. Con muchas conexiones se pueden recuperar bytes de texto plano, como cookies. Mitigaciones: MAC en tiempo constante y cifrados AEAD (AES-GCM, ChaCha20-Poly1305) en TLS 1.2 y 1.3.
● Ejemplos
- 01
Recuperar bytes de texto plano de una sesion TLS-CBC con millones de registros falsificados.
- 02
Explotar implementaciones DTLS donde la retransmision permite mas mediciones.
● Preguntas frecuentes
¿Qué es Lucky 13?
Ataque de temporizacion de 2013 (AlFardan y Paterson) sobre TLS-CBC con MAC-then-encrypt que actua como oraculo de padding para recuperar texto plano. Pertenece a la categoría de Ataques y amenazas en ciberseguridad.
¿Qué significa Lucky 13?
Ataque de temporizacion de 2013 (AlFardan y Paterson) sobre TLS-CBC con MAC-then-encrypt que actua como oraculo de padding para recuperar texto plano.
¿Cómo funciona Lucky 13?
Lucky 13 fue publicado en 2013 por Nadhem AlFardan y Kenny Paterson de Royal Holloway. Apunta a las suites CBC de SSL 3.0, TLS 1.0/1.1/1.2 y DTLS, que usan MAC-then-encrypt con HMAC-SHA1. El 13 hace referencia a los bytes constantes (cabecera TLS y numero de secuencia) que cubre el MAC. Las pequenas diferencias de tiempo en la verificacion del MAC segun la longitud del padding revelan si un ciphertext falsificado tiene padding valido, generando un oraculo de padding aunque no haya mensajes de error explicitos. Con muchas conexiones se pueden recuperar bytes de texto plano, como cookies. Mitigaciones: MAC en tiempo constante y cifrados AEAD (AES-GCM, ChaCha20-Poly1305) en TLS 1.2 y 1.3.
¿Cómo defenderse de Lucky 13?
Las defensas contra Lucky 13 combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para Lucky 13?
Nombres alternativos comunes: Lucky Thirteen.
● Términos relacionados
- attacks№ 786
Ataque de Oraculo de Padding
Ataque criptografico (Vaudenay, 2002) que descifra cifrados CBC cuando el servidor revela si un mensaje manipulado tiene padding PKCS#7 correcto.
- attacks№ 089
BEAST Attack
Ataque de texto plano elegido (Rizzo y Duong, 2011; CVE-2011-3389) contra SSL 3.0 y TLS 1.0 CBC que recupera cookies HTTPS aprovechando un IV predecible.
- attacks№ 235
CRIME Attack
Ataque de canal lateral de 2012 (Rizzo y Duong) que recupera cookies de sesion HTTPS aprovechando la compresion a nivel TLS y observando la longitud del cifrado.
- network-security№ 1159
TLS (Transport Layer Security)
Protocolo criptográfico estandarizado por el IETF que aporta confidencialidad, integridad y autenticación al tráfico entre dos aplicaciones en red.
- vulnerabilities№ 1038
Ataque de canal lateral
Ataque que recupera secretos observando características físicas o de implementación —tiempo, consumo, emisiones electromagnéticas, cachés, señales acústicas— en lugar de fallos lógicos.