亚洲日本免费-啊轻点灬太粗太长了三男一女-麻豆av电影在线观看-日韩一级片毛片|www.grbbt.com

SSL新漏洞LogJam 或影響大量服務(wù)器

近日,由密西根大學(xué)、約翰霍普金斯大學(xué)、微軟研究中心及法國(guó)Inria Nancy-Grand Est、 Inria Paris-Rocquencourt等組成的研究團(tuán)隊(duì)發(fā)現(xiàn)一個(gè)SSL加密安全漏洞LogJam,這個(gè)漏洞與FREAK類似,可能影響全球數(shù)百萬臺(tái)服務(wù)器。

LogJam漏洞將影響任何支持DHE_EXPORT密碼的服務(wù)器及所有瀏覽器,包括最新版的IE、Chrome、Firefox、Safari等。估計(jì)全球前100萬域名中有8.4%域名受影響,HTTPS網(wǎng)站也有3.4%會(huì)受到波及。

ssl漏洞

ssl漏洞

和FREAK一樣,LogJam也是利用90年代美國(guó)政府禁止輸出高規(guī)格加密標(biāo)準(zhǔn)管理方法,誘騙服務(wù)器采用較弱、長(zhǎng)度較短的512-bit密鑰。

研究人員指出,LogJam出現(xiàn)在常用的密鑰交換加密演算法中(Diffie-Hellman key exchange),這個(gè)演算法讓HTTPS、SSH、IPSec及SMTPS等網(wǎng)絡(luò)協(xié)定產(chǎn)生共享的加密密鑰,并建立安全連線。LogJam漏洞使黑客得以發(fā)動(dòng)中間人攻擊,讓有漏洞的TLS連線降級(jí)為512-bit出口等級(jí)的密碼交換安全性,再讀取或修改經(jīng)由TLS加密連線傳輸?shù)馁Y料。該漏洞情況與三月爆發(fā)的FREAK頗為類似,差別在于它是基于TLS協(xié)定的漏洞,而非實(shí)際的瑕疵,而且攻擊目的為Diffie-Hellman,不是RSA的密鑰交換。

安全研究人員指出,全球數(shù)百萬臺(tái)HTTPS、SSH、VPN服務(wù)器都以相同的prime number(質(zhì)數(shù))行Diffie-Hellman密鑰交換,過去一般相信只要每次建立連線時(shí)產(chǎn)生新的密鑰交換信息就安全。然而破解Diffie-Hellman連線最有效的手法稱為number field sieve,破解的第一步驟完全取決這個(gè)prime number,一旦通過這一步,攻擊者就能迅速破解入侵。

研究人員在示范中將這項(xiàng)運(yùn)算法用于TLS最常用的512-bit質(zhì)數(shù)中,LogJam攻擊可用以降級(jí)80%支持DHE_EXPORT的TLS服務(wù)器,隨后他們?cè)u(píng)估稱學(xué)院派黑客可以破解768-bit的質(zhì)數(shù),而國(guó)家支持的黑客更可以突破1024-bit的質(zhì)數(shù)。破解網(wǎng)頁服務(wù)器最常用的單一1024-bit質(zhì)數(shù)即可針對(duì)前100萬個(gè)HTTPS域名中18%的域名連線內(nèi)容進(jìn)行被動(dòng)式竊聽(passive eavesdropping)。到第二個(gè)質(zhì)數(shù)則可被動(dòng)式解密(passive decryption)破解66%的VPN服務(wù)器和26%的SSH服務(wù)器的連線加密。研究人員表示,經(jīng)過仔細(xì)研究NSA外泄文件,顯示NSA攻擊VPN連線的手法就和LogJam很近似。

安全人員呼吁,網(wǎng)頁與郵件服務(wù)器系統(tǒng)管理員應(yīng)立即關(guān)閉對(duì)出口演算法套件的支持,并建立獨(dú)一無二的2048-bit Diffie-Hellman群組。使用SSH的服務(wù)器及用戶端軟件應(yīng)升級(jí)到采用Elliptic-Curve Diffie-Hellman密鑰交換的最新版本OpenSSH。一般消費(fèi)者也應(yīng)確保使用最新版本的瀏覽器。微軟IE已在上周修補(bǔ)包括Windows Server 2003以上,以及Windows 7、Windows 8/8.1中的此一漏洞。Firefox,Chrome和Safari也很快會(huì)有修補(bǔ)程序發(fā)布。

理論上任何使用Diffie-Hellman密鑰交換的協(xié)定都有遭遇LogJam攻擊的危險(xiǎn),但是攻擊者必需具備兩大條件才有能力攻擊,一是具有破解服務(wù)器以及用戶端連線流量的能力,其次是有足夠的運(yùn)算資源。而研究團(tuán)隊(duì)估算的全球一百大域名的8.4%網(wǎng)站有漏洞來看,這個(gè)數(shù)字很類似POP3S和IMAPS(安全電子郵件)服務(wù)器比較危險(xiǎn)。

對(duì)于一般使用者來說,只要保持瀏覽器的更新狀態(tài)即可。對(duì)軟件開發(fā)者來說,只要確保應(yīng)用程序內(nèi)捆綁的函數(shù)庫(kù)為最新版本即可。此外,也可以特別為密鑰交換設(shè)定使用更大的質(zhì)數(shù)。對(duì)系統(tǒng)受到影響的IT管理員來說,建議首先關(guān)閉對(duì)于所有出口密碼套件的支持,以確保這些密碼套件無法使用;其次將Diffie-Hellman密鑰交換所使用的質(zhì)數(shù)提高到2048 bits,以提高破解所需的運(yùn)算資源門檻。

上一篇:斯諾登稱美國(guó)用惡意軟件感染用戶手機(jī)獲取信息

下一篇:美政府機(jī)構(gòu)提議將網(wǎng)絡(luò)安全工具列入法律保護(hù)傘之下