https 是否包含针对重放攻击的保护?

https 是否包含针对重放攻击的保护?

是否有可能对通过 https 传输的请求进行重放攻击?这意味着 https 协议是否强制执行类似于摘要访问认证其中随机数被引入到请求中以防止重放。

答案1

是的,它确实 。 http://www.mozilla.org/projects/security/pki/nss/ssl/draft02.html

HTTPS 称 nonce 为连接 id,长度为 128 位。

答案2

这取决于 HTTPS 的实现。它确实可以抵御重放攻击 - 例如在 RSA 密钥交换中,会创建一个临时密钥来防止执行重放攻击。但是,我认为匿名密钥交换不提供重放保护。

https://datatracker.ietf.org/doc/html/draft-ietf-tls-ssl-version3-00 附录 F

相关内容