2.6.3. Tấn công giao thức
Về cơ bản có sự xuất hiện của các thông tin không riêng tƣ trong khóa đƣợc sử dụng ở bƣớc 8. Khóa đƣợc sử dụng, wp[2], đƣợc tìm thấy từ bộ ba thông tin sau: địa chỉ IP, timestamp, và passcode. Bất kì ai có thể kết nối đến máy để tấn công vào đều biết địa chỉ IP này. Timestamp thì khó hơn một chút, nhƣng Ace/Server sẽ gửi nó đến bất kỳ máy nào có thể gửi các gói UDP của nó. Nếu có đƣợc timestamp, thời gian có thể dễ dàng đoán đƣợc, đặc biệt nếu phía có sử dụng NTP hoặc một vài giao thức thiết lập thời gian khác mà có thể đƣa ra các giờ một cách đúng đắn. Kẻ tấn công có thể chọn đƣợc Passcode.
Do đó, khoá key có thể có tới 26 bít thông tin nếu thời gian đã đƣợc gắn liền với giây, nhƣng thời gian xuất hiện lại là phút. Do đó, gói thời gian đƣợc gửi tới bất kỳ ngƣời nào yêu cầu chúng, khóa key về cơ bản không có entropy thông tin. 1. Telnet đến máy đích
2. Nhập một username/passwork ăn trộm đƣợc 3. Gửi một yêu cầu thời gian đến Ace/Server 4. Tính toán wp[1] cho F2(IP(đích),T,123456) 5. Tìm cổng mà sdshell sẽ nghe
6. Gửi passcode 123456
7. Đóng gói và gửi DESwp[1] (cho phép truy cập) đến sdshell trên cổng mong muốn.
Trạng thái có thực của giao thức là một câu hỏi mở. Nếu có trạng thái có thể xác nhận đƣợc trong giao thức, và nếu nó đƣợc kiểm tra, sau đó tấn công chỉ có thể là có ích nếu kẻ tấn công đã sẵn sàng ở trên mạng cục bộ, bởi vì việc ăn trộm các gói tin nào đó có thể cần thiết để tìm ra các giá trị tƣơng ứng.
Do đó, bất kỳ kẻ tấn cống nào với truy cập UDP tới Ace/Client có thể gửi nó tới một gói UDP mà dễ dàng thuyết phục sdshell rằng chúng là hợp pháp, và hãy chấp nhận cho chúng vào. (Kẻ tấn công cũng cần định dạng của gói tin đƣợc cấp phép, hàm băm F2, cùng với tên đăng nhập và mật khẩu.)
Việc tính thời gian tấn công là khá dễ dàng. Trong đáp ứng cho một loạt các kiểu tấn công làm tê liệt hệ thống nhƣ race attack, SDTI đã thêm vào độ trễ trong tất cả các đáp ứng xác thực.