随着网络技术的
快速发展,网络已经成为人们日常生活中的重要组成部分,网上购物、网上炒股、网上缴费都已非常
普遍,而这些页面上的操作都需要输入一些敏感数据,
例如银行账号、交易密码等,所以网络安全已经成为网民最关注的问题。现在的
网上银行以及电子商务网站等大都是采用SSL加密认证的方式,在服务器端采用支持SSL认证的服务器,而终端用户则采用支持SSL认证的浏览器来实现安全通信。然而在去年12月27日至30日在柏林召开的“混沌通信”会议上研究人员宣布:他们通过利用MD5加密算法漏洞攻破了SSL加密技术,成功搭建一个伪造的证书授权中心(CA),其颁发的证书能够被所有要求SSL的网站接受。那么现在的网上交易已经不安全了?
其实事情还没有那么糟,研究人员做的这次攻击为的是使大家明确问题所在,并且研究者们表示,要想复制此破解过程,至少还需要
6个月的时间,因此距离黑客利用此法实现真正攻击还有一些时间。什么是SSLSSL(即Secure Sockets Layer)安全套接层,它是一种国际通用的Web安全标准。SSL技术主要通过对敏感数据加密来
防止各种攻击非法读取重要信息,包括我们经常遇到的如数据劫持和钓鱼攻击等,通过SSL只有授权用户才能读取数据,另外SSL技术还能够保证用户有效访问网站。值得一提的是,SSL技术能够内置于所有操作系统、Web应用程序和服务器硬件,这样通过SSL加密技术可以为用户提供一个强大且安全的网络环境。SSL如何被攻破?在MD5算法中有一个名为MD5“冲突”的漏洞,通过这个漏洞能够让两条不同的信息拥有同样的MD5码。因此理论上可以利用该漏洞攻击数字签名认证系统。通过研究人员的实际操作这一理论最终得到了证实,该漏洞确实可以被用来破解SSL加密,从而对整个互联网的安全构架造成冲击。498)this.width=498;' onmousewheel = 'javascript:return big(this)' border=0 alt="" src="http://new.51cto.com/files/uploadimg/20090409/2205010.jpg" width=500 height=357>PlayStation实验室此次的破解尝试共分为两步,第一步的运算量巨大,需要运用分布式运算完成。而第二步运算量较小,仅需一台顶级四核PC即可。面对艰巨的第一步,研究者们在瑞士洛桑联邦理工大学搭建了一个“PlayStation实验室”,使用200台PS3游戏机,平均分配30GB内存进行运算,在一个周末的时间内,研究者们共进行了三次尝试,制造MD5“冲突”的总运算量为2的51.x次方。最终他们成功伪造了一个证书授权中心,可以随意签发SSL证书,突破各种SSL加密网站。采用新的算法这次的成功破解赢得了业界的赞誉,因为在黑客利用这个漏洞前我们发现了它。VeriSign公司(该公司的RapidSSL认证使用MD5算法)也快速做出反应,并已开始解决证书产品中的这些问题,并承诺任何受到问题证书影响的用户都可以从公司免费获得全新的未受影响的证书。然而就调查机构显示,互联网上所有认证中的14%是采用MD5算法加密,这就说明一旦此攻击技术被黑客们掌握,互联网的安全构架将受到很严重的破坏,为此Verisign公司已经停止在SSL中使用MD5加密算法,将会采用更为成熟的SHA-1算法,这种算法在非MD5的证书中被广泛使用。但SHA-1算法就真的安全吗?据研究显示SHA-1可能同样存在碰撞攻击的漏洞,所以在改进运算法则之前,如果使用速度
更快的PlayStations游戏站来测试的话,SHA-1的崩溃也仅是时间问题。因此,我们需要更加安全的加密算法来取代SHA-1。目前看来,有望取代SHA-1算法的是一种使用变量长度密匙的SHA-2加强版算法,它能衍生出SHA-224,SHA-256,SHA-384和SHA-512等加密算法,对安全性有一定的提高。目前国际技术标准协会(NIST)正在就新的散列函数进行竞争,希望通过SHA-3来制定新一代的标准。另外,不使用MD5函数的扩展验证SSL(EV SSL)为我们带来新的希望,EV SSL证书能够确保网站和消费者浏览器间的安全加密通信,同时能够验证网站的真实性,使所
有的访问者知道他们访问的确实是他们想要访问的网站,而不是黑客网站。目前包括IE7、Firefox3在内的浏览器均已支持EV SSL证书。总结:对于终端用户来说,采用全新加密认证的浏览器要比老旧的版本安全的多,虽然旧的版本也在进行补丁更新,但厂商是不会一直更新下去的;而新的浏览器也会带来全新的功能,比如显示第三方认证等,这些都能提升终端用户的安全性,因此笔者建议大家及时更新浏览器,以免不必要的麻烦。对于安全领域来说,上面介绍的SSL加密算法可以起到提升安全性的作用,然而我们必须看到,没有绝对安全的加密认证,这次SSL认证被攻破已经为我们敲响警钟,出现问题才做补救无异于坐以待毙。在安全领域中我们必须要未雨绸缪,加紧制定全新的安全标准,改进安全构架,因为在安全世界中,看似没有问题,实则隐患重重。【编辑推荐】SSL认证加密被攻破 安全防范需加强 为FTP穿上SSL装甲 客户端也能支持SSL 认证与加密 【责任编辑:建颖 TEL:(010)68476606】 原文:SSL加密认证被攻破 数据安全如何保证 返回网络安全首页
SSL加密认证被攻破 数据安全如何保证
时间: 2024-08-04 13:12:01
SSL加密认证被攻破 数据安全如何保证的相关文章
关于3389远程桌面使用SSL加密登录解决方案
3389远程桌面连接为啥要使用ssl加密? 为了保护敏感数据在传送过程中的安全,全球许多知名企业都采用SSL(Security Socket Layer)加密机制.SSL在浏览器和Web服务器之间构造安全通道来进行数据传输,SSL运行在TCP/IP层之上.应用层之下,为应用程序提供加密数据通道,它采用了RC4.MD5以及RSA等加密算法,使用40 位的密钥,适用于商业信息的加密. 一.服务器远程桌面设置: 默认情况下远程桌面功能是不支持SSL加密认证的,即使我们申请并安装了证书. 第一步:通过任
nginx配置ssl加密(单/双向认证、部分https)
nginx下配置ssl本来是很简单的,无论是去认证中心买SSL安全证书还是自签署证书,但最近公司OA的一个需求,得以有个机会实际折腾一番.一开始采用的是全站加密,所有访问http:80的请求强制转换(rewrite)到https,后来自动化测试结果说响应速度太慢,https比http慢慢30倍,心想怎么可能,鬼知道他们怎么测的.所以就试了一下部分页面https(不能只针对某类动态请求才加密)和双向认证.下面分节介绍. 默认nginx是没有安装ssl模块的,需要编译安装nginx时加入--with
黑客攻破SSL加密 网络安全形势堪忧
本文讲的是黑客攻破SSL加密 网络安全形势堪忧,9月21日消息,据外国媒体报道,研究员发现很多受SSL协议保护的网站都存在严重缺陷,攻击者可利用这些漏洞不知不觉中解密网络服务器和终端用户浏览器之间传输的数据. 这些漏洞存在于1.0版本和较早前TLS或是传输层安全中,它们都是SSL技术之后为互联网提供信用证明的基础.虽然TLS的1.1和1.2版本不容易被感染,但是它们几乎不被浏览器和网站支持,这样Paypal,Gmail等网站的数据传输就变得极为脆弱,容易被黑客利用. 本周即将在布宜诺斯艾利斯举行
nginx环境下配置ssl加密(单双向认证、部分https)_nginx
nginx下配置ssl本来是很简单的,无论是去认证中心买SSL安全证书还是自签署证书,但最近公司OA的一个需求,得以有个机会实际折腾一番.一开始采用的是全站加密,所有访问http:80的请求强制转换(rewrite)到https,后来自动化测试结果说响应速度太慢,https比http慢慢30倍,心想怎么可能,鬼知道他们怎么测的.所以就试了一下部分页面https(不能只针对某类动态请求才加密)和双向认证.下面分节介绍. 默认nginx是没有安装ssl模块的,需要编译安装nginx时加入--with
SSL加密提高FTP服务器安全性
一般的FTP服务器是以明文方式传输数据的,安全性极差,信息很容易被盗,即使它提供了SSL加密功能,默认情况下也可能没有启用,如大家常用的Serv-U FTP服务器(以下简称Serv-U).为了保证特殊环境下的数据安全,有时是有必要启用SSL功能的.下面笔者以Serv-U服务器为例,介绍如何启用SSL加密功能. 创建SSL证书 要想使用Serv-U的SSL功能,当然需要SSL证书的支持才行.虽然Serv-U 在安装之时就已经自动生成了一个SSL证书,但这个默认生成的SSL证书在所有的Serv-U服
Java实现SSL双向认证的方法_java
本文实例讲述了Java实现SSL双向认证的方法.分享给大家供大家参考,具体如下: 我们常见的SSL验证较多的只是验证我们的服务器是否是真实正确的,当然如果你访问的URL压根就错了,那谁也没有办法.这个就是所谓的SSL单向认证. 但是实际中,我们有可能还会验证客户端是否符合要求,也就是给我们每个用户颁发一个证书,比且每个数字证书都是唯一的,不公开的.这样就能通过这个数字证书保证当前访问我服务器的这个用户是经过服务器认可的,其他人不可访问. 双向认证 从第一个层面上 确保了服务器 与客户端 都是互相
Android开发使用Netty的TCP连接中使用SSL加密
1 Introduction 数据安全在网络通信中是非常重要的一个方面.为了支持 SSL/TLS,Java 提供了 javax.net.ssl包下的类SslContext 和 SslEngine .在Netty框架下,I/O数据在ChannelPipeline中被管道中的ChannelHandler处理并转发给下一个ChannelHandler.自然而然地,Netty也提供了ChannelHandler的实现SslHandler来支持SSL, 有一个内部 SslEngine 做实际的工作
利用Fiddler和Wireshark解密SSL加密流量
原文地址:http://kelvinh.github.io/blog/2014/01/12/decrypt-ssl-using-fiddler-and-wireshark/ Fiddler是一个著名的调试代理工具,它不仅能解析HTTP,而且还能解析加密的HTTPS流量.Wireshark则是一个非常强大的网络包监控以及协议分析工具. 在本文中,只考虑使用SSL来加密HTTP,所以并不严格区分SSL和HTTPS,虽然从广义上来讲,将二者混为一谈是非常不合理的 . 看到这里,大多数人都会很困惑:Fi
RDS SQL Server 设置SSL加密连接
RDS 目前包含SQL Server 2008 R2 在数据安全方面,提供文件层面的TDE (Transparent Data Encryption)数据加密和链路通信层面的SSL(Secure Sockets Layer)加密.这里主要介绍RDS SQL Server 2008 R2开通SSL后,客户端的设置方法. 注意事项 SSL在传输层对网络连接进行加密,可以提升数据通信的安全性,但同时对性能也会造成一定影响,参考设置SSL加密. 开通SSL 在设置SSL加密中有详细的开通步骤介绍,为了阅