GoldenLine
Zaloguj się
Michał Sajdak

Michał Sajdak Securitum.

Temat: Lucky thirteen - nowy atak na SSL/TLS

Ciekawostka.
Tym razem błąd w architekturze całego SSL/TLS (wszystkie wersje TLS, aż po 1.2). Do skutecznego ataku można zastosować optymalizacje znaną z innego ataku z na TLS-a BEAST, ale są tu mniejsze wymagania do skutecznego podsłuchu (co nie znaczy że te wymagania są łatwe do spełnienia). Dodatkowo część implementacji (jak np. OpenSSL , na którego jest już patch), umożliwia pewne dalsze optymalizacje ataku. Więcej info też tutaj: http://sekurak.pl/nowy-atak-na-ssl-tls-nie-panikuj/
Link do wypowiedziLink
Piotr R.

Piotr R. ...

Temat: Lucky thirteen - nowy atak na SSL/TLS

A zamiast oglądania TV polecam całe opracowanie http://www.isg.rhul.ac.uk/tls/TLStiming.pdf
Link do wypowiedziLink
Smaug T.

Smaug T.

Temat: Lucky thirteen - nowy atak na SSL/TLS

Przed instalacją 1.0.1d jednak bym się wstrzymał w związku z regresją do 1.0.1c:

http://www.mail-archive.com/openssl-dev@openssl.org/ms...
Link do wypowiedziLink
Michał Sajdak

Michał Sajdak Securitum.

Temat: Lucky thirteen - nowy atak na SSL/TLS

Andy: słuszna uwaga. Generalnie też strasznie nie ma się co spieszyć z patchem, bo to nie jest szybki atak który od razu prowadzi do dużych problemów. Ale z czasem może z tego coś takiego wyrosnąć, więc czujność wskazana.
Link do wypowiedziLink
« Wróć do tematów
Odpowiedz

Podobne tematy


Następna dyskusja:

Problem z certyfikatem SSL.




Wyślij zaproszenie do
Anuluj