Reinvia nuovamente la richiesta REST GET crittografata per intercettare i dati

0

Bob fa una richiesta HTTPS GET per visualizzare le sue informazioni personali su un sito di appuntamenti tramite un servizio web RESTFul. Fornisce la sua chiave api, segreta, timestamp e firma per dimostrare che la richiesta è venuta da lui. Tutti i dati dell'intestazione sono crittografati, quindi Bob è sicuro che nessuno può intercettare questa richiesta.

Alice è un amministratore di rete. Ha immediatamente notato una richiesta crittografata tramite il suo strumento Wireshark e prova a visualizzare il contenuto, ma vede solo il contenuto crittografato, l'IP di origine e l'IP di destinazione.

Se Alice invia la stessa richiesta crittografata tramite il suo computer (pochi secondi dopo Bob), sarà in grado di vedere le informazioni personali di Bob?

    
posta swordsecurity 05.09.2016 - 02:35
fonte

2 risposte

1

La richiesta di riproduzione di Alice fallirà a livello TLS perché TLS è immune dagli attacchi di replay (ad esempio, guarda qui ).

E anche se non lo fosse: perché diavolo sarebbe Alice in grado di decifrare la risposta dal server? Sarebbe crittografato dalla chiave di sessione TLS. La semplice riproduzione di qualcosa non ti dà accesso alla chiave di sessione ...

    
risposta data 05.10.2016 - 12:03
fonte
0

All'inizio di ogni sessione TLS, sia il server che il client generano un numero fisso di byte casuali (usando un RNG crittograficamente sicuro) e li scambiano; sono chiamati "client random" e "server random". Un'istanza in cui vengono utilizzati questi dati casuali è quando si calcolano le chiavi per la crittografia e l'autenticazione simmetriche, vedere RFC 5246, sezione 6.3 .

Quindi, se Alice semplicemente riproduce i pacchetti che ha catturato, il server considererà questa una nuova sessione TLS e genererà un nuovo server casuale che è quasi sicuramente diverso da quello utilizzato durante la sessione di Bob, e quindi usa nuova crittografia simmetrica e chiavi MAC . Il testo cifrato inviato da Alice fallirà il controllo MAC e verrà ignorato dal server.

    
risposta data 05.09.2016 - 05:23
fonte

Leggi altre domande sui tag