僵局—;这一新的加密故障使互联网用户面临风险
相关标签: # 服务器# 研究# 软件# 信息# 缺陷
心碎,贵宾犬和怪胎加密漏洞,互联网上出现了一种新的加密攻击,攻击者可以读取和修改通过加密连接的敏感数据,这可能会影响数十万受HTTPS保护的网站、邮件服务器和其他广泛使用的互联网服务。
一组安全研究人员发现了一种新的攻击,名为僵局,它允许中间人(MitM)降级用户与网络或电子邮件之间的加密连接服务器使用非常弱的512位密钥,可以轻松解密。
约翰·霍普金斯密码研究员马修·格林随着密歇根大学和法国研究所的安全专家InRIa几个月前发现了堵漏现象,并公布了一份详细的技术报告。
僵局,怪物的表亲
Logjam加密漏洞听起来就像异常脆弱三月初披露。
这个畸形加密降级攻击允许攻击者强制SSL/TLS客户端(包括OpenSSL)削弱web上的密码,以便他们可以轻松解密拦截的HTTPS连接。
Freak是一个实现缺陷,但Logjam是由于传输层安全(transport layer security,TLS)协议本身的基本设计缺陷造成的,这使得所有使用TLS与最终用户建立安全连接的web浏览器和一些邮件服务器都易受攻击。
Logjam可以在支持广泛使用的加密算法(称为"Diffie-Hellman密钥交换,"它允许HTTPS、SSH、SMTPS、IPsec等协议协商密钥并创建安全连接。
担心Logjam漏洞的原因:
- 该漏洞允许攻击者诱使web浏览器相信它使用的是常规密钥,而不是导出密钥版本。
- 许多PC重复使用相同的大量数字来生成密钥,这使得攻击者更容易破解密钥。
- 该漏洞已经存在了20多年,影响了HTTPS、SSH、IPsec、SMTPS和其他依赖TLS的协议。
该漏洞影响任何支持DHE_导出密码的服务器和所有现代浏览器。在排名前100万的网站中,估计有8.4%的网站和相当大比例的邮件服务器容易受到新漏洞的攻击,因为它们支持这些导出密钥。
90年代弱出口级加密
和Freak一样,Logjam是另一个利用美国政府在20世纪90年代对希望其软件产品在国外使用的美国开发者实施的传统加密标准的漏洞。
克林顿政府对该制度进行了标准化,以便联邦调查局(FBI)和其他美国情报机构,如NSA(国家安全局)可以轻松破解外国实体使用的加密。
“为了遵守20世纪90年代美国对加密技术的出口限制,SSL 3.0和TLS 1.0支持强度降低的DHE_出口密码套件,这些套件仅限于长度不超过512位的素数。”读报纸。
让我们重温斯诺登泄密事件:
NSA前雇员泄露的大量NSA机密文件爱德华·斯诺登披露了全球大规模监视计划,包括该机构实施的大规模加密攻击,但文件没有提到它们是如何实现的。
我认为Logjam攻击的披露在一定程度上表明,拥有大量计算能力的NSA如何能够打破使用广泛使用的算法的更强加密。
“仔细阅读已公布的NSA泄密信息表明,该机构对VPN的攻击与实现这种突破是一致的。”纸上写着。
检查现在如果你容易陷入僵局
您可以单击此处检查浏览器是否易受攻击。在撰写本文时,一些主要浏览器仍然容易受到Logjam攻击。然而,谷歌安全团队已经在努力将Chrome中的SSL要求提高到1024位。
如何保护自己?
安全研究人员建议所有服务器管理员禁用对允许降级Diffie-Hellman连接的导出级(DHE_导出)密码套件的支持,并生成一个新的、唯一的2048位Diffie-Hellman组。
发现该漏洞的研究人员还提供了一份详细的指南,提供了安全部署Diffie Hellman for TLS的分步说明,并在他们的网站上提供了该漏洞的更多技术细节。
此外,强烈鼓励用户在到达后立即安装浏览器和电子邮件客户端升级。此外,开发人员应该使用最新的库,并拒绝小于1024位的Diffie-Hellman组。
特别声明:以上内容(图片及文字)均为互联网收集或者用户上传发布,本站仅提供信息存储服务!如有侵权或有涉及法律问题请联系我们。
举报
