Ataque de apretón de manos triple contra TLS

Question

Ataque de apretón de manos triple contra TLS

#1 de dave_thompson_085 (0 votos)

0

Ataque triple de apretón de manos se descubrió recientemente, y para citar el artículo "La extensión de indicación de renegociación segura solo vincula los apretones de manos en el mismo conexión, pero no se aplica si la sesión se reanuda en una nueva conexión. ", es decir, después de un saludo inicial en una conexión, la sesión anterior se reanuda en una nueva conexión y luego la sesión reanudada se renegociará en el misma conexion

Sin embargo, si la sesión reanudada está en la misma conexión que la sesión original, ¿puede existir este ataque? Intuitivamente, todavía existe, ya que la renegociación solo verificará el mensaje finalizado de la sesión que acaba de cerrarse, que es la sesión reanudada en lugar de la sesión original. ¿Está bien?

tls secure-renegotiation

pregunta xinyu 09.06.2015 - 03:59

fuente

1 respuesta

Lea otras preguntas en las etiquetas tls secure-renegotiation

¿Cuál es la manera recomendada de almacenar datos de clientes cifrados simétricamente en reposo? Asegúrese de que un archivo solo pueda ser descifrado después de que una condición específica no esté presente

score 0 · Accepted Answer

El valor Finished verificado por Secure Renegotiation es para el protocolo de enlace anterior en la misma conexión como se ve por cada parte , pero el atacante tuvo que manipular el saludo inicial (completo), por lo que los valores de verificación difieren. Mira los objetos en rojo en su figura; esos causan que log1 y log1 '(prime) difieran, de manera similar log2 y log2'.