Af Torben B. Sørensen, 11/10/16
Artiklen blev oprindeligt publiceret den 6/2/2013
Et hul i den udbredte krypteringsstandard TLS (Transport Layer Security) gør det muligt for angribere at knække krypteringen. Det kræver dog adgang til lokalnettet og et stort antal sessioner.Angrebet går ud på, at angriberen sender en stribe budskaber til en server, der anvender TLS. Ved at iagttage hvor lang tid der går mellem fejlmeddelelser kan angriberen regne sig frem til indholdet af krypteret information.
Det kræver dog over 8 millioner sessioner at gennemføre angrebet. Men hvis man kombinerer det med andre metoder, kan mængden nedbringes.
TLS er efterfølgeren til SSL. Den anvendes især til kryptering af web-trafik.
Ifølge sikkerhedsforskerne Nadhem AlFardan og Kenny Paterson ligger sårbarheden i selve specifikationen for TLS, ikke i bestemte implementeringer af den. Dermed kan alle implementeringer potentielt være sårbare.
Sårbarheden findes både i TLS og DTLS (Datagram Transport Layer Security).
Flere leverandører af TLS-software har opdateret deres produkter med rettelser, der fjerner sårbarheden. Det gælder OpenSSL, GnuTLS, PolarSSL, CyaSSL og Opera. Flere andre har rettelser på vej.
Anbefaling
Opdater til en rettet version af TSL/SSL-software.