Велосипедная атака - Bicycle attack

А Атака на велосипедах TLS относится к методу обнаружения пароль длина зашифрованных пакетов, передаваемых через SSL, или же HTTPS. Этот термин впервые был введен 30 декабря 2015 года Гвидо Вранкеном, который написал:[1]

«Название TLS Bicycle Attack было выбрано из-за концептуального сходства между тем, как шифрование скрывает контент, а подарочная упаковка скрывает физические объекты. Моя атака в значительной степени опирается на свойство потоковой шифры в TLS, что размер полезной нагрузки данных приложения TLS напрямую известен злоумышленнику, и это непреднамеренно раскрывает информацию о простой текст размер; подобно тому, как задрапированный или завернутый в подарочную упаковку велосипед по-прежнему идентифицируется как велосипед, потому что его маскировка сохраняет основную форму. Причина, по которой я назвал эту атаку, только для того, чтобы всем было легче ссылаться на нее ".

Предпосылка велосипедной атаки заключается в том, что она заставляет брутфорс паролей намного проще, потому что длина паролей может быть известна.

Более того, это опровергает идею о том, что SSL -зашифрованный HTTP пакеты затемнить длину, потому что:

«Избыточность HTTP-заголовков в виде открытого текста, включенных в каждый запрос, может быть использована для выявления длины определенных компонентов (таких как пароли) конкретных запросов (например, аутентификации в веб-приложении)».[1]

Смотрите также

Рекомендации

  1. ^ а б Вранкен, Гвидо (30 декабря 2015 г.). "Атака велосипеда HTTPS". Получено 2016-02-08.