RSA 算法及一种意想不到的攻击方式

2017-01-10 12:56:31 +08:00
 tl3shi
又来拉流量了~

本文概述了 RSA 算法流程及一种有意思的攻击方式(timing attack).


http://mp.weixin.qq.com/s/eU3AmoFVco7Hgj4__lNbhQ

有做安全的朋友么, 实际场景中有没有这种攻击方式?
5678 次点击
所在节点    程序员
29 条回复
des
2017-01-11 08:08:07 +08:00
想到了另外一个侧信道攻击的案例,那个真的是劳动大的飞起。
文章找不到了,内容大概是一种劫持任意 tcp 的方法。
Moming
2017-01-11 08:52:31 +08:00
问题是书里都有讲这个的……大家难道不是早就知道了吗?
所以才要让大家用公认的那些库,不要自己随便瞎实现,更不要觉得自己牛逼去造一个什么加密算法……
jimzhong
2017-01-11 09:27:34 +08:00
Timing Attack 很早就提出了
x00m3i
2017-01-11 10:00:40 +08:00
不是什么新闻
jininij
2017-01-11 10:34:06 +08:00
@qgy18 在这个函数的说明中,还有一条 note:
非常重要的一点是,用户提供的字符串必须是第二个参数。
为什么呢?
单纯的只是比较,这里应该是二进制安全的,所以强调这个顺序的原因在哪呢?
Chrisplus
2017-01-11 10:35:49 +08:00
? Timing attack 也不是什么新闻,涉及到核心业务逻辑的加解密签名验证使用现成库的方法是最稳妥的方式,已经被考虑到了
xavierskip
2017-01-11 12:36:03 +08:00
@SoloCompany 对不起,我不知道微信公众号是怎么发的,也没见过他们的编辑器。
hjc4869
2017-01-11 17:59:21 +08:00
没什么可怕的, AES 也能被侧信道攻击。
tl3shi
2017-01-11 20:47:34 +08:00
@glasslion @Moming @jimzhong @x00m3i 只能说明本人才疏学浅,知识面还太窄。
@qgy18 文中也提到了这个例子哈。
@wy315700 确实是,安全方面的都是防范于未然。
@xiaket 表面上想这些因素确实很敏感,因此有不靠谱的感觉也正常吧?估计只有自己亲自实现了才感觉靠谱。 :)

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/333579

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX