C114门户论坛百科APPEN| 举报 切换到宽版

亚星游戏官网

 找回密码
 注册

只需一步,快速开始

短信验证,便捷登录

搜索

军衔等级:

亚星游戏官网-yaxin222  上等兵

注册:2014-10-28
发表于 2015-3-5 21:41:45 |显示全部楼层
  根据360网络攻防实验室发布的漏洞预警,一个新发现的漏洞出现在一些SSL和TLS实现中——包括Apple Safari以及GOOGLE安卓AOSP(安卓开源项目)浏览器,允许攻击者强制客户使用加密安全性弱的旧版加密算法,黑客可利用漏洞以“中间人攻击”方式截获加密通讯内容。
  
  亚星游戏官网-yaxin222

  利用这些漏洞的攻击被称作FREAK(Factoring RSA Export Keys,分解RSA导出密钥)。该攻击利用了NSA在20世纪90年代早期加密战争期间授权支撑但已被弃用很久的“出口级”加密算法。《华盛顿邮报》报道称,当时NSA试图覆盖可被出口至其他国家的App的加密强度,强制工程师们设计出加密库能够同时接收来自加密性较强的国内客户端以及加密性较弱的国外客户端连接。
  当今的协议使用更长的加密密钥,比如作为加密标准的2048位RSA。512位密钥在20年前属于安全的加密方法,但今天的攻击者可以利用公有云服务破解512位的短密钥。
  360网络攻防实验室安全专家安扬先容说,攻击者在加密连接的建立过程中进行中间人攻击,可以绕过SSL/TLS协议的保护,完成密钥降级。降级后的512位密钥可以被性能强大的电脑破解。
  不过广大网民不必恐慌,“中间人攻击”往往需要在同一个局域网内进行,黑客攻击有一定局限性;而且512位密匙的破解成本高、时间长。即便利用利用AMAZON弹性计算云,仍需要大约7小时,花费100美金才能破解。普通网民一般不会受到此漏洞攻击的影响。
  尽管如此,受到Freak漏洞攻击影响的网站还是应该及时进行安全更新。目前,苹果和GOOGLE也已经计划向iOS/OS X、安卓的用户推送系统补丁,从而彻底消除此漏洞隐患。


举报本楼

您需要登录后才可以回帖 登录 | 注册 |

手机版|C114 ( 沪ICP备12002291号-1 )|联系大家 |网站地图  

GMT+8, 2024-11-17 05:41 , Processed in 0.082657 second(s), 15 queries , Gzip On.

Copyright © 1999-2023 C114 All Rights Reserved

Discuz Licensed

回顶部
XML 地图 | Sitemap 地图