幸運十三攻擊

幸運十三攻擊（Lucky Thirteen attack）是一項針對使用密碼塊連結操作模式的傳輸層安全性協定實現的加密學計時攻擊（英語：timing attack）方法，由倫敦大學皇家霍洛威學院信息安全組的納迪姆·J·阿爾法丹（Nadhem J. AlFardan）及肯尼·帕特森（Kenny Paterson）於2013年2月首次開發並反饋。^[1]^[2]

攻擊方式

幸運十三攻擊是塞爾日·瓦德奈（英語：Serge Vaudenay）所提出的密文填塞攻擊（曾認為已被完全修復）的全新變種，其針對傳輸安全性協議算法中的訊息鑑別碼檢查階段進行計時側信道攻擊（英語：timing attack），進而繞過原版密文填塞攻擊的補丁。^[3]

「就這方面而言，（幸運十三）攻擊手段對傳輸安全性協議的普通用戶並未造成顯著的威脅。但是，攻擊者的進攻方式肯定會逐漸提升，我們無法預料到攻擊者的攻擊方式將如何發展，亦或是提前知道尚未發現的攻擊手段。」^{[註 1]}——納迪姆·J·阿爾法丹及肯尼·帕特森^[1]

研究人員僅僅對傳輸層安全協議的自由軟件實現進行了測試，發現所有被測試的產品均受到此問題的影響，並已成功對OpenSSL及GnuTLS進行了攻擊。因為研究者負有披露責任且與軟件供應商進行了合作，部分軟件更新已在缺陷公開當時修復漏洞。^[2]

雖然亞馬遜專有的S2n（英語：S2n）實現已作出了防止時序攻擊的措施，但馬丁·R·阿爾布雷特（Martin R. Albrecht）和帕特森還是成功對S2n實現了幸運十三的變種攻擊。^[4]

^ 原文："In this sense, the attacks do not pose a significant danger to ordinary users of TLS in their current form. However, it is a truism that attacks only get better with time, and we cannot anticipate what improvements to our attacks, or entirely new attacks, may yet be discovered."

^ ^1.0 ^1.1 Dan Goodin. "Lucky Thirteen" attack snarfs cookies protected by SSL encryption. Ars Technica. 2013-02-04 [2013-02-04]. （原始內容存檔於2013-02-05）.
^ ^2.0 ^2.1 Lucky Thirteen: Breaking the TLS and DTLS Record Protocols. Royal Holloway, University of London. 2013-02-04 [2013-06-21]. （原始內容存檔於2013-07-02）.
^ Adam Langley. Lucky Thirteen attack on TLS CBC. 2013-02-04 [2013-02-04]. （原始內容存檔於2013-02-08）.
^ Albrecht, Martin R. Lucky Microseconds: A Timing Attack on Amazon's s2n Implementation of TLS. Cryptology ePrint Archive. [2015-11-24]. （原始內容存檔於2015-11-25）.