对TLS的攻击显示了弱化加密的陷阱
Silverstone电路飞行员在2016英国MotoGP智能运输服务
英特尔将5G网络视为销售更多服务器芯片的机会
Sage Data Breach强调内幕威胁
土耳其公民被指控掌握5500万美元的ATM欺诈议会认罪
另一位高级领导人将GDS作为数据总监保罗Maltby去
WD-SanDisk合并现在是一项完成的交易
Tor项目表示它可以快速捕捉间谍代码
Tor项目表示它可以快速捕捉间谍代码
另一位高级领导人将GDS作为数据总监保罗Maltby去
Playstation vr在10月份超过399美元(+视频)
企业和GDPR推动消费者身份项目
Google警告Android缺陷用于获得对设备的root访问权限
Tor项目表示它可以快速捕捉间谍代码
Gmail Android应用程序让用户注册会议
云协作提升了Cumbria县议会的灾难反应能力
Sage Data Breach强调内幕威胁
Gmail Android应用程序让用户注册会议
报告说,ISP已经建立了巨大的数据系统来跟踪您,以跟踪您
Playstation vr在10月份超过399美元(+视频)
Google与Duo接受FaceTime和Skype
联邦调查局主任表示,Apple加密裁决可能导致更多的请求
攻击活动使用Keylogger来劫持钥匙商业电子邮件帐户
Sage Data Breach强调内幕威胁
Google与Duo接受FaceTime和Skype
观看Dji寄生虫比赛jaguar xj
联邦调查局主任表示,Apple加密裁决可能导致更多的请求
Lloyds银行使用虚拟现实来测试研究生课程的申请人
沃达丰以结束宽带固定电话租赁费用
专注于多样性,而不是性别,在英国2016年英国最有影响力的女人说
FCC提出了生命线更新,包括经济实惠的宽带,帮助关闭数字鸿沟
Android'n'N'通知的愿望
Stockport委员会Ditches HDS San for Nutanix超级融合
Warwickshire和West Mercia警察选择Saab以更新共享控制室
FCC提出了生命线更新,包括经济实惠的宽带,帮助关闭数字鸿沟
专注于多样性,而不是性别,在英国2016年英国最有影响力的女人说
大多数欧洲公司为内幕安全违规者提供了豁免
Stockport委员会Ditches HDS San for Nutanix超级融合
15美元的Pine 64,一个覆盆子PI 3竞争对手,最后船只
华为起诉三星指控专利违规行为
为什么公共云将彻底改变政府
科技产业欢迎微软胜利在数据访问案件中
安全港混淆燃料对欧洲数据中心的需求增加,CBRE声称
在谷歌的俄罗斯俄勒冈数据中心巡回巡回赛
基于MINECRAFT的Microsoft到开源AI开发平台
合作对于分散“深入”性别职业刻板印象是必不可少的
Eric Sc​​hmidt对机器学习感到巨大的未来
更加注重英国科技人才面对Brexit的必要条件
专注于多样性,而不是性别,在英国2016年英国最有影响力的女人说
安全港混淆燃料对欧洲数据中心的需求增加,CBRE声称
您的位置:首页 >产品 > 商业评论 >

对TLS的攻击显示了弱化加密的陷阱

2021-06-20 15:47:33 [来源]:

在不到一年的第三次,安全研究人员发现了一种攻击加密网络通信的方法,这是美国政府二十年前授权的劣势的直接结果。

这些新的攻击展示了通过引入当今执法机构和情报界正在呼唤的后门或其他访问机制来故意削弱安全协议的危险。

加密领域在20世纪70年代逃离了军事领域,通过像惠特菲尔德德国和马丁哈德曼这样的先锋作品到达了公众,从而从那时起,政府试图将其保守并以某种方式限制其有用性。

在整个20世纪90年代使用的一种方法是通过限制关键长度来强制对使用加密的产品的导出管制,允许国家安全机构轻松解密外国通信。

这将诞生于所谓的“出口级”加密算法,该算法已被整合到加密库中,并幸存到这一天。虽然这些算法不再在实践中使用,但研究人员发现,在TLS(传输层安全性)库和服务器配置中仅支持它们,危及使用现代标准加密的Web通信。

2015年3月,来自巴黎的inria和Mitls项目的一支研究人员团队开发了一个攻击被称为怪物。他们发现,如果服务器愿意协商RSA_EXPORT密码套件,则一个中间攻击者可以欺骗用户的浏览器来使用弱导出键并在该用户和服务器之间解密TLS连接。

5月,另一个研究人员团队宣布了另一次攻击被称为Logjam。虽然类似于概念到攻击,但Logjam针对Diffie-Hellman(DHE)密钥交换而不是支持Dhe_export Cipers的RSA和受影响的服务器。

周二,另一个研究人员团队宣布了第三次袭击。

Dubbed Drown,如果该服务器支持旧的SSL版本2协议或将其私钥与另一个服务器共享其私钥,则可用于解密用户和服务器之间的TLS连接。由于SSLv2协议中的基本弱点也有涉及导出级密码学的基本弱点,因此攻击是可能的。

美国政府在20世纪90年代刻意削弱了三种加密原语 - RSA加密,Diffie-Hellman关键交换和对称密码 - 所有三个都在开发溺水的研究人员稍后将互联网的安全性放在危险之后在解释攻击的网站上。

“今天,一些决策者正在呼吁对加密设计的新限制来防止执法”变黑“,”研究人员说。“虽然我们相信这样的后门的倡导者采取了善意保护他们的国家的善意,但历史的技术课程很清楚:弱化加密对我们所有的安全性造成巨大风险。“

诸如溺水的攻击表明,互联网用户在加密中持续支付的成本,以获得智能机构一个小型,短期优势,Matthew Green,Cryptographer和Johns Hopkins信息安全研究所的助理教授,在博客帖子中写道。“鉴于我们目前正在讨论短期和长期保安的平衡的非常重要的讨论,让我们希望我们赢得同样的错误。”

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如有侵权行为,请第一时间联系我们修改或删除,多谢。