什么是混搭攻击？ （Docker – 快照键）

该expression式在“ pipe理内容信任的密钥 ”中使用：

快照：该键标记当前图像标记的集合，防止混合和匹配攻击。

在首次启用Content Trust的情况下执行docker push时，会自动为映像存储库生成根，目标，快照和时间戳记密钥：
时间戳和快照键安全地生成并存储在与Dockerregistry一起部署的签名服务器中。 这些密钥是在不直接暴露于互联网的后端服务中生成的，并在rest时encryption。

这是docker公证架构的一部分 ：

回滚，冻结，混合和匹配 – 攻击者可以请求公证签名者签署他们想要的任意时间戳（也许是快照）元数据。 攻击者可以发起冻结攻击，并根据快照键是否可用，进行混合和匹配攻击，直到目标文件到期。

只要攻击者确保他们的恶意元数据的版本号高于任何客户端可能具有的最新的好元数据的版本号，那么无论是否拥有固定信任的客户都将容易受到这些攻击。

请注意，时间戳和快照键不能在仅服务器折衷scheme中受到威胁，因此不需要按键轮换。 一旦服务器妥协被缓解，攻击者将无法生成有效的时间戳或快照元数据，并在恶意镜像上提供服务。

攻击者可以添加恶意内容，从集合中删除合法内容，并混合集合中的目标 ，但只能在密钥可以签名的特定代理angular色中进行。

对于这些术语的定义，可以看一下“ 提高Hackage安全性 ”（对于Haskell，但它也适用于Dockerregistry）：

• 攻击者获取客户端安装旧版本软件包的回滚攻击 ，而不是客户端以前知道的版本。
  例如，考虑一个较旧的软件包可能已知安全漏洞的情况。

• 冻结攻击 ，攻击者可以防止整个包的更新（例如，通过总是响应旧的快照）。

• 混合和匹配攻击 ，攻击者提供上游存储库中从来不存在的包或包元数据的组合。