Jakub LukschによるPixabayからの画像

 

タイミング攻撃は理論的にはありえますが、よくよくプロトコルに精通した者が処理の時間ずれを観測することでクラックしようとするもです。

実際にクラックしようとしたら、それなりのコストなり、時間がをかける必要があると考えられていました。

今回発表されたのは、Http2を使っているサーバアプリの場合、結構簡単に時間をかけずにできそうだということです。

 

Researchers exploit HTTP/2, WPA3 protocols to stage highly efficient ‘timeless timing’ attacks

 

Timelessって、単に訳すと、「永遠、永遠性の」とか。。

 

永遠のタイミング攻撃

 

終わらない？攻撃？それって攻撃にならないじゃん？成功しないと意味がないもの。

 

なんのこっちゃ？と思って記事をよく読むと、

 

時間がかからない。。即時的な。。

の意味なのですね。

 

ようは簡単に共通鍵なんぞ破れますよ、ってことです。

 

 

基本的な原理はhttp/2プロトコルの特徴を逆手にとった感じです。

 

共同著者Mathy VanhoefはWP3の脆弱性Dragonbloodを発見したひとですので、現実性は高いでしょう。

 

共通鍵で運用するサービスって、、

うーん、なんかIoTデバイス関連のサービスって使ってそうですね。これまた影響が大きいかもしれません。

 

で記事の最後に、

 

timing情報を使わないタイミング攻撃だから、timelessだと

 

おい！

 

参考：

【図解】HTTP/2って？HTTP/1.1との違いと導入メリット・課題まとめ