SSL／TLSのRC4へのActive Attack

摘要

2013年にSSL／TLSのRC4においてBroadcast Settingのもとで比較的少数の暗号化パケットから高確率で平文を復元できることが五十部らとAlFardanらによって独立に発見された．彼らの攻撃は，使用している脆弱性の性質から平文バイトの位置によって復元できる確率が異なるという特徴を持っ．本稿では，不正なJavaScriptを利用して任意の文字列を平文の上位バイトに挿入し，攻撃な有利な位置まで攻撃対象の平文バイトの位置をスライドさせることで，対象の平文バイトを復元できる確率を改善する方法を示す．例えば226個の暗号文が与えられたとき，従来の攻撃では平文の先頭の77バイトのうち先頭41バイトを除く全てのバイトを確率0.5以上で復元できるのに対し，提案手法では平文の先頭の96バイトのうち先頭41バイトを除く全てのバイトを確率0.7以上で復元できる．さらに，CBCモードのブロック暗号に対するActive AttackであるBEAST攻撃と比較することで，SSL／TLSにおけるRC4 とCBCモードのブロック暗号の安全性について比較する．