Lucky Thirteen这个名字的含义是什么?

时间:2017-06-30 08:27:56

标签: security ssl tls1.2 dtls padding-oracle-attack

来自文章Lucky thirteen: Breaking the TLS and DTLS record protocols

  

可能的具体攻击细节取决于   通过协商的MAC算法输出的MAC标签的确切大小   握手协议,还有关于13字节的正确事实   标题数据包含在MAC计算中(因此我们的标题)。

此外,我在The Royal Holloway, University of London网站上阅读:

  

TLS MAC计算包括13个字节的标头   信息(5个字节的TLS头加上8个字节的TLS序列   数量)部分是使攻击成为可能的原因。

据我了解,攻击是基于填充机制,基于使用CBC操作模式的事实以及MAC计算(和压缩函数)的时间差异。我无法弄清楚MAC头的大小如何影响。

任何人都可以解释一下Lucky Thirteen这个名字的含义是什么吗?

谢谢。

1 个答案:

答案 0 :(得分:3)

META:这不是一个编程问题,而且在安全性方面更合适。我们已经在BEAST和POODLE等相关攻击上拥有Qs。我想到我记得在Lucky-Thirteen上看过一个但在搜索时找不到任何一个,所以我建议移植它。

称之为“幸运”就像他们所说的那样“密码学家之间的幽默感”,但是在您引用的那段之前的段落中概述了伪标题为13字节的重要性:

  

对于某些精心选择的消息长度,并且当使用HMAC-SHA1 MAC算法时,包含至少两个字节的正确填充的TLS消息将比包含一个字节的正确填充或填充不正确的TLS消息处理得快一些格式化。

详见本文第4.2节:当使用CBC + HMAC-SHA1密码套件时,如果攻击者系统地篡改64字节(不包括IV)密文:

  • 当(篡改的)解密以有效的2字节或更大的填充结束时,对由64-2-20 + 13 = 55字节或更少的数据组成的数据执行HMAC(并且> 2填充 - > < 55 HMAC很快变得非常不可能);

  • 否则HMAC在56或57个字节上执行。

由于SHA-1(见2.1)完成了MD填充,后者需要比前者更多的压缩功能,现在是统计增强和检测的额外压缩功能的时间。 这给出了一个可以恢复明文的填充oracle。

13的'幸运'是13加9只略高于20。 正如他们在4.3中指出的那样,如果SSL / TLS的设计不同,12会更幸运。