Preguntas con etiqueta 'timing-attack'

3
respuestas

¿Por qué no debe usarse memcmp para comparar datos críticos de seguridad?

Desde man 3 memcmp :    No use memcmp() para comparar datos críticos de seguridad, como   secretos criptográficos, porque el tiempo de CPU requerido depende de la   Número de bytes iguales.          En su lugar, se requiere una f...
hecha 30.05.2017 - 18:33
5
respuestas

Comparación de cadenas seguras de tiempo - Evitando fugas de longitud

Digamos que estamos construyendo una función de comparación genérica segura para la sincronización para uso general. Hacerlo de modo que sea seguro cuando ambas cadenas tienen la misma longitud es bastante conocido. Sin embargo, no estoy seguro...
hecha 03.02.2014 - 22:21
2
respuestas

¿Cómo se defiende SSH contra los ataques de sincronización de teclas?

Este documento: https://www.usenix.org/legacy/events/sec01/full_papers/song/song.pdf Explica cómo se puede comprometer el SSH al analizar el tiempo de las pulsaciones para adivinar lo que el usuario está escribiendo. Tiene unos 12 años....
hecha 17.12.2013 - 20:07
2
respuestas

Principios de los ataques de caché

Hay muchas publicaciones científicas que tratan con ataques de caché. Más recientemente, se publicó el ataque CacheBleed que explota los conflictos del banco de caché en la arquitectura de Intel Sandy Bridge. La mayoría de los ataques de tiempo...
hecha 05.06.2016 - 10:07
7
respuestas

Mitigar la amenaza de ataque de tiempo contra la página de recuperación de contraseña

Recientemente, se realizó una revisión de seguridad externa en un sitio web público que administramos. Señalaron que en la "página de recuperación de contraseña", existen diferentes tiempos de respuesta cuando se proporcionan nombres de usuario...
hecha 09.10.2015 - 15:55
2
respuestas

¿Ataque de tiempo contra HMAC en cifrado autenticado?

En una respuesta a otra pregunta mía , se observó que una clase que usa funciones de comparación de cadenas estándar cuando revisar el HMAC en cifrado autenticado haría a la clase vulnerable a ataques de tiempo contra el HMAC. No puedo ver...
hecha 08.12.2014 - 16:42
3
respuestas

Las comparaciones de cadenas simples no son seguras contra los ataques de tiempo [duplicado]

Como aprendí en un comentario para ¿Cómo cifrar en PHP, correctamente? , me dijeron que usar una comparación de cadenas como la siguiente en PHP es susceptible de ataques de tiempo. Por lo tanto, no debe utilizarse para comparar dos MAC o has...
hecha 12.03.2015 - 20:27
1
respuesta

¿Por qué funciona este ataque de caché?

Recientemente estuve leyendo el siguiente documento sobre cómo realizar un ataque de caché en Javascript: enlace Pero estaba confundido por cómo podría funcionar. En el documento, un búfer de 8 MB era suficiente para tener una alta tasa...
hecha 18.01.2018 - 21:23
2
respuestas

¿Bcrypt compara los hashes en el tiempo de "constante de longitud"?

Vi esta función slowEquals() mientras leía Hashing de contraseña con sal: hazlo bien , que utiliza un nivel de byte Comparación xor para evitar ataques de tiempo. Me preguntaba si esto es lo que Bcrypt también hace para evitar ataques de...
hecha 29.11.2013 - 08:44
2
respuestas

¿Puedo prevenir ataques de temporización con retrasos aleatorios?

Leí recientemente sobre el perfil de cuentas de usuario válidas con ataques de tiempo, es decir, la aplicación bajo ataque toma un tiempo predeciblemente diferente para procesar, digamos un inicio de sesión en un usuario inexistente de un usuari...
hecha 10.08.2015 - 21:04