Cykelattack
En HTTPS-cykelattack hänvisar till en metod för att upptäcka lösenordslängd på paket krypterade med TLS /SSL-protokoll. Som förberedelse för en cykelattack måste angriparen ladda målsidan för att beräkna storleken på rubrikerna i begäran som görs av en given webbläsare till servern . När angriparen fångar upp och webbläsarens fingeravtryck ett offers begäran kan längden på lösenordet härledas genom att subtrahera kända rubriklängder från den totala längden på begäran.
Termen myntades första gången den 30 december 2015 av Guido Vranken, som skrev:
"Namnet TLS Bicycle Attack valdes på grund av den konceptuella likheten mellan hur kryptering döljer innehåll och presentförpackning döljer fysiska föremål. Min attack förlitar sig starkt på egenskapen hos strömbaserade chiffer i TLS att storleken på TLS-applikationens datanyttolaster är direkt känd till angriparen och detta avslöjar oavsiktligt information om klartextstorleken ; liknande hur en draperad eller presentförpackad cykel fortfarande kan identifieras som en cykel, eftersom cloaking den på det sättet behåller den underliggande formen. Anledningen till att jag har döpt den här attacken till allt är bara för att göra det lättare för alla att hänvisa till det." [kursivering tillagd]
Cykelattacken gör brute-forcing av lösenord mycket lättare, eftersom endast lösenord av den kända längden behöver testas. Det visar att TLS - krypterad HTTP- trafik inte helt döljer den exakta storleken på dess innehåll.
Se även
- ^ Harsha, Benjamin; Morton, Robert; Blocki, Jeremiah; Springer, John; Mörk, Melissa (2021-01-01). "Cykelattacker anses vara skadliga: Kvantifiera skadorna av utbredda lösenordsläckage" . Datorer och säkerhet . 100 : 102068. arXiv : 2002.01513 . doi : 10.1016/j.cose.2020.102068 . ISSN 0167-4048 . S2CID 211032131 .
- ^ a b Vranken, Guido (30 december 2015). "HTTPS Bicycle Attack" (PDF) . Hämtad 2021-10-15 .