降級攻擊
此條目或其章節極大或完全地依賴於某個單一的來源。 (2016年10月5日) |
降級攻擊(英語:Downgrade attack)是一種對電腦系統或通訊協定的攻擊。在降級攻擊中,攻擊者故意使系統放棄新式、安全性高的工作方式(如加密連接),反而使用為向下相容而準備的老式、安全性差的工作方式(如明文通訊)。例如,在OpenSSL中曾經存在一個缺陷,從而使攻擊者能夠讓SSL/TLS伺服器與客戶端建立老版本TLS連接,儘管雙方事實上支援新版本。[1]這樣的攻擊是最常見的降級攻擊。
降級攻擊常被用於中間人攻擊,將加密通訊的安全性大幅削弱,得以進行原本不可能做到的攻擊。
去除向下相容往往是解決降級攻擊的有效手段。
參考資料
- ^ Praetorian. Man-in-the-Middle TLS Protocol Downgrade Attack. Praetorian. [2016-04-13]. (原始內容存檔於2020-03-17) (美國英語).