淹没攻击下沉SSL安全性
RSAC16:微软首席法律官员Brad Smith Champions加密
Apple面临超过Wi-Fi协助数据费用的500万美元的诉讼
事情的互联网能源公司的聪明的机会
像企业一样对待内部的利弊
高尔夫齿轮制造商用全闪光Xtremio替换EMC VMAX
Chiltern铁路测试增强的轨道航线Wi-Fi
OFCOM数据泄露突出了内幕威胁
马来西亚的Ambank集团增加了数字银行业
Talktalk警告客户有关个人数据泄露
本办公室说,蓝光服务应分享控制室及其股票房
执法裂缝在Droidjack Android Snooping恶意软件用户身上裂缝
PAC呼吁HMRC改善数字和客户服务
CCS为技术产品和服务框架投标,价值高达4亿英镑
CERN使用AppDynamics来提高应用程序性能
创新惯性威胁的技术投资
执行面试:Oracle的云首席为什么套房获胜
BT将软件定义的WAN添加到企业服务提供
消费者占用Gigaclear光纤宽带超过BDUK率
欧洲四分之一是活跃的移动银行用户
行业专家说,管理业务利益的网络风险
应用程序安全是2016年的主要优先级,惠普企业研究
英格兰银行Cio John Finch留下了汤姆森路透社的新角色
一半的IT专业人士与企业修补斗争
万事达卡使用人工智能来帮助英国销售团队
希尔顿连锁酒店提供IBM Watson的机器人礼宾
将数据转化为澳大利亚的数据科学家仍然棘手
RSAC16:英特尔安全集团负责人表示,安全行业需要做更多更多
东盟PC销售额在2015年第四季度下降5.5%
思科看到大型网络交易放缓作为股市摆动的股票市场
NHS英格兰推出创新'测试床'
英国物联网研究中心与学术界的支持
在项目延误后,遇见警察被迫坚持老化指挥和控制系统
欧盟委员会提出了数字内容和在线销售规则
Gigaclear获得欧洲资助推动以进一步扩展
SensePost说,安全部队推动了黑客攻击的疯狂
德国和荷兰软件技能短缺的担忧
仔细看看米尔顿凯恩斯智能城市项目
游戏开发人员在2016年需求
戴姆勒在梅赛德斯 - 奔驰系列中嵌入安全的SIM卡
案例分析:Tideway使用私有云来管理伦敦的超级下水道'基础设施
Equinix在Slough Datacentre中推出AWS Direct Connect
451研究突出了采用多元提供商云的成本效益
城市大学伦敦虚拟电话和联络中心系统
国家推出普遍信用数字服务于2016年5月开始
家庭零售集团销售家庭场所,专注于数字argos
HMRC创建13个区域中心,以支持数字服务
Airwave在法庭上打击家庭办公室兑换ESN奖
RAC向IT外包交易后向Microsoft Azure注册
案例分析:南泰文德NHS基金会在移动工作中大推动的信任
您的位置:首页 >论坛 > 电子商务 >

淹没攻击下沉SSL安全性

2021-06-07 19:15:10 [来源]:

来自以色列,德国和美国的安全研究人员发表了一篇文章,描述了SSLv2的关键互联网协议如何破坏,离开数百万个网站攻击。

称为淹死的跨协议攻击,对TLS进行实时攻击,用于Internet上的安全性的主要协议之一。

根据研究人员,攻击可以在商品硬件上的单一核心上完成,在不到一分钟内,没有GPU或分布式计算,并且主要通过服务器可以完成握手的速度有限。

它足以在握手超时之前对现场TLS会话进行中间人攻击,甚至允许攻击者将连接到更喜欢非RSA密码套件的服务器,并将现代TLS客户端降级为RSA密钥交换研究人员说。

根据研究人员,多达三分之一的HTTPS服务器容易受到攻击的影响。

他们警告说,使用SSLv2不仅弱,而且对TLS生态系统有害。

为了解密一个TLS会话,攻击者需要使用RSA密钥交换,通过RSA密钥交换来捕获大约1,000个TLS会话,其中通过使用预期收件人的公钥加密密钥来安全地在线交换密钥。

研究人员使用RSA密钥交换,使40,000个SSLv2连接到受害者服务器并执行250个对称加密操作。

“我们通过大量优化的GPU实现成功地进行了此次攻击,并且能够在GPU集群上不到18小时的时间内解密2048位RSA密文,使用亚马逊EC2服务不到8小时,”他们说。

研究人员表示,攻击者将被动地了解了客户端和服务器之间的流量并记录基于RSA的TLS流量,并且可以预期解密1,000个截取的TLS连接中的一个。

“这是许多情景中的毁灭性威胁,”他们说。“解密的TLS连接可能会揭示客户端的HTTP cookie或明文密码,并且攻击者只需要成功解密单个密文来泄压客户的帐户。”

研究人员表示,收集许多连接可能涉及拦截流量长期或欺骗用户访问一个网站,这是一个网站,该网站在研究人员表示。

他们推荐服务器管理员检查他们的私钥是否不使用允许SSLv2连接的服务器软件任何地方使用。这包括Web服务器,SMTP服务器,IMAP和POP服务器以及支持SSL / TLS的任何其他软件。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如有侵权行为,请第一时间联系我们修改或删除,多谢。