ου γαρ εστιν κρυπτον ο ου φανερον γενησεται ουδε αποκρυφον ο ου γνωσθησεται και εις φανερον ελθη
Wersja PL ENG Version

Atak metodą powtórzenia (ang. replay attack)

Podczas ataku za pomocą metody powtórzenia, atakujący wysyła do ofiary dokładnie taką samą wiadomość, jaka była już użyta we wcześniejszej komunikacji. Wiadomość jest zaszyfrowana poprawnie, więc istnieje szansa, że odbiorca potraktuje ją jako poprawne zapytanie i podejmie działania pożądane przez napastnika.

Atakujący może podsłuchać wiadomość wysłaną pomiędzy dwoma stronami lub poznać format wiadomości ze swoich wcześniejszych komunikacji z jedną ze stron. Wiadomość taka może zawierać przesyłany wcześniej w jakiejś formie sekretny klucz i być potem użyta dla zapewnienia autentyfikacji.

Przykładowo, kiedy napastnik podsłucha kogoś zlecającego przelew pieniędzy w banku, to ma wtedy możliwość wysłania takiego samego (poprawnego) żądania do banku, oczekując, że bank przeleje pieniądze znowu na to samo konto (prawdopodobnie powiązane w jakiś sposób z napastnikiem).

Istnieje kilka sposobów na zabezpieczenie się przed atakami metodą powtórzenia. Przed rozpoczęciem komunikacji obie strony mogą ustalić i przyjąć losowy klucz sesji, poprawny jedynie w danym czasie i dla danego zadania. Oprócz tego, niewątpliwie dobrym działaniem jest dodawanie znaczników czasu do każdej wiadomości i akceptowanie tylko tych wiadomości, które nie były wysłane zbyt dawno temu. Inną popularną techniką obrony przed tym atakiem jest używanie haseł jednorazowych dla każdego żądania. Ten sposób jest często używany podczas operacji bankowych.

Atak kopiuj-i-wklej (ang. cut-and-paste)

W tej odmianie ataku metodą powtórzenia, napastnik miesza kawałki różnych szyfrogramów i wysyła do ofiary. Jest prawdopodobne, że nowo utworzona wiadomość jest nieprawidłowa, ale odbiorca może zareagować w taki sposób, że atakujący uzyska więcej informacji o atakowanym systemie.