9.5.1. Risks of Weak or Null Message Authentication (弱或空消息认证的风险)

9.5.1. Risks of Weak or Null Message Authentication (弱或空消息认证的风险)

在考虑使用弱或空认证的安全审计期间, 重要的是要记住当不使用消息认证算法时可能发生的以下攻击。

无法预测明文的攻击者仍然总是能够修改在发送方和接收方之间发送的消息, 使其解密为随机明文值, 或者向接收方发送将解密为随机明文值的伪造数据包流。这种攻击本质上是拒绝服务攻击, 尽管在没有消息认证的情况下, RTP 应用将具有与真实值按位相关的输入。当这些数据被接受为有效的视频数据时, 一些多媒体编解码器和常见操作系统会崩溃。这种拒绝服务攻击可能比攻击者丢弃、延迟或重新排序数据包造成的威胁要大得多。

无法预测明文的攻击者仍然可以确定地重放以前的消息, 确信接收方会接受它。具有无状态编解码器的应用可能对这种类型的攻击具有鲁棒性, 但对于其他更复杂的应用, 这些攻击可能要严重得多。

可以预测明文的攻击者可以修改密文, 使其解密为她选择的任何值。使用加法流密码, 攻击者将始终能够更改单个比特。

当对解密但未经认证的明文做出数据转发或访问控制决策时, 由于缺乏认证, 攻击者可能能够破坏机密性。这是因为接收方可能被欺骗而将数据转发给攻击者, 从而导致间接的机密性破坏 (参见 [B96] 的 Section 3)。这是因为数据转发决策是在解密的明文上做出的; 明文中的信息将决定在 ESP [RFC2401] 隧道模式 (或传输模式) 中明文被转发到哪个子网 (或进程)。当使用安全 RTP 而不使用消息认证时, 应该验证应用不会基于解密的明文做出数据转发或访问控制决策。

某些需要填充的密码操作模式, 例如标准密码块链接 (CBC), 如果在没有完整性的情况下使用某些填充类型, 则对机密性攻击非常敏感。攻击 [V02] 表明, 当与 CBC 模式一起使用时, 对于参考图 1 讨论的标准 RTP 填充, 情况确实如此。因此, 以后对 SRTP 的转换添加必须 (MUST) 仔细考虑在没有适当完整性保护的情况下使用此填充的风险。