Ataque Trece con suerte
El ataque Trece con suerte es un ataque de timing criptográfico contra implementaciones del protocolo Transport Layer Security (TLS), reportado por primera vez en febrero de 2013 por sus desarrolladores Nadhem J. Alfardan y Kenneth G. Paterson del Grupo de Seguridad de la Información en la Royal Holloway, Universidad de Londres.[1][2]
El Ataque
[editar]Es una variante novedosa del ataque de relleno de oráculo de Serge Vaudenay el que previamente se había pensado solucionado, el cual utiliza un ataque de tiempo de canal lateral contra la etapa de comprobación del Message authentication code (MAC) en el algoritmo TLS para romper el algoritmo en una forma que no fue resuelta por intentos previos de mitigar el ataque de Vaudenay.[3]
"En este sentido, los ataques no representan un peligro significativo para los usuarios normales de TLS en su forma actual. Sin embargo, es un lugar común que los ataques sólo se mejoran con el tiempo, y no podemos anticipar qué mejoras a nuestros ataques, o ataques completamente nuevos, pueden todavía ser descubiertos." — Nadhem J. AlFardan y Kenneth G. Paterson[1]
Los investigadores sólo examinaron las implementaciones de Software Libre de TLS y encontraron que todos los productos examinados eran potencialmente vulnerables al ataque. Ellos probaron sus ataques exitosamente contra OpenSSL y GnuTLS. Debido a que los investigadores aplicaron la "divulgación responsable" y trabajaron con los proveedores de software,algunas actualizaciones de software para mitigar los ataques estaban disponibles al momento de la publicación.[2]
Referencias
[editar]- ↑ a b Dan Goodin (4 de febrero de 2013). «“Lucky Thirteen” attack snarfs cookies protected by SSL encryption». Ars Technica. Consultado el 4 de febrero de 2013.
- ↑ a b Nadhem J. AlFardan and Kenneth G. Paterson (4 de febrero de 2013). «Lucky Thirteen: Breaking the TLS and DTLS Record Protocols». Royal Holloway, University of London. Archivado desde el original el 2 de julio de 2013. Consultado el 21 de junio de 2013.
- ↑ Adam Langley (4 de febrero de 2013). «Lucky Thirteen attack on TLS CBC». Consultado el 4 de febrero de 2013.
Enlaces externos
[editar]- Tiempo es dinero (en cifrado CBC), Nikos Mavrogiannopoulos, 5 de febrero de 2013 (en inglés)