Reference-Request
是否有一些知名的加密 API 會洩露資訊?
是否有任何知名的加密 API 或庫會洩露或用於洩露資訊(它可以是密鑰或其他任何東西)?
這是針對 SSH 的經典定時攻擊:
http://people.eecs.berkeley.edu/~daw/papers/ssh-use01.pdf
由於 SSH 是一個加密終端,每次按下一個鍵它都會發送一個數據包。例如,當您輸入密碼時,您洩露了密碼的長度和時間。這可用於重建您可能的密碼,並使迭代可能的替代方案變得可行。
類似的攻擊也影響了其他協議,例如 TLS https://www.schneier.com/blog/archives/2010/03/side-channel_at.html
(就在今天, eBay 因在您鍵入新密碼時(通過 TLS)向他們的伺服器發送每次按鍵而受到批評;他們的密碼強度計是伺服器端的。 許多人認為這不是一個真正的問題。)