CBCモードの現在
- kazu_yamamoto
- 10682
- 2
- 12
- 10
Vaudenay’02攻撃の原理 乱数バイト列をコンカチして復号オラクルに送る。最後の部分がパディングフォーマットと合っているかどうかの判定を利用して攻撃を行う。 #神保町暗号ワークショップ
2013-03-25 14:42:06計算量はだいたい128回で1バイト確定する。Bバイトブロック暗号であれば、平均128B回で攻撃可能。 #神保町暗号ワークショップ
2013-03-25 14:43:06ノーチェックで復号ルーチンに引渡し復号結果のフォーマットチェック結果を外部に漏らしていることが攻撃の理由。 #神保町暗号ワークショップ
2013-03-25 14:43:45TLS1.0ではオプションでMACがあるが、攻撃回避には役立たず。MAC精製後にメッセージにパディングするため。 #神保町暗号ワークショップ
2013-03-25 14:44:27SSL3.0では、パディングフォーマットエラーはFatalエラーとしてセッションアボートするため、攻撃は困難。 #神保町暗号ワークショップ
2013-03-25 14:45:04IPSecは、必ずパディングチェックをする仕様となっているが、invaidの場合はそのメッセージを捨てログに残す仕様なので、攻撃適用可能。 #神保町暗号ワークショップ
2013-03-25 14:46:25WTLSはパディングオラクルがばっちり実装されており、インヴァリッドパディングがきちんと通知される。 省電力のため実装によってはエラー回数の上限を決めているものはあるが、標準ではない。 GSM等は暗号化されてるので攻撃は困難。 #神保町暗号ワークショップ
2013-03-25 14:47:52WTLS では invalid padding がきちんと通知されてしまう。省電力のためエラー回数の上限を決めているものもある。 #cbcmode
2013-03-25 14:47:53POAへの対策 認証暗号を使う。パディングした平文に対してAuthentication encryption Schemeを適用する。 #神保町暗号ワークショップ
2013-03-25 14:49:54CBCモードが心配ならRC4を選べという主張があるけど、RC4の安全性にも赤信号が灯っている。 #神保町暗号ワークショップ
2013-03-25 14:50:34