<a class="info_title emj" href="https://togetter.com/li/477369" title="ＣＢＣモードの現在">ＣＢＣモードの現在

Vaudenay’02攻撃の原理　乱数バイト列をコンカチして復号オラクルに送る。最後の部分がパディングフォーマットと合っているかどうかの判定を利用して攻撃を行う。 #神保町暗号ワークショップ

2013-03-25 14:42:06

計算量はだいたい128回で1バイト確定する。Bバイトブロック暗号であれば、平均128B回で攻撃可能。 #神保町暗号ワークショップ

2013-03-25 14:43:06

ノーチェックで復号ルーチンに引渡し復号結果のフォーマットチェック結果を外部に漏らしていることが攻撃の理由。 #神保町暗号ワークショップ

2013-03-25 14:43:45

TLS1.0ではオプションでMACがあるが、攻撃回避には役立たず。MAC精製後にメッセージにパディングするため。 #神保町暗号ワークショップ

2013-03-25 14:44:27

そうか、IPSecは外MACだけどSSL/TLSは内MACだからこういう問題がある？ #cbcmode

2013-03-25 14:44:56

SSL3.0では、パディングフォーマットエラーはFatalエラーとしてセッションアボートするため、攻撃は困難。 #神保町暗号ワークショップ

2013-03-25 14:45:04

SSL v3.0 書式エラーは、コネクションを切る。なので、繰り返し試すのは難しい。 #cbcmode

2013-03-25 14:45:25

アホみたいになんでも復号するんじゃねー！ってことですか。

2013-03-25 14:45:47

IPSecは、必ずパディングチェックをする仕様となっているが、invaidの場合はそのメッセージを捨てログに残す仕様なので、攻撃適用可能。 #神保町暗号ワークショップ

2013-03-25 14:46:25

IPsec では、書式エラーは黙って捨てる。攻撃可能。 #cbcmode

2013-03-25 14:46:50

WTLSはパディングオラクルがばっちり実装されており、インヴァリッドパディングがきちんと通知される。　省電力のため実装によってはエラー回数の上限を決めているものはあるが、標準ではない。　GSM等は暗号化されてるので攻撃は困難。 #神保町暗号ワークショップ

2013-03-25 14:47:52

WTLS では invalid padding がきちんと通知されてしまう。省電力のためエラー回数の上限を決めているものもある。 #cbcmode

2013-03-25 14:47:53

IPsecはロギングのところが狙われる、ですね。

2013-03-25 14:48:39

MAC 検証と復号は、padding 検証の前にやるべき。 #cbcmode

2013-03-25 14:49:36

POAへの対策　認証暗号を使う。パディングした平文に対してAuthentication encryption Schemeを適用する。 #神保町暗号ワークショップ

2013-03-25 14:49:54

CBC がダメなら RC4 を使えばいいじゃん。実は、RC4 も危うい。 #cbcmode

2013-03-25 14:50:24

CBCモードが心配ならRC4を選べという主張があるけど、RC4の安全性にも赤信号が灯っている。 #神保町暗号ワークショップ

2013-03-25 14:50:34

CRYPTRECにRC4の調査報告がある。 #神保町暗号ワークショップ

2013-03-25 14:51:20

「日本語で読みたいですよね？」すでにあります。「ストリーム暗号RC4の安全性評価」 #cbcmode

2013-03-25 14:51:53

RC4の評価結果はこちらですかね。 → http://t.co/A4Pm8b4DNU #cbcmode

2013-03-25 14:52:47

GCMなどへの認証付き暗号への移行を推奨 #神保町暗号ワークショップ

2013-03-25 14:53:49

どれくらい E(Ki,P) = Ci を集めると P が分かってしまうか。 #cbcmode

2013-03-25 14:54:15

暗号プリミティブが安全でもセキュアでない企画がまだまだ数多くある。 #神保町暗号ワークショップ

2013-03-25 14:54:35

暗号を使うときには、必ず認証もやれ。という規則に、パディングも加わったらしい。 #cbcmode

2013-03-25 14:55:02