حمله به RSA بدون اطلاع از هر کلید

همه حملات به RSA به نظر می رسد نیاز به دانش حداقل متن رمز و کلید عمومی

با این حال هرگز شواهدی از حمله وجود دارد که به سادگی با استفاده از تعداد زیادی از متن رمزنگاری برای محاسبه عمومی / خصوصی کلید، و اگر چنین است توصیه می شود راه حل برای کاهش این؟

احراز هویت – اگر ما فقط nonce سرور و نه سرور nonce استفاده کنیم، کدام یک از بردارها حمله می شود؟

همانطور که همه ما می دانیم، nonce برای جلوگیری از حمله مجدد مورد نیاز است. هرچند که من در مورد nonce خواندم، می بینم که مشتری همیشه از سرور و می خواهد امنیت بیشتری را بهبود ببخشد، همچنین میتواند مشتری خود را (cnonce) اضافه کند.

درست مثل این نمودار:

 توضیح تصویر را اینجا وارد کنید

این طرح یک سربار اضافی به سرور را اضافه می کند؛ و من سعی می کنم شکل بگیرد که بردارهای حمله ممکن خواهد شد، اگر ما فقط از nonce client استفاده کنیم و در سرور مطمئن باشیم که cnonces ها هرگز استفاده مجدد نمی شوند (برای اجتناب از ذخیره سازی تمام موجودات مورد استفاده، بدیهی است که ما فقط می توانیم از آن استفاده کنیم هر cnonce بعدی برای یک کلید API داده شده بزرگتر از قبلی است و فقط آخرین کلید برای کلید API داده شده را ذخیره می کند.

تا کنون موفق به پیدا کردن هر بردار جدیدی از حمله نیستم: با اطمینان از اینکه cnonces هرگز نمی تواند دوباره استفاده شود برای هر کلید API، حملات بازی را کاملا حذف می کنیم. آیا چیزی از دست رفته؟

بدافزار – شناسایی نوع حمله وبسایت (Meuhy.php)

ما چند سایت میزبانی شده در سرور Media Temple (MT) داریم. امروز صبح، متوجه شدیم که برخی از وب سایت ما پایین آمده است. پس از بررسی، منتشر شد که آنها به خطر افتاده اند. ساختار دایرکتوری برای MT به شرح زیر است: domains> DOMAIN-NAME> html (aka root root).

در سطح DOMAIN-NAME، یک فایل با نام Meuhy.php را مشاهده کردیم. پشتیبانی MT گفت که به نظر می رسد مانند نوعی مدیر بسته مخرب است. من یک جستجوی گوگل برای این فایل انجام دادم، اما من چیزی را پیدا نکردم که بتواند منبع آن را شناسایی کند. با این حال، متوجه شدم که آن را در سایر وب سایت ها تزریق کرده اید: https://www.google.com/search؟q=meuhy.php&oq=m&aqs=chrome.4.69i60l4j69i59j69i60.5768j0j7&sourceid=chrome&ie=UTF-8

در ریشه وب، متوجه شدیم که کد وردپرس به فایلهای index.php تزریق شده است، با این حال، همه سایتهای ما به جز یکی از سایتهای دروپال هستند. ما همچنین کشف کردیم که مجموعه ای از فایل های xml ایجاد شده است. آنها چیزی شبیه به مجموعه ای از تماس های سرور بودند. ما استفاده از GPU را بررسی کردیم و متوجه شدیم که این فایل ها تولید شده اند. گوگل آنالیته ما همچنین نشان می دهد که ترافیک در طول این زمان غیرمعمول رخ داده است.

پرسش اصلی من این است که آیا هر کسی می داند چه نوع حمله ای است و آیا باید نگران باشیم که پایگاه داده های ما به خطر افتاده باشد؟