对TLS的攻击显示了弱化加密的陷阱
Google警告Android缺陷用于获得对设备的root访问权限
通缉:Windows 10用户加入众群实验来阻止强制更新
技术技能需求在IT部门外加速
另一位高级领导人将GDS作为数据总监保罗Maltby去
天空受到国家宽带中断
Gartner说,2016年全球Infosec支出达到630亿英镑
Playstation vr在10月份超过399美元(+视频)
这里放弃了窗户;将在两周内猛拉地图,过境和媒体应用程序
Google警告Android缺陷用于获得对设备的root访问权限
护理慈善性Avante增强了3CX的统一通信功能
另一位高级领导人将GDS作为数据总监保罗Maltby去
观看Dji寄生虫比赛jaguar xj
英特尔获取AI公司Nervana Systems
我们认为我们了解Apple的春季集合
在Pwn2own的第一天攻击野生动物园,铬和闪光灯播放器,其中一些两次
谷歌:自动汽车相对即将到来'
欧盟科技机构呼吁EC保持数字单一市场承诺
Gmail Android应用程序让用户注册会议
英特尔获取AI公司Nervana Systems
哎呀!Kanye West Tweet揭示了他可能会盗版软件,也偷走音乐
大多数欧洲公司为内幕安全违规者提供了豁免
15美元的Pine 64,一个覆盆子PI 3竞争对手,最后船只
四分之三英国警务网站缺乏安全加密
菲律宾政府数据泄露是东盟地区的警告
华为起诉三星指控专利违规行为
宽带认证吸引了商业租户到旧街道办公室
HPE为时尚,健身和博彩业务提供新的商业模式
基于MINECRAFT的Microsoft到开源AI开发平台
美国在爱尔兰法院担任棱镜的批评者
美国将在2017年看到一个惊人的太阳日食
菲律宾政府数据泄露是东盟地区的警告
Standard Chartered将全球交付网络带到下一级别
合作对于分散“深入”性别职业刻板印象是必不可少的
美国将在2017年看到一个惊人的太阳日食
专注于多样性,而不是性别,在英国2016年英国最有影响力的女人说
专注于多样性,而不是性别,在英国2016年英国最有影响力的女人说
科技产业欢迎微软胜利在数据访问案件中
议员呼吁政府解决数字经济的Brexit风险
Twitter看起来歪在工人埃及德的'猛击'
查看世界上第一个3000岁中国甲骨文骨骼的3D印刷品
雅虎与Verizon确认了近5亿美元
准备修补Windows和Samba文件共享中的临界缺陷
企业敦促不要将安全视为采用互联网的障碍
从SHA-1证书禁令的Mozilla豁免过时的付款终端
Bet365投注简单性超融合用于测试和开发
更加注重英国科技人才面对Brexit的必要条件
Amazon Echo可以为特定命令,使用此免费工具进行自定义
CSC和惠普的服务部门合并,联合销售量每年可达到260亿美元
IT优先事项2016:云计划驱动它的支出
您的位置:首页 >科技 > 技术前沿 >

对TLS的攻击显示了弱化加密的陷阱

2021-06-20 13:51:34 [来源]:

在不到一年的第三次,安全研究人员发现了一种攻击加密网络通信的方法,这是美国政府二十年前授权的劣势的直接结果。

这些新的攻击展示了通过引入当今执法机构和情报界正在呼唤的后门或其他访问机制来故意削弱安全协议的危险。

加密领域在20世纪70年代逃离了军事领域,通过像惠特菲尔德德国和马丁哈德曼这样的先锋作品到达了公众,从而从那时起,政府试图将其保守并以某种方式限制其有用性。

在整个20世纪90年代使用的一种方法是通过限制关键长度来强制对使用加密的产品的导出管制,允许国家安全机构轻松解密外国通信。

这将诞生于所谓的“出口级”加密算法,该算法已被整合到加密库中,并幸存到这一天。虽然这些算法不再在实践中使用,但研究人员发现,在TLS(传输层安全性)库和服务器配置中仅支持它们,危及使用现代标准加密的Web通信。

2015年3月,来自巴黎的inria和Mitls项目的一支研究人员团队开发了一个攻击被称为怪物。他们发现,如果服务器愿意协商RSA_EXPORT密码套件,则一个中间攻击者可以欺骗用户的浏览器来使用弱导出键并在该用户和服务器之间解密TLS连接。

5月,另一个研究人员团队宣布了另一次攻击被称为Logjam。虽然类似于概念到攻击,但Logjam针对Diffie-Hellman(DHE)密钥交换而不是支持Dhe_export Cipers的RSA和受影响的服务器。

周二,另一个研究人员团队宣布了第三次袭击。

Dubbed Drown,如果该服务器支持旧的SSL版本2协议或将其私钥与另一个服务器共享其私钥,则可用于解密用户和服务器之间的TLS连接。由于SSLv2协议中的基本弱点也有涉及导出级密码学的基本弱点,因此攻击是可能的。

美国政府在20世纪90年代刻意削弱了三种加密原语 - RSA加密,Diffie-Hellman关键交换和对称密码 - 所有三个都在开发溺水的研究人员稍后将互联网的安全性放在危险之后在解释攻击的网站上。

“今天,一些决策者正在呼吁对加密设计的新限制来防止执法”变黑“,”研究人员说。“虽然我们相信这样的后门的倡导者采取了善意保护他们的国家的善意,但历史的技术课程很清楚:弱化加密对我们所有的安全性造成巨大风险。“

诸如溺水的攻击表明,互联网用户在加密中持续支付的成本,以获得智能机构一个小型,短期优势,Matthew Green,Cryptographer和Johns Hopkins信息安全研究所的助理教授,在博客帖子中写道。“鉴于我们目前正在讨论短期和长期保安的平衡的非常重要的讨论,让我们希望我们赢得同样的错误。”

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如有侵权行为,请第一时间联系我们修改或删除,多谢。