本文讲的是 关于“堵塞”你需要知道的三件事,近两天“堵塞”(Logjam)漏洞的信息已在业内传播开来,但漏洞发现人员撰写的技术报告非常学术难懂,对于业内非专业技术人员来说,想了解这个漏洞只需明白以下三个问题即可:
一、什么是迪菲-赫尔曼(Diffie-Hellman)?
DH是一种密钥交换协议,用来在通信双方建立会话密钥。像HTTPS、SSH、IPsec、SMTP以及基于TLS的安全连接协议都可以使用DH会话密钥来安全传输数据。
比较普遍的DH应用的例子:网上银行交易、电子邮件收发和VPN连接等。
二、研究人员发现了什么?
许多使用DH的网站服务器使用脆弱的加密参数。依据“堵塞”的技术分析报告,攻击者可以通过这个漏洞读取或更改网站的“安全”连接数据。世界排名前100万的网站约有8.4%受此漏洞影响。
我们发现了一种针对TLS连接的新型攻击,可通过发动中间人攻击把连接降至“出口级”(export-grade)加密。该漏洞与“疯怪”类似,适用于使用DH加密的环境,属于TLS协议的漏洞而不是实现型漏洞。
当大部分研究员都在分析512位的密钥是否能被破解时,漏洞发现人员推测国家级的黑客已经能够破解1024位,比如美国国家安全局。
三、怎么破?
目前所有主流浏览器厂商,包括Chrome、火狐、Safari和IE,都在忙活着做补丁,可能今天就会发布。因此建议用户关注浏览器更新,更新之后至少可以把密钥提升到国家级黑客的水准--1024。
对安全非常敏感的用户,建议使用虚拟机并避免在网站表单中输入敏感信息。
对于使用DH密钥的网站服务器来说,把DH密钥长度尽量加大,比如2048位。估计破解这个长度,需要银河系级的黑客了。
时间: 2024-11-25 07:28:49