자전거 공격

HTTPS 자전거 공격은 TLS/SSL 프로토콜로 암호화된 패킷의 암호 길이를 알아내는 방법을 말한다.^[1]자전거 공격에 대비하여 공격자는 대상 페이지를 로드하여 지정된 웹 브라우저가 서버에 요청한 헤더 크기를 계산해야 한다.공격자가 피해자의 요청을 가로채고 브라우저에서 지문을 채취하면, 암호의 길이는 요청의 총 길이에서 알려진 헤더 길이를 빼서 추론할 수 있다.^[2]

이 용어는 2015년 12월 30일 귀도 브란켄이 처음 만든 말로 다음과 같다.

"TLS 자전거 어택이라는 이름은 암호화가 어떻게 콘텐츠를 숨기는지와 선물 포장이 어떻게 물리적 물체를 숨기는지가 개념적으로 유사하기 때문에 선택되었다.나의 공격은 TLS 응용 프로그램 데이터 페이로드의 크기가 공격자에게 직접 알려져 있고 이것은 부주의하게 일반 텍스트 크기에 대한 정보를 드러낸다; 레이핑된 자전거나 선물 포장된 자전거가 자전거로 여전히 식별되는 것과 유사하다, 왜냐하면 그것을 은닉하는 것은 U를 유지하기 때문이다.더덕더덕한 모양내가 이 공격의 명칭을 아예 붙인 이유는 모두가 쉽게 언급할 수 있도록 하기 위해서일 뿐이다."^[2][별도 추가됨

자전거 공격은 알려진 길이의 비밀번호만 시험하면 되기 때문에 패스워드를 훨씬 쉽게 강제할 수 있다.그것은 TLS 암호화 HTTP 트래픽이 그것의 컨텐츠의 정확한 크기를 완전히 흐리지 않는다는 것을 보여준다.

참고 항목

컴퓨터 보안

참조

^ "Bicycle attacks considered harmful: Quantifying the damage of widespread password length leakage". Computers & Security. 100: 102068. 2021-01-01. arXiv:2002.01513. doi:10.1016/j.cose.2020.102068. ISSN 0167-4048.
^ ^a ^b Vranken, Guido (December 30, 2015). "HTTPS Bicycle Attack" (PDF). Retrieved 2021-10-15.

[1] "Bicycle attacks considered harmful: Quantifying the damage of widespread password length leakage". Computers & Security. 100: 102068. 2021-01-01. arXiv:2002.01513. doi:10.1016/j.cose.2020.102068. ISSN 0167-4048.

[guido-2] Vranken, Guido (December 30, 2015). "HTTPS Bicycle Attack" (PDF). Retrieved 2021-10-15.

[1]

[2]

Search

자전거 공격

네임스페이스

더

참고 항목

참조