Czy https obejmuje ochronę przed atakiem powtórkowym?

11

Czy można wykonać atak powtórkowy na żądanie przesłane za pośrednictwem protokołu https? Oznacza to, czy protokół https wymusza mechanizm podobny do uwierzytelniania dostępu do skrótu, w którym do żądania wprowadzana jest wartość jednorazowa, aby zapobiec powtórzeniu.

security ssl https

— się
źródło

11

tak . http://www.mozilla.org/projects/security/pki/nss/ssl/draft02.html

HTTPS wywołuje identyfikator połączenia nonce i jego 128 bitów długości.

— Kristaps
źródło

Odpowiedź brzmi: tak, możliwe jest przeprowadzenie ataku powtórkowego, ale protokół SSL sprawia, że jest on wystarczająco nieprawdopodobny w rzeczywistych scenariuszach, aby uniemożliwić wykonanie powtórki.

— Kevin Kuphal

5

Ta odpowiedź nie jest całkowicie poprawna, ponieważ tryb uwierzytelniania wybrany dla HTTPS ustawia jego zdolność do zapobiegania atakowi typu man-in-the-middle lub replay. W większości przypadków tak. Ale mogą istnieć implementacje HTTPS, które nie chronią przed atakiem powtórkowym.

— patjbs

7

To zależy od implementacji HTTPS. Rzeczywiście może być zabezpieczony przed atakiem powtórkowym - na przykład podczas wymiany kluczy RSA tworzony jest klucz tymczasowy, który zapobiega wykonaniu ataku powtórkowego. Jednak, jak sądzę, anonimowa wymiana kluczy nie zapewnia ochrony przed odtwarzaniem.

http://tools.ietf.org/html/draft-ietf-tls-ssl-version3-00 Dodatek F

— patjbs
źródło