Https include la protezione da un attacco di replay?

11

È possibile eseguire un attacco di riproduzione su una richiesta trasferita tramite https? Significato, il protocollo https impone un meccanismo simile all'autenticazione dell'accesso digest in cui un nonce viene introdotto nella richiesta per impedire la riproduzione.

security ssl https

— se stesso
fonte

11

si lo fa. http://www.mozilla.org/projects/security/pki/nss/ssl/draft02.html

HTTPS chiama l'id di connessione nonce e la sua lunghezza di 128 bit.

— Kristaps
fonte

Quindi la risposta è sì, è possibile eseguire un attacco replay ma il protocollo SSL lo rende sufficientemente improbabile in scenari del mondo reale da rendere quasi impossibile eseguire attacchi replay.

— Kevin Kuphal,

5

Questa risposta non è del tutto corretta, in quanto la modalità di autenticazione selezionata per HTTPS imposta la sua capacità di prevenire un attacco man-in-the-middle o replay. Per la maggior parte, sì, lo fa. Ma ci possono essere implementazioni di HTTPS che non proteggono da un attacco replay.

— patjbs,

7

Dipende dall'implementazione di HTTPS. In effetti, può essere sicuro contro un attacco replay - ad esempio in uno scambio di chiavi RSA, viene creata una chiave temporanea che impedisce l'esecuzione di un attacco replay. Tuttavia, credo che uno scambio di chiavi anonime non fornisca protezione per la riproduzione.

http://tools.ietf.org/html/draft-ietf-tls-ssl-version3-00 Appendice F

— patjbs
fonte