本实验的学习目标是让学生亲手实践一种针对密码系统的有趣攻击。某些系统在解密密文时,会检查填充是否有效;如果填充无效,系统会返回错误。这种看似无害的行为会导致一类被称为填充预言机(Padding Oracle)的攻击。
许多知名系统曾被发现容易受到这种攻击影响,包括 Ruby on Rails、ASP.NET 和 OpenSSL。在本实验中,学生将使用容器中运行的两个预言机服务器。每个服务器都隐藏了一条秘密消息,并会给出密文和 IV。学生需要根据服务器对不同密文的反馈,推断出秘密消息的内容。
本实验的学习目标是让学生亲手实践一种针对密码系统的有趣攻击。某些系统在解密密文时,会检查填充是否有效;如果填充无效,系统会返回错误。这种看似无害的行为会导致一类被称为填充预言机(Padding Oracle)的攻击。
许多知名系统曾被发现容易受到这种攻击影响,包括 Ruby on Rails、ASP.NET 和 OpenSSL。在本实验中,学生将使用容器中运行的两个预言机服务器。每个服务器都隐藏了一条秘密消息,并会给出密文和 IV。学生需要根据服务器对不同密文的反馈,推断出秘密消息的内容。