SSL混合脚本漏洞和XOR攻击
SSL混合脚本漏洞和XOR攻击
提问于 2014-10-24 14:10:32
考虑到RC4是流密码(为了这个论点,它内部工作的细节并不重要)和混合脚本 /混合显示(web应用程序通过未加密和加密的通道请求和检索内容)的存在。流密码加密SSL会话和混合脚本/混合显示漏洞的组合是否构成XOR攻击的理由?
我了解到,如果请求内容是未加密的,我们基本上有明文,但是有什么不能使用这样的XOR攻击来检索SSL会话对称加密密钥呢?即加密请求 XOR 未加密请求 =某些密钥位?
回答 1
Security用户
回答已采纳
发布于 2014-10-24 14:21:36
你所称的“异或攻击”是基于被重用的秘密流,即有一些秘密流S,数据D是由XORing将其与S加密的,而另一些数据D‘则是用相同的秘密流S用XORing加密的。在这种情况下,如果攻击者知道D,他就会学习D’。
但是,在SSL中使用RC4时,该连接的密钥是全新的,加密的各种数据元素都是包含流的不同部分的XORed。流密码的一个重要的安全特性是,不能从对同一流的其他字节的知识中猜出与密钥相关的流字节。一个好的流密码类似于一个密码安全PRNG:在不知道密钥的情况下,来自同一流的块仍然看起来彼此无关。
(当然,RC4有它自己的缺点,例如已知的偏见;但是,至少,SSL正确地使用它,即每个连接都有一个新的密钥。)
页面原文内容由Security提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://security.stackexchange.com/questions/71542
复制相关文章
相似问题
腾讯云开发者
