Aggiornamento sessione TLS - attacco DROWN

Naviga le tue risposte
1

Secondo il documento tecnico cartaceo di attacco DROWN,

A typical scenario requires the attacker to observe 1,000 TLS handshakes, then initiate 40,000 SSLv2 connections and perform 2 50 offline work to decrypt a 2048-bit RSA TLS ciphertext

Tra queste 1.000 strette di mano TLS, una conterrà il premaster segreto decrittografato, che verrà utilizzato per recuperare la chiave di sessione.

Tuttavia, a mio parere, sarà inutile se l'handshake TLS non è l'ultimo. Infatti, dopo ogni handshake TLS tra il client e il server, il segreto premaster sarà diverso perché la sessione TLS è stata aggiornata ...

Puoi spiegarmi perché l'handshake TLS contenente il premaster il segreto decifrato, anche se non è l'ultimo scambiato tra la vittima e il server, servirà ancora?

Grazie.

    
posta Duke Nukem 06.05.2016 - 17:51
fonte

0 risposte

Leggi altre domande sui tag

Cosa devo fare quando scopro che alcuni database di utenti aziendali in cui sono elencati sono trapelati? Sicurezza dell'output di stampa di Chrome