Https inclut-il une protection contre une attaque par rejeu?

11

Est-il possible d'effectuer une attaque de relecture sur une requête transférée via https? Cela signifie que le protocole https applique un mécanisme similaire à l' authentification d'accès Digest où un nonce est introduit dans la demande pour empêcher la relecture.

security ssl https soi-même
la source

11

Oui . http://www.mozilla.org/projects/security/pki/nss/ssl/draft02.html

HTTPS appelle l'ID de connexion nonce et ses 128 bits de long.

Kristaps
la source

La réponse est donc oui, il est possible d'effectuer une attaque de relecture, mais le protocole SSL le rend suffisamment improbable dans les scénarios du monde réel pour rendre les attaques de relecture presque impossibles à réaliser.

Kevin Kuphal

5

Cette réponse n'est pas entièrement correcte, car le mode d'authentification sélectionné pour HTTPS configure sa capacité à empêcher une attaque de l'homme du milieu ou une relecture. Pour la plupart, oui, c'est le cas. Mais il peut y avoir des implémentations de HTTPS qui ne protègent pas contre une attaque de relecture.

patjbs

7

Cela dépend de l'implémentation de HTTPS. Il peut en effet être protégé contre une attaque de relecture - par exemple dans un échange de clé RSA, une clé temporaire est créée qui empêche l'exécution d'une attaque de relecture. Cependant, un échange de clés anonyme ne fournit pas de protection contre la relecture, je crois.

http://tools.ietf.org/html/draft-ietf-tls-ssl-version3-00 Annexe F

patjbs
la source

Https inclut-il une protection contre une attaque par rejeu?

Réponses: