[ISS] follow up del padding attack - 2013

[Giuseppe Bianchi < >]

Alla ricerca di "ispirazione" ;-) mi sono or ora imbattuto in questo 
lavoro, relativamente fresco (un paio di mesi fa), e di un gruppo 
estremamente serio e credibile (Kenny Paterson e' un nome importante), 
che dimostra come le vulnerabilita' dovute alla differenza temporale di 
risposta a fronte di un decryption possono essere in realta' ancora 
usate. A lezione avevamo "liquidato" la questione dicendo che "bastava" 
imporre alle implementazioni di calcolare il MAC anche a fronte di un 
bad padding; nella pratica questo lavoro (magari non facilissimo da 
leggere, anche io lo sto pian piano dissezionando, ma comunque forse 
alla portata di chi ha seguito e capito la lezione sul padding oracle) 
dimostra che la soluzione sembra meno ovvia del previsto, e che un side 
(timing) channel USABILE in realta' rimane.

http://www.isg.rhul.ac.uk/tls/TLStiming.pdf

La morale e' che un encrypt then MAC, o meglio ancora una migrazione di 
massa verso tecniche piu' moderne di authenticated encryption (cipher 
che integra insieme autenticazione e cifratura) avrebbe risolto a priori 
la questione, ma purtroppo ancora una volta notiamo come la pessima 
scelta di TLS di usare un MAC then Encrypt decisamente piu' vulnerabile 
stia alla lunga portando guai decisamente piu' gravi del previsto...