快讯 | TLS 1.3遇上麻烦了
【大咖・来了 第7期】10月24日晚8点观看《智能导购对话机器人实践》
近期,研究人员发现了一种新型的Bleichenbacher攻击变种,而这种新型的加密攻击可以破坏加密的TLS流量。
TLS 1.3遇上麻烦了
研究人员表示,这种技术能够破解已加密的TLS流量,并允许黑客拦截和窃取我们均认为是非常安全的那些网络通信数据。这种新型的降级技术主要针对的是新版本的TLS协议,即TLS v1.3。
实际上,这种加密破解技术并不是才出现的,因为此前曾有过一个原始版本,即Bleichenbacher攻击。这种技术是由瑞士密码学家Daniel Bleichenbacher命名的,并在1998年成功地对一个使用了RSA加密算法的系统进行了演示。多年以后,研究人员基于原始的Bleichenbacher攻击开发出了现在这个新型的Bleichenbacher变种技术。实际上,研究人员在每一年都会对这种技术进行升级,比如说2003, 2012, 2012, 2014, 2014, 2014, 2015, 2016 (DROWN), 2017 (ROBOT), 以及2018。
研究人员之所以要设计出这些变种版本,主要是因为TLS加密协议的开发人员想要通过增加一定的安全保护措施来提升RSA解密密钥的猜测难度,而并没有打算替换掉不安全的RSA算法。
这些应对措施在TLS标准(RFC 5246)的第7.4.7.1章节中有明确定义,但是多年以来,很多硬件和软件供应商并没有遵守标准文档中定义的实践规范。正是因为供应商在产品实践过程中的这些失败,导致了目前许多支持TLS的服务器、路由器、防火墙和编码库仍然无法抵御Bleichenbacher。
研究人员在其发布的技术白皮书中对新的Bleichenbacher变种进行了详细的介绍,感兴趣的同学可以点击阅读以了解详情:【传送门】。
这群来自全球各地的七名研究人员还发现了一种破解RSA PKCS#1 v1.5的新方法,而这种加密算法是目前最常见的RSA配置(用于实现TLS连接加密)。除了TLS之外,新型的Bleichenbacher还可以对Google新的QUIC加密协议进行攻击。
研究人员表示:“我们对九种不同的TLS实现进行了测试,其中的七种被发现存在安全问题,其中包括 OpenSSL, Amazon s2n, MbedTLS, Apple CoreTLS, Mozilla NSS, WolfSSL和GnuTLS。”
如需了解更多详细信息,请搜索下列CVE漏洞识别符:CVE-2018-12404, CVE-2018-19608,CVE-2018-16868, CVE-2018-16869和CVE-2018-16870。
低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。
持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。
转载内容版权归作者及来源网站所有,本站原创内容转载请注明来源。
- 上一篇
威胁在外,压力在内 | CISO职场生存现状
【大咖・来了 第7期】10月24日晚8点观看《智能导购对话机器人实践》 随着国际上对于网络安全的重视程度逐渐增加,CIO逐渐受到众多企业的接受与认可。但是,他们虽然顶着“C”的头衔,但在决策权上可能处于弱势,且需要同时应对来自外部的安全威胁以及来自内部不同层面的压力。这个职位问世多年以来,CISO的职场生存现状如何?2019年他们最关注什么又最担忧什么?他们将如何自我突破与成长?一些调查报告也许可以给出参考答案。 一、 CISO的困境 确切来说,除了踏实的专业基础与实践外,CISO的工作主要是与人打交道,向领导汇报工作、争取预算与资源;向下属下达意见、统筹指挥;应对威胁背后的黑客……这意味着,他们不仅技术能力要过关,还要会处理复杂的业务与人际关系。可以说,现代的CISO就像外交官一样,他们的斡旋与决策决定着整个团队或企业的安全防御水平。而随着网络威胁不断增加、网络安全问题真正影响到企业业务,CISO面临的压力也逐渐增大。 1. 安全事件难以避免又无法预见,确保安全需要平衡多方资源 大部分CISO表示他们没有足够的资源来防范威胁、保护企业安全,其中最短缺的是人才。人手不足会导致安全效率降...
- 下一篇
2019年最近发现的网络安全事件
【大咖・来了 第7期】10月24日晚8点观看《智能导购对话机器人实践》 本篇文章我们来回顾一下 2019年初发生的一些灾难性的泄露等案例,从中吸取经验教训: 1. 澳大利亚维多利亚州政府3万名雇员个人信息外泄 据ABC 1月1日报道,不知名政党下载了部分维多利亚州政府名录后,3万名维多利亚州公务员工作详情数据遭窃。这个给政府员工使用的名录包含工作电邮、职称以及工作电话号码。 受此次数据泄露事件影响的员工通过邮件被告知,在通讯录上的员工的电话号码可能也已外泄。 工作人员被告知称,此次数据泄露事件并未影响银行及财务信息。总理府表示已将该泄露事件移交警方、澳大利亚网络安全中心和维多利亚州信息专员办公室调查。 该部门的发言人声明道,“为防止再次发生此类数据泄露事件,政府将妥善处理所有调查所得。” 2. 万豪酒店5亿客户数据泄漏 酒店连锁巨头喜达屋母公司万豪国际酒店表示,经过取证和分析团队缜密调查后发现,因其大数据泄露事件影响到的客户数量从5亿减少到了3.83亿,其中有超过500万个未加密的护照号码和大约860万个加密信用卡号码被盗 。尽管万豪新披露的这些数据较之前有所降低,但该事件仍是十分重大...
相关文章
文章评论
共有0条评论来说两句吧...
文章二维码
点击排行
推荐阅读
最新文章
- CentOS8安装MyCat,轻松搞定数据库的读写分离、垂直分库、水平分库
- Eclipse初始化配置,告别卡顿、闪退、编译时间过长
- Docker使用Oracle官方镜像安装(12C,18C,19C)
- CentOS7设置SWAP分区,小内存服务器的救世主
- SpringBoot2更换Tomcat为Jetty,小型站点的福音
- SpringBoot2整合Thymeleaf,官方推荐html解决方案
- CentOS7编译安装Cmake3.16.3,解决mysql等软件编译问题
- MySQL8.0.19开启GTID主从同步CentOS8
- SpringBoot2整合Redis,开启缓存,提高访问速度
- Linux系统CentOS6、CentOS7手动修改IP地址