Lucky 13
Что такое Lucky 13?
Lucky 13Атака по времени 2013 года (AlFardan, Paterson) на TLS-CBC: MAC-then-encrypt становится оракулом паддинга и позволяет восстановить открытый текст.
Lucky 13 была опубликована в 2013 году Надхемом аль-Фарданом и Кенни Патерсоном из Royal Holloway. Атака нацелена на CBC-сьюты SSL 3.0, TLS 1.0/1.1/1.2 и DTLS, использующие MAC-then-encrypt с HMAC-SHA1. Число 13 — это константные байты (заголовок TLS и порядковый номер), покрываемые MAC. Минимальные различия во времени проверки MAC в зависимости от длины паддинга позволяют без явных сообщений об ошибках судить о валидности паддинга у поддельного шифротекста — получается оракул паддинга. При большом числе соединений можно восстановить байты открытого текста, например cookie. Меры защиты: реализации MAC с постоянным временем и AEAD-шифры (AES-GCM, ChaCha20-Poly1305) в TLS 1.2/1.3.
● Примеры
- 01
Восстановление небольшой части байтов открытого текста из сессии TLS-CBC миллионами поддельных записей.
- 02
Использование DTLS, где ретрансмиссии дают дополнительные измерения.
● Частые вопросы
Что такое Lucky 13?
Атака по времени 2013 года (AlFardan, Paterson) на TLS-CBC: MAC-then-encrypt становится оракулом паддинга и позволяет восстановить открытый текст. Относится к категории Атаки и угрозы в кибербезопасности.
Что означает Lucky 13?
Атака по времени 2013 года (AlFardan, Paterson) на TLS-CBC: MAC-then-encrypt становится оракулом паддинга и позволяет восстановить открытый текст.
Как работает Lucky 13?
Lucky 13 была опубликована в 2013 году Надхемом аль-Фарданом и Кенни Патерсоном из Royal Holloway. Атака нацелена на CBC-сьюты SSL 3.0, TLS 1.0/1.1/1.2 и DTLS, использующие MAC-then-encrypt с HMAC-SHA1. Число 13 — это константные байты (заголовок TLS и порядковый номер), покрываемые MAC. Минимальные различия во времени проверки MAC в зависимости от длины паддинга позволяют без явных сообщений об ошибках судить о валидности паддинга у поддельного шифротекста — получается оракул паддинга. При большом числе соединений можно восстановить байты открытого текста, например cookie. Меры защиты: реализации MAC с постоянным временем и AEAD-шифры (AES-GCM, ChaCha20-Poly1305) в TLS 1.2/1.3.
Как защититься от Lucky 13?
Защита от Lucky 13 обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Lucky 13?
Распространённые альтернативные названия: Lucky Thirteen.
● Связанные термины
- attacks№ 786
Атака оракула паддинга
Криптографическая атака (Vaudenay, 2002), расшифровывающая CBC-шифр, если сервер раскрывает корректность PKCS#7-паддинга у изменённого сообщения.
- attacks№ 089
Атака BEAST
Атака с выбранным открытым текстом (Rizzo и Duong, 2011; CVE-2011-3389) на SSL 3.0 и TLS 1.0 CBC, восстанавливающая HTTPS-куки через предсказуемый IV.
- attacks№ 235
Атака CRIME
Атака по побочному каналу 2012 года (Rizzo и Duong), восстанавливающая HTTPS-куки за счёт сжатия на уровне TLS и наблюдения длины шифротекста.
- network-security№ 1159
TLS (Transport Layer Security)
Стандартизованный IETF криптографический протокол, обеспечивающий конфиденциальность, целостность и аутентификацию трафика между двумя сетевыми приложениями.
- vulnerabilities№ 1038
Атака по сторонним каналам
Атака, восстанавливающая секреты по наблюдаемым физическим или реализационным характеристикам — времени, мощности, электромагнитному излучению, кэшам, звукам — а не по логическим ошибкам.