It is currently 16-12-2017 12:12

Атака SWEET32 на шифры 3DES и Blowfish позволяет расшифровать файлы cookie

Атака SWEET32 на шифры 3DES и Blowfish позволяет расшифровать файлы cookie

by sigismund » 2016-08-25 12:28:50


Исследователи официально представят атаку в следующем месяце.


В последнее время все больше браузеров отказываются от использования потокового шифра RC4. Похоже, в скором времени такая же участь постигнет Triple-DES (3DES) и Blowfish, считают исследователи Гаэтан Лоран (Gaetan Leurent) и Картхикейан Бхаргаван (Karthikeyan Bhargavan).

На конференции ACM Conference on Computer and Communications Security, которая в следующем месяце пройдет в Австрии, эксперты представят атаку SWEET32 на 64-битные шифры. По их словам, с ее помощью можно получить использующиеся для аутентификации файлы cookie из трафика, зашифрованного с помощью 3DES и передаваемого по HTTPS. Кроме того, атака позволяет восстановить имена пользователей и пароли из трафика, передаваемого через OpenVPN и зашифрованного с помощью Blowfish.

SWEET32 представляет собой атаку поиска коллизий на шифры в режиме CBC (режим сцепления блоков шифротекста с использованием механизма обратной связи). Как пояснили эксперты, такие 64-битные шифры, как 3DES и Blowfish, по-прежнему поддерживаются в TLS, IPsec, SSH и других протоколах. По словам Лорана, браузеры не спешат отказываться от 3DES и просто ждут, пока шифром перестанут пользоваться. В настоящее время SWEET32 не является распространенной атакой, однако разработчики и предприятия должны поступить с ними так же, как с RC4, уверены эксперты.
sigismund
moderators
Сообщений: 788
Депозит: 0 BTC

Rating: 5