Https inclut-il une protection contre une attaque par rejeu?

11

Est-il possible d'effectuer une attaque de relecture sur une requête transférée via https? Cela signifie que le protocole https applique un mécanisme similaire à l' authentification d'accès Digest où un nonce est introduit dans la demande pour empêcher la relecture.

security  ssl  https 
soi-même
source

Réponses:

11

Oui . http://www.mozilla.org/projects/security/pki/nss/ssl/draft02.html

HTTPS appelle l'ID de connexion nonce et ses 128 bits de long.

Kristaps
source
La réponse est donc oui, il est possible d'effectuer une attaque de relecture, mais le protocole SSL le rend suffisamment improbable dans les scénarios du monde réel pour rendre les attaques de relecture presque impossibles à réaliser.
Kevin Kuphal
5
Cette réponse n'est pas entièrement correcte, car le mode d'authentification sélectionné pour HTTPS configure sa capacité à empêcher une attaque de l'homme du milieu ou une relecture. Pour la plupart, oui, c'est le cas. Mais il peut y avoir des implémentations de HTTPS qui ne protègent pas contre une attaque de relecture.
patjbs
7

Cela dépend de l'implémentation de HTTPS. Il peut en effet être protégé contre une attaque de relecture - par exemple dans un échange de clé RSA, une clé temporaire est créée qui empêche l'exécution d'une attaque de relecture. Cependant, un échange de clés anonyme ne fournit pas de protection contre la relecture, je crois.

http://tools.ietf.org/html/draft-ietf-tls-ssl-version3-00 Annexe F

patjbs
source
En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.