В чем смысл названия Lucky Thirteen?

Question

В чем смысл названия Lucky Thirteen?

Из статьи " Тринадцать счастливчиков: нарушение протокола записи TLS и DTLS":

Детали того, какие конкретные атаки возможны, зависят от точного размера тегов MAC, выводимых алгоритмом MAC, согласованных протоколом рукопожатия, а также от того факта, что в расчет MAC включены ровно 13 байтов данных заголовка (отсюда и наш заголовок).).

Кроме того, я прочитал на сайте The Royal Holloway Лондонского университета:

Тот факт, что вычисление MAC TLS включает в себя 13 байтов информации заголовка (5 байтов заголовка TLS плюс 8 байтов порядкового номера TLS), частично делает возможными атаки.

Как я понимаю, атака основана на механизме заполнения, на том факте, что используется режим работы CBC, и на разнице во времени вычисления MAC (и функции сжатия). Я не мог понять, как размер заголовка MAC влияет.

Может кто-нибудь объяснить, в чем смысл названия Lucky Thirteen?

Спасибо.

1

security ssl tls1.2 dtls padding-oracle-attack

Источник

user6041558 30 июн '17 в 08:27

1 ответ

Решение

Другие вопросы по тегам security ssl tls1.2 dtls padding-oracle-attack

user2868801 30 июн '17 в 11:09 2017-06-30 11:09 · Accepted Answer · 2017-06-30 11:09

META: это не вопрос программирования, и он гораздо лучше подходит для безопасности.SX, где у нас уже есть Q для связанных атак, таких как BEAST и POODLE. Я подумал, что вспомнил, что видел одну на Lucky-Thirteen, но не смог найти ни одной при поиске, поэтому предлагаю перенести это.

Называть его "счастливым" - это, как говорят, "то, что считается юмором среди криптографов", но важность псевдозаголовка, составляющего 13 байтов, изложена в параграфе перед тем, который вы цитировали:

для некоторых тщательно выбранных длин сообщений и при использовании алгоритма MAC HMAC-SHA1 сообщения TLS, содержащие как минимум два байта правильного заполнения, будут обрабатываться несколько быстрее, чем сообщения TLS, содержащие один байт правильного заполнения или заполнения, которые неправильно отформатированы.

и подробно описано в разделе 4.2 документа: при использовании шифра CBC+HMAC-SHA1, если злоумышленник систематически изменяет 64-байтовый (не включая IV) шифротекст:

когда (подделанное) дешифрование заканчивается допустимым заполнением в 2 байта или более, HMAC выполняется для данных, состоящих из 64-2-20+13=55 байтов или менее (и>2 дополнения -> <55 HMAC быстро становится очень маловероятным);
в противном случае HMAC выполняется на 56 или 57 байтах.

Из-за заполнения MD, сделанного SHA-1 (см. 2.1), последнему требуется еще одна функция сжатия, чем первая, и настало время для этой дополнительной функции сжатия, которую они статистически улучшают и обнаруживают. Это дает дополнительный оракул, из которого можно извлечь открытый текст.

"Удача" 13 здесь заключается в том, что 13 плюс 9 - это лишь немногим больше 20. Как они отмечают в 4.3, 12 было бы еще счастливее, если бы SSL/TLS был разработан по-другому.