TLS

我们披露了几个TLS库中发现的漏洞,我们的攻击方式是针对这些实现的缓存访问时序利用侧信道泄漏,从而攻破TLS实现的RSA密钥交换。在本文中,我将主要讨论协议级别的漏洞利用。
Go语言的crypto/x509标准库中的校验算法存在逻辑缺陷,攻击者可以精心构造输入数据,使校验算法在尝试验证客户端提供的TLS证书链时占用所有可用的CPU资源。