降級攻擊

降級攻擊(英語:Downgrade attack)是一種對計算機系統通訊協議的攻擊。在降級攻擊中,攻擊者故意使系統放棄新式、安全性高的工作方式(如加密連接),反而使用為向下兼容而準備的老式、安全性差的工作方式(如明文通訊)。例如,在OpenSSL中曾經存在一個缺陷,從而使攻擊者能夠讓SSL/TLS服務器與客戶端建立老版本TLS連接,儘管雙方事實上支持新版本。[1]這樣的攻擊是最常見的降級攻擊。

降級攻擊常被用於中間人攻擊,將加密通訊的安全性大幅削弱,得以進行原本不可能做到的攻擊。

去除向下兼容往往是解決降級攻擊的有效手段。

參考資料

  1. ^ Praetorian. Man-in-the-Middle TLS Protocol Downgrade Attack. Praetorian. [2016-04-13]. (原始內容存檔於2020-03-17) (美國英語).