Apakah https menyertakan perlindungan dari serangan replay?

11

Apakah mungkin untuk melakukan serangan replay pada permintaan yang ditransfer melalui https? Artinya, apakah protokol https memberlakukan mekanisme yang mirip dengan intisari akses otentikasi di mana notce dimasukkan ke dalam permintaan untuk mencegah replay.

security ssl https diri
sumber

11

ya, benar. http://www.mozilla.org/projects/security/pki/nss/ssl/draft02.html

HTTPS memanggil nonce connection id dan panjangnya 128 bit.

Kristaps
sumber

Jadi jawabannya adalah ya adalah mungkin untuk melakukan serangan replay tetapi protokol SSL membuatnya cukup tidak mungkin dalam skenario dunia nyata untuk membuat serangan replay hampir tidak mungkin dilakukan.

Kevin Kuphal

5

Jawaban ini tidak sepenuhnya benar, karena mode otentikasi yang dipilih untuk HTTPS mengatur kemampuannya untuk mencegah serangan man-in-the-middle atau replay. Sebagian besar, ya, benar. Tetapi bisa ada implementasi HTTPS yang tidak melindungi terhadap serangan replay.

patjbs

7

Itu tergantung pada implementasi HTTPS. Itu memang bisa aman terhadap serangan replay - misalnya dalam pertukaran kunci RSA, kunci sementara dibuat yang mencegah eksekusi serangan replay. Namun, pertukaran kunci anonim tidak memberikan perlindungan replay, saya percaya.

http://tools.ietf.org/html/draft-ietf-tls-ssl-version3-00 Lampiran F

patjb
sumber

Apakah https menyertakan perlindungan dari serangan replay?

Jawaban: