新的浣熊攻击可以让攻破SSL/TLS加密

一组研究人员详细介绍了传输层安全(TLS)协议中的一个新的定时漏洞，该漏洞可能允许攻击者在特定条件下破坏加密并读取敏感通信。
这种服务器端攻击被称为“浣熊攻击”，它利用加密协议(1.2及更低版本)中的一个侧通道来提取用于双方之间安全通信的共享密钥。
研究人员在一篇论文中解释了他们的发现:“这个侧信道的根本原因是TLS标准鼓励对DH秘密进行非恒定时间的处理。”如果服务器重用临时密钥，这个侧通道可能允许攻击者通过解决隐藏数字问题的实例来恢复预主密钥。
然而，学者们表示，该漏洞很难被利用，并且依赖于非常精确的时间测量和特定的服务器配置来利用。
泄露密钥的定时攻击#
使用时间度量来破坏密码系统并泄漏敏感信息一直是许多定时攻击的核心，并且浣熊在TLS握手期间对Diffie-Hellman (DH)密钥交换过程采用相同的策略，这对于在公共网络上安全交易数据至关重要。
在交换过程中生成的共享密钥可以确保在互联网上的安全浏览，使用户可以通过保护通信免受窃听和中间人(MitM)攻击来安全访问网站。
为了打破这道安全墙，恶意方记录客户机和服务器之间的握手消息，用它向同一台服务器发起新的握手，然后测量服务器响应派生共享密钥所涉及的操作所需的时间。