Las especificaciones para TLS 1.3 0-RTT mencionan lo siguiente amenaza que un atacante podría realizar:
Los atacantes de red que aprovechan el comportamiento de reintento del cliente para disponer que el servidor reciba varias copias de un mensaje de aplicación. Esta amenaza ya existe hasta cierto punto. Porque los clientes que valoran la robustez responden a errores de red por tratando de volver a intentar las solicitudes. Sin embargo, 0-RTT agrega un adicional Dimensión para cualquier sistema de servidor que no se mantiene globalmente. Estado del servidor consistente. Específicamente, si un sistema de servidor tiene zonas múltiples donde los boletos de la zona A no serán aceptados en zona B, entonces un atacante puede duplicar un ClientHello y antes datos destinados a A tanto para A como para B . En A, los datos serán aceptado en 0-RTT, pero en B el servidor rechazará los datos de 0-RTT y En su lugar forzar un apretón de manos completo. Si el atacante bloquea el ServerHello de A, entonces el cliente completará el saludo con B y, probablemente, vuelva a intentar la solicitud, lo que lleva a la duplicación en El sistema del servidor en su conjunto.
Mi pregunta es: ¿Dónde está el ataque? Al final del día, el atacante podría haber pasado su copia de ClientHello a la Zona B y obtener el mismo resultado (un apretón de manos completo). ¿Qué me estoy perdiendo?