OpenForum RSS: Представлен первый успешный способ атаки на SSL/TLS https://opennet.ru/openforum/vsluhforumID3/80392.html Тай Данг (Thai Duong) и Джулиано Риццо (Juliano Rizzo), известные исследователи компьютерной безопасности, обладатели премии Pwnie Awards 2011 (http://www.opennet.ru/opennews/art.shtml?num=31407) за разработку метода компрометации приложений ASP.NET, намерены (http://threatpost.com/en_us/blogs/new-attack-breaks-confidentiality-model-ssl-allows-theft-encrypted-cookies-091911) на конференции Ekoparty 7 (http://www.ekoparty.org/2011/juliano-rizzo.php) раскрыть завесу над новым способом атаки на SSL/TLS. Для осуществления атаки подготовлен инструментарий, развиваемый под именем BEAST (Browser Exploit Against SSL/TLS) и позволяющий организовать перехват информации, передаваемой в рамках зашифрованного соединения. В частности, исследователи продемонстрировали успешный перехват защищенной сессии для сервиса PayPal и утверждают, что метод применим и для любых других сайтов. <br><br><br><br>Судя по всему представленная работа является первый удачным методом атаки против TLS 1.0 и SSL 3.0, позволяющим ра...<br><br>URL: http://threatp Представлен первый успешный способ атаки на SSL/TLS (Аноним) https://opennet.ru/openforum/vsluhforumID3/80392.html#157 Sat, 24 Sep 2011 13:29:38 GMT &gt;&gt;&gt; AES уже попробовали.<br><br>:E Уязвимость _в протоколе_ SSL. AES вполне себе живой. ;)<br> Представлен первый успешный способ атаки на SSL/TLS (XoRe) https://opennet.ru/openforum/vsluhforumID3/80392.html#156 Sat, 24 Sep 2011 12:20:15 GMT &gt;&gt; AES уже попробовали.<br>&gt; Разве тут что-то было про aes?<br><br>JavaScript-код используется для отправки на сайт, с которым работает жертва, фиктивных запросов с изначально известными контрольными метками, которые используются атакующим для воссоздания отдельных блоков для шифра TLS/SSL, работающего на базе алгоритма AES.<br><br>Вы читали новость?<br> Представлен первый успешный способ атаки на SSL/TLS (Аноним) https://opennet.ru/openforum/vsluhforumID3/80392.html#155 Sat, 24 Sep 2011 10:23:33 GMT &gt; AES уже попробовали.<br><br>Разве тут что-то было про aes?<br> Представлен первый успешный способ атаки на SSL/TLS (XoRe) https://opennet.ru/openforum/vsluhforumID3/80392.html#154 Fri, 23 Sep 2011 22:15:59 GMT &gt;&gt;Вопрос: <br>&gt;&gt;- за сколько можно узнать ключ хеширования?<br>&gt;&gt;Правильно - мгновенно.<br>&gt;&gt;можно попробовать <br>&gt;&gt; подобрать <br>&gt; Вот в этом "можно попробовать" и есть вся соль.<br><br>AES уже попробовали.<br>Слава богу, что каждый протокол нужно взламывать в частном порядке, и достаточно просто перейти на TLS 1.1/1.2.<br> Представлен первый успешный способ атаки на SSL/TLS (XoRe) https://opennet.ru/openforum/vsluhforumID3/80392.html#153 Fri, 23 Sep 2011 22:13:36 GMT &gt;&gt; Шифр вернама как раз работает через xor.<br>&gt;&gt; И считается абсолютно стойким шифром.<br>&gt; Шифр Вернама работает через ключ гаммирования длины == длине открытого текста. Гамму <br>&gt; можно класть хоть xor-ом (сложение под mod 2), хоть по любому <br>&gt; другому модулю, например, для англ. алфавита по mod 26 (или сколько <br>&gt; там букв? :D), хоть любым другим раком.<br><br>Ну да.<br>Нагенерить несколько гигов рандомных данных, обменяться этими гигами, и шифровать)<br>И ведь не расшифровать, даже вклинившись.<br> Представлен первый успешный способ атаки на SSL/TLS (Аноним) https://opennet.ru/openforum/vsluhforumID3/80392.html#152 Fri, 23 Sep 2011 08:34:33 GMT &gt; Шифр вернама как раз работает через xor.<br>&gt; И считается абсолютно стойким шифром.<br><br>Шифр Вернама работает через ключ гаммирования длины == длине открытого текста. Гамму можно класть хоть xor-ом (сложение под mod 2), хоть по любому другому модулю, например, для англ. алфавита по mod 26 (или сколько там букв? :D), хоть любым другим раком.<br> Представлен первый успешный способ атаки на SSL/TLS (Аноним) https://opennet.ru/openforum/vsluhforumID3/80392.html#151 Fri, 23 Sep 2011 08:29:11 GMT &gt;Вопрос:<br>&gt;- за сколько можно узнать ключ хеширования?<br>&gt;Правильно - мгновенно.<br>&gt;можно попробовать <br>&gt; подобрать<br><br>Вот в этом "можно попробовать" и есть вся соль. <br> Представлен первый успешный способ атаки на SSL/TLS (XoRe) https://opennet.ru/openforum/vsluhforumID3/80392.html#150 Thu, 22 Sep 2011 21:25:19 GMT &gt; И когда уже эта фигня про "xor-шифрование" перестанет проникать в неокрепшие умы? <br><br>Шифр вернама как раз работает через xor.<br>И считается абсолютно стойким шифром.<br><br> Представлен первый успешный способ атаки на SSL/TLS (XoRe) https://opennet.ru/openforum/vsluhforumID3/80392.html#149 Thu, 22 Sep 2011 21:24:32 GMT &gt; И не хеширование.<br><br>Все такие умные.<br>Знают правильные определения.<br>А подумать дальше определений - понять, что это грубый пример описанного способа - не осилили.<br>В моем примере можно написать не xor, а md5.<br>Суть в том, что когда известны первоначальный и зашифрованный блоки, можно попробовать подобрать ключ шифрования.<br>