用語解説:オラクル攻撃 - Qiita
パディングオラクル攻撃のオラクルって何だっけという話。 本当は、ちゃんとした数学的な理論があるのですが、そういう正確さは脇へ置いて、分かりやすさを優先した説明を試みたいと思います。というわけで、以下の説明は間違っているかもしれませんが、そこは自己責任ということでひとつ。。。 これがオラクルだ! 攻撃者は、攻撃の標的(例えば認証サーバ)が持っている秘密情報(例えばパスワード)を知りたいとします。攻撃者は何らかの「答案」を標的へと送信し、被害者の応答(例えばログオン成功・失敗)によって、さきほどの「答案」が「正解」だったか「不正解」だったかを知ることができます。 よくある構図ですよね。 このとき、標的サーバの実装は「答案が正解なら正解、答案が不正解なら不正解という応答だけを返し、それ以外の情報を渡さない」という対応に徹するのが基本です。この基本がきちんとできていれば、攻撃者は「オンライン総当た
SSL/TLS(SSL3.0~TLS1.2)のハンドシェイクを復習する
以下順を追って説明します。 HelloRequest 相手にClientHelloを送信するよう促すメッセージです。送信しなくても構いません。 ClientHello ServerHello ClientHelloとServerHelloは、TLSのひとつめの肝です。後ほど説明します。 ServerCertificate サーバ証明書を送信します。中間CA証明書なども、ここで送ります。 ServerKeyExchange 鍵交換メッセージその1です。鍵交換はTLSのふたつめの肝で、これも後ほど説明します。 CertificateRequest クライアント証明書を送信するように促すメッセージです。クライアント証明書が必要な場合に送信します。何そのクライアント証明書って?と思った方は読み飛ばして構いません。 ServerHelloDone サーバからの送信終了を示すエンドマークです。 Cli
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
