没有encrypt_then_mac TLS扩展的使用CBC的服务器必然容易受到LUCKY13攻击的攻击吗？

Question

为了使服务器易受LUCKY13攻击的攻击，它必须使用使用CBC的加密套件，并且不能使用encrypt_then_mac TLS扩展。但是，如果这两种条件都得到满足，那么服务器是否必然容易受到LUCKY13的攻击？openSSL是否通过在使用CBC模式时添加随机延迟来减轻这种攻击？

如果是这样的话，是否有一种方法可以确定地测试是否存在此漏洞？据我所知，testssl只在服务器使用CBC而不使用encrypt_then_mac时才返回“潜在易受攻击”。

Answer 1

不，在TLS中使用CBC而没有加密的MAC扩展并不一定意味着实现是脆弱的。这种攻击就是我们所说的填充预言，因为用这种方式使用的CBC需要填充，并且攻击通过定时侧通道公开填充是否正确。这是因为MAC在明文之上，并且不会阻止攻击者在没有立即检测到的情况下试图修改密文。

然而，可以编写固定时间填充验证代码，这是大多数主要的TLS库所做的工作。因此，大多数主要的实现都不容易受到攻击，但是您需要检查文档以确保您的版本。

如果使用加密MAC或AEAD，则对密文进行身份验证，填充不需要在固定时间内进行验证，因为攻击者在计算上不可能修改填充，而不会导致MAC或身份验证代码失败。这就是为什么在TLS 1.3中AEAD是唯一的选择，TLS 1.2及以下不建议使用CBC。