Атака Bleichenbacher
Что такое Атака Bleichenbacher?
Атака BleichenbacherАдаптивная атака с выбранным шифротекстом (Bleichenbacher, 1998), восстанавливающая открытый текст RSA, если сервер раскрывает валидность PKCS#1 v1.5.
Даниэль Bleichenbacher представил атаку на CRYPTO 1998 против SSL-рукопожатия с шифрованием RSA-PKCS#1 v1.5. Сервер невольно действует как оракул паддинга: любое различимое поведение (время, alert или код ошибки) сообщает атакующему, начинается ли изменённый шифротекст с байтов 0x00 0x02. Отправив около миллиона тщательно сконструированных шифротекстов, атакующий сужает интервал открытого текста и восстанавливает premaster-секрет, нарушая конфиденциальность. Атака многократно возвращалась (DROWN 2016, ROBOT 2017), поскольку PKCS#1 v1.5 трудно реализовать с постоянным временем. Меры: единообразная обработка ошибок, RSA-OAEP для новых систем и TLS 1.3, где RSA-шифрование удалено из рукопожатия.
● Примеры
- 01
Восстановление SSL premaster на сервере 1990-х, выдававшем разные alerts при ошибке паддинга.
- 02
DROWN и ROBOT повторно используют этот оракул против современных TLS-стеков.
● Частые вопросы
Что такое Атака Bleichenbacher?
Адаптивная атака с выбранным шифротекстом (Bleichenbacher, 1998), восстанавливающая открытый текст RSA, если сервер раскрывает валидность PKCS#1 v1.5. Относится к категории Атаки и угрозы в кибербезопасности.
Что означает Атака Bleichenbacher?
Адаптивная атака с выбранным шифротекстом (Bleichenbacher, 1998), восстанавливающая открытый текст RSA, если сервер раскрывает валидность PKCS#1 v1.5.
Как работает Атака Bleichenbacher?
Даниэль Bleichenbacher представил атаку на CRYPTO 1998 против SSL-рукопожатия с шифрованием RSA-PKCS#1 v1.5. Сервер невольно действует как оракул паддинга: любое различимое поведение (время, alert или код ошибки) сообщает атакующему, начинается ли изменённый шифротекст с байтов 0x00 0x02. Отправив около миллиона тщательно сконструированных шифротекстов, атакующий сужает интервал открытого текста и восстанавливает premaster-секрет, нарушая конфиденциальность. Атака многократно возвращалась (DROWN 2016, ROBOT 2017), поскольку PKCS#1 v1.5 трудно реализовать с постоянным временем. Меры: единообразная обработка ошибок, RSA-OAEP для новых систем и TLS 1.3, где RSA-шифрование удалено из рукопожатия.
Как защититься от Атака Bleichenbacher?
Защита от Атака Bleichenbacher обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Атака Bleichenbacher?
Распространённые альтернативные названия: Million Message Attack.
● Связанные термины
- attacks№ 941
Атака ROBOT
Возрождение в 2017 году оракула паддинга RSA PKCS#1 v1.5 Bleichenbacher (1998) на серверах TLS, позволяющее расшифровывать сессии или подделывать их.
- attacks№ 786
Атака оракула паддинга
Криптографическая атака (Vaudenay, 2002), расшифровывающая CBC-шифр, если сервер раскрывает корректность PKCS#7-паддинга у изменённого сообщения.
- network-security№ 1159
TLS (Transport Layer Security)
Стандартизованный IETF криптографический протокол, обеспечивающий конфиденциальность, целостность и аутентификацию трафика между двумя сетевыми приложениями.
- vulnerabilities№ 1038
Атака по сторонним каналам
Атака, восстанавливающая секреты по наблюдаемым физическим или реализационным характеристикам — времени, мощности, электромагнитному излучению, кэшам, звукам — а не по логическим ошибкам.