acme协议中重放攻击的可能方案

Question

ACME协议定义了使用“重播”来防止重放攻击。

我理解什么是重播攻击，以及为什么在某些情况下防止重播攻击很重要。但我想不出重播攻击会成为ACME协议中的一个问题的场景。特别是由于消息是签名的，因此无法被可能的攻击者更改。

那么，在ACME协议中，有什么可能的重放攻击方案被现在的重播所阻止呢？

Answer 1

如果没有现在，至少有一些帐户管理操作会容易受到重放攻击：

• 如果ACME客户端执行多个帐户更新以更改其联系人电子邮件地址(例如，因为它们不再控制旧地址)，则攻击者可以重放任何请求以将地址更改为旧值。这种影响取决于电子邮件地址的确切用途。
• 以前的密钥展期可以恢复。但是，由于请求有效负载包含旧密钥和新密钥，因此攻击将需要非常特殊的情况:如果客户端将密钥从k_1更改为k_2，然后又更改为k_1，则攻击者可以通过从k_1重放密钥滚到k_2来重新安装k_2。

对ACME核心--颁发证书--的重播攻击并不那么明显。攻击者可以做的是用重放的订单请求(请求证书)或预先授权请求(请求挑战)淹没ACME服务器。如果没有现在，服务器将无法将它们与合法请求区分开来，并且可能会在某个时候强制执行限制。这样，实际的帐户所有者就无法获得新的证书。

但是，攻击者甚至无法确认标识符验证挑战，因为每个挑战都有一个唯一的URL，该URL也包含在请求中，实际上就像一个nonce本身一样。重播对不同URL的旧请求没有帮助。服务器必须重用挑战性URL，这绝对不是RFC的意思。