先日の続き。
実際に初期化ベクトルが問題になった事例として、 TLS 1.0 に対する CBC 攻撃というのがあったようだ。この問題は TLS 1.1(RFC4346) で対処された。以下、RFC4346 の中で関連する箇所:
この問題について指摘する OpenSSL サイト内の情報も見つけた。
既存の「暗号文」の一部を次のIVとして使用してしまうことが問題の本質らしい。しかし『Note that for most application protocols such attacks are not really feasible.』とあるので、実際に攻撃が発生して被害が出たことはなかったのではないかと思われる。
なお、Wikipedia のTLSについての説明は間違っている。CBC 攻撃に対する耐性が追加されたのは 1.1 だし、AESが正式に追加されたのは 1.2 である(他にもいろいろ間違っている気がする)。もう少し調べたら修正する、予定。
追記:修正しておいた。AESについてのくだりは迷ったが、TLSAES(RFC 3268)に言及しないなら1.1の方が相応しいと思われたので、そのまま残した。結果としてTLS 1.2 -> 1.1に内容を移動する形の修正になった。
