Lucky 13
Lucky 13 是什么?
Lucky 132013 年 AlFardan 与 Paterson 发布的 TLS 计时攻击,针对 MAC-then-encrypt 的 CBC 实现构造填充预言机以恢复明文。
Lucky 13 由皇家霍洛威学院的 Nadhem AlFardan 与 Kenny Paterson 在 2013 年发表。攻击针对 SSL 3.0、TLS 1.0/1.1/1.2 与 DTLS 中采用 HMAC-SHA1 的 MAC-then-encrypt CBC 套件。名字中的 13 指 MAC 覆盖的 TLS 头部及序列号等常数字节。MAC 验证耗时会因填充长度而存在微小差异,即使没有显式错误也能形成填充预言机,从而判断伪造的密文是否具有合法填充。通过大量连接,攻击者可以恢复 Cookie 等明文字节。缓解措施:恒定时间 MAC 实现以及在 TLS 1.2/1.3 中使用 AEAD 密码(AES-GCM、ChaCha20-Poly1305)。
● 示例
- 01
通过数百万条伪造记录,从 TLS-CBC 会话中恢复少量明文字节。
- 02
在 DTLS 实现中借助重传获得更多计时样本。
● 常见问题
Lucky 13 是什么?
2013 年 AlFardan 与 Paterson 发布的 TLS 计时攻击,针对 MAC-then-encrypt 的 CBC 实现构造填充预言机以恢复明文。 它属于网络安全的 攻击与威胁 分类。
Lucky 13 是什么意思?
2013 年 AlFardan 与 Paterson 发布的 TLS 计时攻击,针对 MAC-then-encrypt 的 CBC 实现构造填充预言机以恢复明文。
Lucky 13 是如何工作的?
Lucky 13 由皇家霍洛威学院的 Nadhem AlFardan 与 Kenny Paterson 在 2013 年发表。攻击针对 SSL 3.0、TLS 1.0/1.1/1.2 与 DTLS 中采用 HMAC-SHA1 的 MAC-then-encrypt CBC 套件。名字中的 13 指 MAC 覆盖的 TLS 头部及序列号等常数字节。MAC 验证耗时会因填充长度而存在微小差异,即使没有显式错误也能形成填充预言机,从而判断伪造的密文是否具有合法填充。通过大量连接,攻击者可以恢复 Cookie 等明文字节。缓解措施:恒定时间 MAC 实现以及在 TLS 1.2/1.3 中使用 AEAD 密码(AES-GCM、ChaCha20-Poly1305)。
如何防御 Lucky 13?
针对 Lucky 13 的防御通常结合技术控制与运营实践,详见上方完整定义。
Lucky 13 还有哪些其他名称?
常见的别称包括: Lucky Thirteen。
● 相关术语
- attacks№ 786
填充预言机攻击
Vaudenay 在 2002 年提出的密码学攻击,当服务器披露篡改消息的 PKCS#7 填充是否合法时,可解密 CBC 模式的密文。
- attacks№ 089
BEAST 攻击
Rizzo 与 Duong 于 2011 年披露的针对 SSL 3.0 与 TLS 1.0 CBC 密码的选择明文攻击(CVE-2011-3389),利用可预测的 IV 恢复 HTTPS Cookie。
- attacks№ 235
CRIME 攻击
Rizzo 与 Duong 于 2012 年公开的侧信道攻击,利用 TLS 层压缩并观测密文长度,从而恢复 HTTPS 会话 Cookie。
- network-security№ 1159
TLS(传输层安全)
由 IETF 标准化的加密协议,为两个联网应用之间的通信提供机密性、完整性与认证。
- vulnerabilities№ 1038
侧信道攻击
通过观察系统的物理或实现特征(时序、功耗、电磁辐射、缓存、声学信号等)而非逻辑漏洞,来恢复机密信息的攻击。