¿Https incluye protección contra un ataque de repetición?

11

¿Es posible realizar un ataque de repetición en una solicitud transferida a través de https? Es decir, el protocolo https impone un mecanismo similar a la autenticación de acceso de resumen en el que se introduce un nonce en la solicitud para evitar la repetición.

security ssl https

— uno mismo
fuente

11

Sí lo hace. http://www.mozilla.org/projects/security/pki/nss/ssl/draft02.html

HTTPS llama a un ID de conexión nonce y tiene 128 bits de longitud.

— Kristaps
fuente

Entonces, la respuesta es sí, es posible realizar un ataque de repetición, pero el protocolo SSL lo hace lo suficientemente improbable en escenarios del mundo real para que los ataques de repetición sean casi imposibles de realizar.

— Kevin Kuphal

55

Esta respuesta no es del todo correcta, ya que el modo de autenticación seleccionado para HTTPS configura su capacidad para evitar un ataque de repetición o de intermediario. En su mayor parte, sí, lo hace. Pero puede haber implementaciones de HTTPS que no protegen contra un ataque de repetición.

— patjbs

7

Depende de la implementación de HTTPS. De hecho, puede ser seguro contra un ataque de repetición; por ejemplo, en un intercambio de claves RSA, se crea una clave temporal que impide la ejecución de un ataque de repetición. Sin embargo, un intercambio de claves anónimas no proporciona protección de repetición, creo.

http://tools.ietf.org/html/draft-ietf-tls-ssl-version3-00 Apéndice F

— patjbs
fuente