[hossein]

:در نسخه 1.0.0f و 0.9.8s کتابخانه محبوب OpenSSL که در هفته جاری منتشر شد، شش ضعف امنيتی شناسایی شده‌است. يکی از اين ضعف‌ها به مجرمان امکان می‌دهد تا ارتباط‌های DTLS (سرنام Datagram Transport Layer Security) را رمزگشایی کنند.

به گفته نادهم آفاردان و کنی پيترسون از گروه امنيت اطلاعات دانشگاه لندن، يکی از انواع حمله‌هایی که قابليت استخراج محتوای اصلی از متن رمزنگاری‌شده را دارد، حمله‌ای موسوم به Padding Oracle Attack است. اين دو پژوهشگر حمله آزمايشی خود را که با ترکيب اسم‌هايشان Alfardan-Peterson ناميده‌اند، براساس ضعف موجود در رمزنگاری با مود CBC (سرنام Cipher-Block Chaining) ترتيب داده‌اند. در رمزنگاری با مود CBC هر بلوک از متن با متن رمزی بلوک پيشين XOR می‌شود. منظور از XOR عملگر منطقی«يای انحصاری» است. اين‌کار باعث می‌شود اين دو بلوک به هم وابسته باشند. آرفادان و پيترسون دريافتند که می‌توان بدون دانستن کليد اوليه رمزنگاری و با تحليل تفاوت زمان‌بندی در خلال فرآيند رمزگشایی نيز به متن اصلی دست يافت.
اين‌دو پژوهشگر، نتيجه آزمايش‌های خود را نوزدهمين سمپوزيوم سالانه شبکه و سيستم‌های توزيع‌شده امنيتی يا Network & Distributed System Security ارائه خواهند داد.