Crypto-IT

Podczas ataku za pomocą metody powtórzenia, atakujący wysyła do ofiary dokładnie taką samą wiadomość, jaka była już użyta we wcześniejszej komunikacji, w której atakowany system brał udział. Wiadomość jest zaszyfrowana poprawnie, więc istnieje szansa, że odbiorca potraktuje ją jako poprawne zapytanie i podejmie działania pożądane przez napastnika.

Atakujący może podsłuchać wiadomość wysłaną pomiędzy dwoma stronami lub poznać format wiadomości bazując na swoich wcześniejszych kontaktach z jedną ze stron. Wiadomość taka może zawierać przesyłany wcześniej w jakiejś formie sekretny klucz, mogłaby być zatem użyta dla zapewnienia autentyfikacji.

Przykładowo, kiedy napastnik podsłucha kogoś zlecającego przelew pieniędzy w banku, to ma wtedy możliwość wysłania takiego samego (poprawnego) żądania do banku jeszcze raz, oczekując, że bank przeleje pieniądze znowu na to samo konto (prawdopodobnie powiązane w jakiś sposób z napastnikiem).

Istnieje kilka sposobów na zabezpieczenie się przed atakami metodą powtórzenia. Przede wszystkim, przed rozpoczęciem komunikacji obie strony mogą ustalić i przyjąć losowy klucz sesji, poprawny jedynie w określonym czasie i dla danego zadania. Oprócz tego, niewątpliwie dobrym działaniem jest dodawanie znaczników czasu do każdej wiadomości i akceptowanie tylko tych wiadomości, które nie były wysłane zbyt dawno temu. Inną popularną techniką obrony przed tym atakiem jest używanie haseł jednorazowych dla każdego żądania. Ten sposób jest często używany podczas operacji bankowych.

W tej odmianie ataku metodą powtórzenia, napastnik miesza kawałki różnych szyfrogramów i wysyła do ofiary. Jest prawdopodobne, że nowo utworzona wiadomość jest nieprawidłowa, ale odbiorca może zareagować w taki sposób, że atakujący uzyska więcej informacji o atakowanym systemie.