Oracle Padding napad na ASP.NET

Thai Duong in Jualiano Rizzo, varnostna raziskovalca, ki sta pred enim letom odkrila resno napako v storitvi Flickr sta na konferenci Ekoparty pred kratkim razkrila novo resno ranljivost, tokrat v šifriranju v ASP.NET.

Duong in Rizzo sta napad prikazala s programom POET, ki implementira tim. Padding Oracle Attack, ki je bil prvič predstavljen na konferenci Eurocrypt 2002.

Gre za napad na CBC način bločnega šifriranja. S pomočjo padding napada, ki izkorišča dejstvo, da je začetke ali konce npr. uradnih sporočil oziroma podatke, ki so potrebni za zapolnitev zadnjega bloka v CBC šifriranem sporočilu pogosto mogoče uganiti. S pomočjo tovrstnega ugibanja in dešifriranja uganjenega koščka sporočila je nato mogoče po koščkih odkriti oziroma dešifrirati celotno sporočilo.

Podrobnosti o napadu in ranljivosti je na svoje blogu opisal tudi Scott Gu's (prvi prispevek, drugi prispevek in tretji prispevek), gre pa za težavo v implementaciji AES šifriranja, ki je namenjeno zaščiti sejnih piškotkov v ASP.NET aplikacijah.

Microsoft je sicer že izdal popravek.