Включает ли https защиту от повторной атаки?

11

Можно ли выполнить повторную атаку на запрос, переданный через https? Это означает, что протокол HTTPS обеспечивает механизм, аналогичный дайджест-аутентификации доступа, когда в запрос вводится одноразовый номер, чтобы предотвратить воспроизведение.

security ssl https себя
источник

Ответы:

11

Да, это так . http://www.mozilla.org/projects/security/pki/nss/ssl/draft02.html

HTTPS вызывает идентификатор одноразового соединения и его длину 128 бит.

Кристапу
источник
Таким образом, ответ - да, возможно выполнить атаку с повторением, но протокол SSL делает его достаточно маловероятным в реальных сценариях, чтобы сделать атаки с повторением практически невозможными.
Кевин Куфал
5
Этот ответ не совсем корректен, так как режим аутентификации, выбранный для HTTPS, настраивает его способность предотвращать атаки типа «человек посередине» или повторной атаки. По большей части, да, это так. Но могут быть реализации HTTPS, которые не защищают от повторной атаки.
patjbs
7

Это зависит от реализации HTTPS. Он действительно может быть защищен от атаки воспроизведения - например, при обмене ключами RSA создается временный ключ, который предотвращает выполнение атаки воспроизведения. Тем не менее, я считаю, что анонимный обмен ключами не обеспечивает защиту от повторного воспроизведения.

http://tools.ietf.org/html/draft-ietf-tls-ssl-version3-00 Приложение F

patjbs
источник