・「Office 365」の「TLS 1.0」「TLS 1.1」サポートは10月末で廃止 ~期日までに対応を (09/03)
『古い「TLS 1.0」「TLS 1.1」では脆弱性が見つかっており、
・Transport Layer Security
TLS 1.0の脆弱性が具体的にどんなものか分かりにくい
こちらに丁寧な記事があった(↓)
・BEAST(Browser Exploit Against SSL/TLS)とは何か (2011/10/19)
https://www.scutum.jp/information/waf_tech_blog/2011/10/waf-blog-008.html
『
BEAST作者の2人組が発見したのは、次の2点です。』
1点目は、この攻撃を成功させる理想的な通信の発見です。それはHTTPSのリクエストであり、攻撃対象をCookieに絞ることで、前述した2つの論文が追い求めていた「現実的に可能な攻撃」となっています。
2点目は、暗号化通信のストリームにおいて、暗号化ブロックの境界位置をイヴが自由にずらすことで、常に1バイトずつのブルートフォース攻撃が可能になる、ということです。彼らはこれをBCBA(Blockwise Chosen-Boundary Attack)と呼んでいます。
No comments:
Post a Comment