Pár napja megjelent egy igen bájos támadás (ún. padding oracle támadás) az SSL/TLS ellen.

A támadáshoz elég csak a titkosított SSL bitfolyamot látni/manipulálni, azaz ciphertext-only támadásról van szó. A támadó rafinált módon hibát ejt az egyik elküldött titkosított SSL üzenetben, a befogadó észreveszi a hibát, megszakítja a kapcsolatot, és erről hibaüzenetet küld. A támadó azt figyeli, hogy mennyi időn belül érkezik a hibaüzenet, ebből tud következtetni az elrontott üzenet tartalmára. Az időzítésből az derül ki a számára, hogy az elrontott üzenetben (amiben így alaposan összekavarodtak a bitek) már a padding is hibás (és így padding hiba miatt utasította el az üzenetet a befogadó) vagy a paddig helyes, így a befogadó megvizsgálta az üzenethez kapcsolódó kriptográfiai ellenőrző összeget (MAC) is, és az alapján vette észre a hibát.

Ez önmagában nagyon kevés információ, de már lyukat jelent az SSL védelmén. Ha a támadó nagyon sok SSL kapcsolatot (pl. 2¹⁶ db kapcsolatot) ront el ügyesen, akkor akár egy-egy üzenetblokk tartalmára is következtethet. A támadás nagyon lassú, nem praktikus, és csak speciális körülmények között működik. Ennek ellenére nagyon érdekes eredményről van szó, és megindult egy ötletelés, hogy hogyan lehetne összekombinálni a nemrég megjelent BEAST támadással, és praktikussá lehet-e így tenni.

Ez egy úgy nevezett side-channel támadás, tehát nem csupán a titkosított bitek analízisére épít, hanem más információt, időzítéseket is felhasznál. Ezáltal nem a kriptográfiai elméletet, hanem a konkrét implementációkat támadja - igaz, szinte minden főbb SSL/TLS implementáció érintettnek bizonyult. Az implementációk javíhatóak (többségüket már javították is), hogy hárítsák a támadást, azaz semmire ne lehessen következtetni az időzítésekből. A TLS legújabb változata pedig használható úgy is, hogy eleve ne érinthesse a támadás, bár az a TLS változat még nem igazán terjedt el.

A támadást részletesen leíró cikk itt érhető el, és ez pedig az enyémnél részletesebb szöveges leírás a támadás működéséről.