Lucky 13
Lucky 13 とは何ですか?
Lucky 132013 年に AlFardan と Paterson が公表した TLS-CBC のタイミング攻撃。MAC-then-encrypt をパディングオラクル化して平文を復元する。
Lucky 13 は 2013 年に Royal Holloway の Nadhem AlFardan と Kenny Paterson によって発表されました。HMAC-SHA1 で MAC-then-encrypt を行う SSL 3.0、TLS 1.0/1.1/1.2、DTLS の CBC スイートが対象です。名前の 13 は MAC が対象とする TLS ヘッダとシーケンス番号などの定数バイト数を指します。パディング長によって MAC 検証時間にわずかな差が生じるため、偽造暗号文のパディングが正当かを明示エラーなしに判定できる「パディングオラクル」が成立します。大量の接続で Cookie などの平文バイトを復元できます。対策は定時間 MAC 実装と TLS 1.2/1.3 の AEAD 暗号(AES-GCM、ChaCha20-Poly1305)です。
● 例
- 01
数百万件の偽造レコードで TLS-CBC セッションから一部の平文バイトを復元する。
- 02
DTLS の再送機構で測定回数を増やし、計測精度を高める。
● よくある質問
Lucky 13 とは何ですか?
2013 年に AlFardan と Paterson が公表した TLS-CBC のタイミング攻撃。MAC-then-encrypt をパディングオラクル化して平文を復元する。 サイバーセキュリティの 攻撃と脅威 カテゴリに属します。
Lucky 13 とはどういう意味ですか?
2013 年に AlFardan と Paterson が公表した TLS-CBC のタイミング攻撃。MAC-then-encrypt をパディングオラクル化して平文を復元する。
Lucky 13 はどのように機能しますか?
Lucky 13 は 2013 年に Royal Holloway の Nadhem AlFardan と Kenny Paterson によって発表されました。HMAC-SHA1 で MAC-then-encrypt を行う SSL 3.0、TLS 1.0/1.1/1.2、DTLS の CBC スイートが対象です。名前の 13 は MAC が対象とする TLS ヘッダとシーケンス番号などの定数バイト数を指します。パディング長によって MAC 検証時間にわずかな差が生じるため、偽造暗号文のパディングが正当かを明示エラーなしに判定できる「パディングオラクル」が成立します。大量の接続で Cookie などの平文バイトを復元できます。対策は定時間 MAC 実装と TLS 1.2/1.3 の AEAD 暗号(AES-GCM、ChaCha20-Poly1305)です。
Lucky 13 からどのように防御しますか?
Lucky 13 に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
Lucky 13 の別名は何ですか?
一般的な別名: Lucky Thirteen。
● 関連用語
- attacks№ 786
パディングオラクル攻撃
2002 年に Vaudenay が公表した暗号攻撃。改変メッセージの PKCS#7 パディングが正しいかをサーバが漏えいすると CBC 暗号文を復号できる。
- attacks№ 089
BEAST 攻撃
2011 年に Rizzo と Duong が公表した SSL 3.0/TLS 1.0 CBC への選択平文攻撃(CVE-2011-3389)。予測可能な IV を悪用して HTTPS クッキーを復元する。
- attacks№ 235
CRIME 攻撃
2012 年に Rizzo と Duong が公表したサイドチャネル攻撃で、TLS レベルの圧縮を悪用し暗号文長を観測することで HTTPS セッションクッキーを復元する。
- network-security№ 1159
TLS(トランスポート層セキュリティ)
IETF が標準化した暗号プロトコルで、ネットワーク上の 2 つのアプリケーション間の通信に機密性・完全性・認証を提供する。
- vulnerabilities№ 1038
サイドチャネル攻撃
論理的欠陥ではなく、時間・消費電力・電磁波・キャッシュ・音響など、システムの物理的または実装上の特徴を観測することで秘密情報を回復する攻撃。