对TLS的攻击显示了弱化加密的陷阱
Opera的新浏览器本地块
土耳其公民被指控掌握5500万美元的ATM欺诈议会认罪
通缉:Windows 10用户加入众群实验来阻止强制更新
金融网络攻击随着恶意货物作家加入而增加
欧盟科技机构呼吁EC保持数字单一市场承诺
云协作提升了Cumbria县议会的灾难反应能力
Playstation vr在10月份超过399美元(+视频)
Sage Data Breach强调内幕威胁
通缉:Windows 10用户加入众群实验来阻止强制更新
土耳其公民被指控掌握5500万美元的ATM欺诈议会认罪
云协作提升了Cumbria县议会的灾难反应能力
欧盟科技机构呼吁EC保持数字单一市场承诺
Amex全球商务旅行池数据湖,以支持责任'
护理慈善性Avante增强了3CX的统一通信功能
对TLS的攻击显示了弱化加密的陷阱
欧盟科技机构呼吁EC保持数字单一市场承诺
报告说,ISP已经建立了巨大的数据系统来跟踪您,以跟踪您
Amex全球商务旅行池数据湖,以支持责任'
对TLS的攻击显示了弱化加密的陷阱
天空受到国家宽带中断
欧盟科技机构呼吁EC保持数字单一市场承诺
Lloyds银行使用虚拟现实来测试研究生课程的申请人
Mingis关于Tech:对于科技领袖,'中断'是当天的话语
新加坡推出部门推动数字公共服务
柴郡议会面临拟议的12年ERP合同投诉
我们认为我们了解Apple的春季集合
Mingis关于Tech:对于科技领袖,'中断'是当天的话语
对TLS的攻击显示了弱化加密的陷阱
在Pwn2own的第一天攻击野生动物园,铬和闪光灯播放器,其中一些两次
微软的新动态ERP套件是Azure
我在Android'n'(到目前为止)的两个最喜欢的功能
Warwickshire和West Mercia警察选择Saab以更新共享控制室
IPT罚款警察苏格兰进行通信违反隐私
5件事使覆盆子pi 3更好
移动和视频为谷歌的母公司字母表还清
Microsoft修补了Windows中的远程代码执行漏洞,即Edge,Office
Apple CEO:FBI希望我们写软件“癌症”
Microsoft修补了Windows中的远程代码执行漏洞,即Edge,Office
Android'n'N'通知的愿望
5件事使覆盆子pi 3更好
专注于多样性,而不是性别,在英国2016年英国最有影响力的女人说
华为起诉三星指控专利违规行为
Microsoft修补了Windows中的远程代码执行漏洞,即Edge,Office
企业敦促不要将安全视为采用互联网的障碍
基于MINECRAFT的Microsoft到开源AI开发平台
从SHA-1证书禁令的Mozilla豁免过时的付款终端
企业敦促不要将安全视为采用互联网的障碍
安全港混淆燃料对欧洲数据中心的需求增加,CBRE声称
美国将在2017年看到一个惊人的太阳日食
您的位置:首页 >论坛 > 研究报告 >

对TLS的攻击显示了弱化加密的陷阱

2021-06-20 16:48:34 [来源]:

在不到一年的第三次,安全研究人员发现了一种攻击加密网络通信的方法,这是美国政府二十年前授权的劣势的直接结果。

这些新的攻击展示了通过引入当今执法机构和情报界正在呼唤的后门或其他访问机制来故意削弱安全协议的危险。

加密领域在20世纪70年代逃离了军事领域,通过像惠特菲尔德德国和马丁哈德曼这样的先锋作品到达了公众,从而从那时起,政府试图将其保守并以某种方式限制其有用性。

在整个20世纪90年代使用的一种方法是通过限制关键长度来强制对使用加密的产品的导出管制,允许国家安全机构轻松解密外国通信。

这将诞生于所谓的“出口级”加密算法,该算法已被整合到加密库中,并幸存到这一天。虽然这些算法不再在实践中使用,但研究人员发现,在TLS(传输层安全性)库和服务器配置中仅支持它们,危及使用现代标准加密的Web通信。

2015年3月,来自巴黎的inria和Mitls项目的一支研究人员团队开发了一个攻击被称为怪物。他们发现,如果服务器愿意协商RSA_EXPORT密码套件,则一个中间攻击者可以欺骗用户的浏览器来使用弱导出键并在该用户和服务器之间解密TLS连接。

5月,另一个研究人员团队宣布了另一次攻击被称为Logjam。虽然类似于概念到攻击,但Logjam针对Diffie-Hellman(DHE)密钥交换而不是支持Dhe_export Cipers的RSA和受影响的服务器。

周二,另一个研究人员团队宣布了第三次袭击。

Dubbed Drown,如果该服务器支持旧的SSL版本2协议或将其私钥与另一个服务器共享其私钥,则可用于解密用户和服务器之间的TLS连接。由于SSLv2协议中的基本弱点也有涉及导出级密码学的基本弱点,因此攻击是可能的。

美国政府在20世纪90年代刻意削弱了三种加密原语 - RSA加密,Diffie-Hellman关键交换和对称密码 - 所有三个都在开发溺水的研究人员稍后将互联网的安全性放在危险之后在解释攻击的网站上。

“今天,一些决策者正在呼吁对加密设计的新限制来防止执法”变黑“,”研究人员说。“虽然我们相信这样的后门的倡导者采取了善意保护他们的国家的善意,但历史的技术课程很清楚:弱化加密对我们所有的安全性造成巨大风险。“

诸如溺水的攻击表明,互联网用户在加密中持续支付的成本,以获得智能机构一个小型,短期优势,Matthew Green,Cryptographer和Johns Hopkins信息安全研究所的助理教授,在博客帖子中写道。“鉴于我们目前正在讨论短期和长期保安的平衡的非常重要的讨论,让我们希望我们赢得同样的错误。”

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如有侵权行为,请第一时间联系我们修改或删除,多谢。