Ataque Trece con suerte

El ataque Trece con suerte es un ataque de timing criptográfico contra implementaciones del protocolo Transport Layer Security (TLS), reportado por primera vez en febrero de 2013 por sus desarrolladores Nadhem J. Alfardan y Kenneth G. Paterson del Grupo de Seguridad de la Información en la Royal Holloway, Universidad de Londres.^[1]​^[2]​

Es una variante novedosa del ataque de relleno de oráculo de Serge Vaudenay el que previamente se había pensado solucionado, el cual utiliza un ataque de tiempo de canal lateral contra la etapa de comprobación del Message authentication code (MAC) en el algoritmo TLS para romper el algoritmo en una forma que no fue resuelta por intentos previos de mitigar el ataque de Vaudenay.^[3]​

"En este sentido, los ataques no representan un peligro significativo para los usuarios normales de TLS en su forma actual. Sin embargo, es un lugar común que los ataques sólo se mejoran con el tiempo, y no podemos anticipar qué mejoras a nuestros ataques, o ataques completamente nuevos, pueden todavía ser descubiertos." — Nadhem J. AlFardan y Kenneth G. Paterson^[1]​

Los investigadores sólo examinaron las implementaciones de Software Libre de TLS y encontraron que todos los productos examinados eran potencialmente vulnerables al ataque. Ellos probaron sus ataques exitosamente contra OpenSSL y GnuTLS. Debido a que los investigadores aplicaron la "divulgación responsable" y trabajaron con los proveedores de software,algunas actualizaciones de software para mitigar los ataques estaban disponibles al momento de la publicación.^[2]​

• Tiempo es dinero (en cifrado CBC), Nikos Mavrogiannopoulos, 5 de febrero de 2013 (en inglés)