SSL3 中的 CBC 填充 Oracle。為什麼只在 SSL3 中而不在 TLS1、TLS1.1 等中

我讀到了 PODDLE 攻擊，它將 TLS 版本降級到 SSL 3.0 以利用 CBC 填充 oracle 攻擊。我查看了TLS 1.1 的規範

並發現 CBC 仍在其密碼套件中使用。為什麼 POODLE 需要降級到 SSL 3？POODLE 攻擊不能通過降級到 TLS 1 或 TLS 1.1 來起作用嗎？SSL 3 中的 CBC 實現是否與 TLS 1 和 TLS 1.1 中的不同？

本質上原因是在 SSL3 中沒有指定填充，這在 TLS 規範中得到了糾正。這是攻擊的詳細且易讀的解釋。

但是，poodle 攻擊的一種變體也適用於 TLS，因為與 SSL3 相同的過程可以用於 TLS 數據包。雖然這不符合標準，但它會起作用，並且某些實現很容易受到攻擊。

引用自：https://crypto.stackexchange.com/questions/44159