Domande con tag 'timing-attack'

3
risposte

Perché memcmp non dovrebbe essere usato per confrontare i dati critici di sicurezza?

Da man 3 memcmp : Do not use memcmp() to compare security critical data, such as cryptographic secrets, because the required CPU time depends on the number of equal bytes. Instead, a function that performs comparisons in...
posta 30.05.2017 - 18:33
5
risposte

Cronometraggio Safe String Confronto - Evitare perdite di lunghezza

Diciamo che stiamo costruendo una funzione di confronto sicura a tempo generico per uso generale. Fare in modo che sia sicuro quando entrambe le stringhe sono di uguale lunghezza è abbastanza noto. Tuttavia, quello di cui non sono sicuro è come...
posta 03.02.2014 - 22:21
2
risposte

In che modo SSH difende dagli attacchi di temporizzazione della battitura?

Questo documento: https://www.usenix.org/legacy/events/sec01/full_papers/song/song.pdf Spiega in che modo SSH può essere compromesso analizzando i tempi delle sequenze di tasti per indovinare cosa sta digitando l'utente. Ha circa 12 anni....
posta 17.12.2013 - 20:07
2
risposte

Principi di attacchi alla cache

Ci sono molte pubblicazioni scientifiche che si occupano di attacchi di cache. Più di recente, è stato pubblicato l'attacco CacheBleed che sfrutta i conflitti di cache cache sull'architettura Intel Sandy Bridge. La maggior parte degli attacchi t...
posta 05.06.2016 - 10:07
7
risposte

Attenua la minaccia di attacco a tempo rispetto alla pagina di recupero password

Recentemente abbiamo eseguito una revisione della sicurezza esterna su un sito web pubblico che gestiamo. Hanno notato che nella "pagina di recupero della password" ci sono diversi tempi di risposta quando si forniscono nomi utente esistenti e n...
posta 09.10.2015 - 15:55
2
risposte

Attacco di tempo contro HMAC nella crittografia autenticata?

In una risposta a un'altra mia domanda , è stato notato che una classe utilizza funzioni di confronto di stringhe standard quando il controllo dell'HMAC nella crittografia autenticata renderebbe la classe vulnerabile agli attacchi temporali con...
posta 08.12.2014 - 16:42
3
risposte

Semplici confronti tra stringhe non sicuri contro gli attacchi temporali [duplicato]

Come ho appreso in un commento per Come crittografare in PHP, correttamente? , mi è stato detto che l'utilizzo di un confronto di stringhe come il seguente in PHP è suscettibile agli attacchi temporali. Quindi non dovrebbe essere usato per co...
posta 12.03.2015 - 20:27
1
risposta

Perché questo attacco cache funziona?

Recentemente ho letto il seguente articolo su come eseguire un attacco cache in Javascript: link Ma ero confuso da come potesse funzionare. Nella carta, un buffer da 8 MB era sufficiente per avere un alto tasso di successo per la ricerca...
posta 18.01.2018 - 21:23
2
risposte

Il bcrypt confronta gli hash in tempo "lunghezza costante"?

Ho visto questa funzione slowEquals() durante la lettura di Hash delle password salate - Eseguendo correttamente , che utilizza un livello di byte Confronto xor per evitare attacchi temporali. Mi stavo chiedendo se questo è ciò che fa anch...
posta 29.11.2013 - 08:44
2
risposte

Posso prevenire attacchi temporali con ritardi casuali?

Recentemente ho letto sulla creazione di profili per account utente validi con attacchi temporali, in quanto l'applicazione sotto attacco richiede un tempo prevedibilmente diverso per elaborare un login su un utente inesistente da un utente esis...
posta 10.08.2015 - 21:04