30、SSL/TLS协议攻击全解析

SSL/TLS协议攻击全解析

1. 基于填充预言机的POODLE攻击

在SSL 3.0中，其记录层存在一个填充预言机漏洞，可用于恢复明文。以密文块$c_1$为例，可通过以下步骤计算其最后一个明文字节$m_1[16]$：
- 由于AES解密是确定性的，两个$c_1$块的中间结果$x$相同。
- 计算$x$的最后一个字节$x_{16} = c_2[16] ⊕ 15$。
- 最后得出$m_1[16] = x_{16} ⊕ IV[16]$。

利用此填充预言机，可确定单个明文字节。对于其他明文字节，可使用BEAST攻击中的逐字节权限技术进行计算，从而在SSL 3.0中恢复任意数量的明文字节。

POODLE攻击无法在SSL 3.0标准内得到缓解，因为服务器无法区分成功的攻击步骤和正确的填充。此外，还存在“降级舞蹈”现象，中间人攻击者可向浏览器发送关键网络错误信号，使浏览器在每次新连接建立时降低其首选的TLS版本，最终可能降至SSL 3.0，从而使POODLE攻击得以实施。不过，现代浏览器已关闭了此降级舞蹈功能。

2. 基于压缩的攻击

2.1 HTTPS中的数据压缩

HTTP/1.1标准RFC 2616规定了内容编码和传输编码，包括常见的压缩方法如gzip、compress和deflate。使用内容编码时，请求的内容以压缩形式存储在服务器上；使用传输编码时，数据仅在传输期间进行压缩。在这两种情况下，只有HTTP数据的主体被压缩，而头部不受影响。

TLS允许在加密之前对记录层中的数据进行压缩，压缩方法在TLS握手的ClientHello和ServerHello消息中进行协商。在H