Tls

POODLE和BEAST之間的實際區別是什麼?

  • February 16, 2017

我知道這兩種攻擊都是基於這樣一個事實,即用於通信的密碼是具有 CBC 操作模式的分組密碼,並且由於可預測的 IV 很容易受到攻擊。此外,POODLE 的原始論文聲稱

“與 BEAST 不同

$$ BEAST $$和幸運 13$$ Lucky­13 $$攻擊,沒有合理的解決方法。”

但是 openssl 庫似乎已經實現了一些稱為 0/n 拆分的緩解技術(公平地說,我也不明白它是如何工作的),這似乎可以緩解 POODLE 和 BEAST。那為什麼研究論文這麼說呢?

  • BEAST 確實是對 CBC 模式的攻擊,在 SSL3 和 TLS1.0 中具有可預測(事實上已知)IV,因為這些協議使用了先前記錄的最後一個塊,該記錄(通常)已經被對手發送並看到,因為下一條記錄的 IV。

記錄拆分通過使用已知的 IV 加密(大部分)固定存根記錄(最多一個字節的數據,加上 HMAC 和填充)來阻止這一點,產生準隨機密文,並在同一傳輸中發送(幾乎)所有數據第二條記錄使用第一條記錄的最後一個塊作為 IV,這現在是不可預測的。早在 2002 年,OpenSSL 就進行了 0/n 拆分,以響應 Rogaway 對該漏洞的觀察,但由於互操作性而被廣泛禁用;幾乎所有其他人在 2011 年響應 BEAST 都進行了 1/n 快速拆分(數週或數月)。前者在您在https://www.openssl.org/~bodo/tls-cbc 連結的文件旁邊進行了描述。文本

另請參閱https://security.stackexchange.com/questions/17080/is-there-a-way-to-mitigate-beast-without-disabling-aes-completely

  • POODLE 根本不是對 IV 的攻擊;它是對 SSL3 中使用的填充的填充 Oracle 攻擊(結果也出現了一些有爭議的 TLS1.0 實現),因此首字母縮略詞 Padding Oracle On Downgraded Legacy Encryption。因為 POODLE 與 IV 無關,可預測的或其他的,修復 IV 對其沒有影響

請參閱規範(和 ursine)https://security.stackexchange.com/questions/70719/ssl3-poodle-vulnerability/和也許(我的,但更接近)填充 oracle 攻擊如何處理大於可能長度的字節?

引用自:https://crypto.stackexchange.com/questions/43918