Hlavní navigace

Bicyklový útok na HTTPS

Jan Fikar

Holandský výzkumník Guido Vranken uveřejnil nový bicyklový útok na HTTPS. V plaintextové hlavičce HTTPS je možné najít informace, které prozradí délku například hesla v šifrovaném TLS. Toho lze následně použít například při hledání hesla hrubou silou.

Navíc Vranken ukazuje, jak pouhá znalost délky šifrovaných GPS souřadnic může být použita k odhadu místa na zemi. Podobně jako délka šifrované IPv4 adresy může být použita k odhadu IP rozsahu.

I když je útok zatím jen teoretický, Vranken jako obranu doporučuje posílat hashe hesel a ne samotná hesla. Také doporučuje prodlužovat citlivé informace (padding) třeba i na různou délku, aby se zabránilo odhadu skutečné délky. Více v článku.

Našli jste v článku chybu?