Taggat med: openid

Nya tidsattacker mot HMAC

Det har uppdagats en ny typ av fjärrmässiga tidsattacker (exploiting remote timing attacks). Det var under konferensen BlackHat som gick av Bild CC: flickr.com/photos/stevegrosbois/3362637206/staplen för några dagar sedan i Las Vegas där kryptogurun Nate Lawson visade hur det är möjligt att lista ut huruvida den första byten i en HMAC-sträng är korrekt eller ej. Denna typ av attack påverkar exempelvis oAuth eller OpenID och används av flertalet stora webbtjänster såsom Twitter.

Det är inte första gången som tidsattacker utnyttjas fjärrmässigt i kryptoimplementeringar, utan detta har påvisats ett antal gånger historiskt.

Läs mer på Nate:s blogg eller ComputerWorld.

OpenID/Debian och DNS

Ben Laurie från Google samt Dr. Richard Clayton från Cambridge University har identifierat att om två nyligen upptäckta sårbarheter kombineras så är det möjligt för en attackerare att göra man-in-the-middle attacker.

Detta är dock inget lätt problem att lösa betonar forskarna eftersom CRL:er används mycket sällan i dessa fall.

Läs mer om denna sårbarhet: securityfocus.com/archive/1/495258/30/0/

Vi har tidigare skrivit om Debians slumptalsproblem: