search / subscribe / upload / contact












RSS-Feed Depeschen

<< ^ >>

Date: 2003-03-17

Die zeitabhängige Unsicherheit der Sicherheit

Timing Attacke ermöglicht RSA Secret Key Diebstahl durch Extraktion aus OpenSSL Servern. Viele Anwendungen anfällig, darunter auch praktisch alle installierten Apache Webserver mit SSL-Support. Weitreichende Konsequenzen, da der gestohlene Key, auch nachdem die Lücke bereits gepatcht ist, noch missbraucht werden kann. Ähnliche Attacken könnten in Zukunft übrigens auch Palladium's Virtual Machine Monitor (aka Nexus) zum Fall bringen.
-.-. --.- -.-. --.- -.-. --.- -.-. --.- -.-. --.- -.-. --.-

From: David Brumley <dbrumley@stanford.edu>

[...]
We found that we can recover an RSA secret from OpenSSL using
anywhere from only 300,000 to 1.4 million queries.We demonstrated
our attack was pratical by successfully launching an attack against
Apache + mod_SSL and stunnel on the local network. Our results show
that timing attacks are practical against widely-deploy servers
running on the network.
[...]

The results indicate that all crypto implementations should defend
against timing attacks.

This paper was submitted to Usenix security 03.
The link to the paper is here:
http://crypto.stanford.edu/~dabo/abstracts/ssl-timing.html

-David Brumley

- -.-. --.- -.-. --.- -.-. --.- -.-. --.- -.-. --.- -.-. --.-
edited by typo
published on: 2003-03-17
comments to office@quintessenz.at
subscribe Newsletter
- -.-. --.- -.-. --.- -.-. --.- -.-. --.- -.-. --.- -.-. --.-
<< ^ >>

BigBrotherAwards Eintritt zur Gala sichern ... 25. Oktober 2023 #BBA23

	related topiqs
	Security



	CURRENTLY RUNNING
	q/Talk 1.Juli: The Danger of Software Users Don't Control Dr.h.c. Richard Stallman live in Wien, dem Begründer der GPL und des Free-Software-Movements

	!WATCH OUT!
	bits4free 14.Juli 2011: OpenStreetMap Erfinder Steve Coast live in Wien Wie OpenStreetMaps die Welt abbildet und was ein erfolgreiches Crowdsourcing Projekt ausmacht.