Enthält https Schutz vor einem Wiederholungsangriff?

11

Ist es möglich, einen Wiederholungsangriff auf eine über https übertragene Anforderung durchzuführen? Bedeutet dies, dass das https-Protokoll einen Mechanismus erzwingt, der der Digest-Zugriffsauthentifizierung ähnelt, bei dem eine Nonce in die Anforderung eingefügt wird, um die Wiedergabe zu verhindern.

security ssl https

— man selbst
quelle

11

ja tut es . http://www.mozilla.org/projects/security/pki/nss/ssl/draft02.html

HTTPS ruft die Nonce-Verbindungs-ID mit einer Länge von 128 Bit auf.

— Kristaps
quelle

Die Antwort lautet also: Ja, es ist möglich, einen Wiederholungsangriff durchzuführen, aber das SSL-Protokoll macht es in realen Szenarien so unwahrscheinlich, dass Wiederholungsangriffe nahezu unmöglich sind.

— Kevin Kuphal

5

Diese Antwort ist nicht ganz richtig, da der für HTTPS ausgewählte Authentifizierungsmodus die Möglichkeit festlegt, einen Man-in-the-Middle- oder Wiederholungsangriff zu verhindern. Zum größten Teil ja. Es kann jedoch Implementierungen von HTTPS geben, die nicht vor einem Wiederholungsangriff schützen.

— Patjbs

7

Dies hängt von der Implementierung von HTTPS ab. Es kann tatsächlich gegen einen Wiederholungsangriff sicher sein. Beispielsweise wird bei einem RSA-Schlüsselaustausch ein temporärer Schlüssel erstellt, der die Ausführung eines Wiederholungsangriffs verhindert. Ein anonymer Schlüsselaustausch bietet jedoch meines Erachtens keinen Wiederholungsschutz.

http://tools.ietf.org/html/draft-ietf-tls-ssl-version3-00 Anhang F.

— patjbs
quelle