驗證時間攻擊 Verification Timing Attack

一種感覺比較另類的碰撞tag的方式，主要是利用服務端的回報時間。 比如：攻擊者想上傳個檔案給伺服器，苦于無法得到該檔案相應的Tag，就想辦法碰撞tag。

步驟：

1.随機一個tag，目的為擷取伺服器響應時間。 2.從頭開始嘗試第一位元組所有情況，如果響應時間不變，則依舊為錯，直到響應時間變長了一點，說明伺服器比較兩個mac的時候第一位元組是一樣的。 3.下一個位元組重複以上操作，直到tag完全吻合。

防禦措施：

1.響應時間相同，比如完全比較完之後再響應。 2.将得到的mac和伺服器計算的mac再進行依次哈希後再比較，這樣就得不到真正的響應時間了。