每 172 個活動 RSA 證書中就有一個容易受到攻擊
在 RSA 證書中發現了一個漏洞,該漏洞可能會破壞當前正在使用的 172 個證書中的一個。
在星期六於加利福尼亞州洛杉磯舉行的第一屆 IEEE 關於智慧系統和應用程式中的信任,隱私和安全性會議上,Keyfactor 的一組研究人員介紹了他們對數字證書安全性的發現。
RSA 證書是使用加密演算法加密資料並保護從裝置或服務傳送到伺服器的資訊的公鑰證書。 這些系統用於保護網際網路流量和軟體通訊以及物聯網(IoT)和醫療產品以及許多其他裝置生成的資訊。
在週一發表之前與 ZDNet 共享的一篇論文中,“在物聯網時代構建 RSA 金鑰”,研究人員概述瞭如何利用“最少的計算資源”來破壞 RSA 金鑰的安全性。該團隊建立了一個包含 7500 萬個活動 RSA 金鑰的資料庫,之後通過證書透明性日誌提供了 1 億個證書。然後使用演算法和 Microsoft Azure 虛擬機器分析資料集。
Keyfactor 挖掘了 1.75 億個金鑰以識別隨機數生成中的常見因素,發現每 172 個線上活動金鑰中有一個彼此共享一個因素。但是,RSA 的安全性取決於無法確定派生 RSA 公鑰的兩個素數。
研究小組說,發現這些“主要因素”可以用來破壞證書,從而可能冒著使用 RSA 證書的裝置安全性的風險。 發現超過 435,000 個證書具有共享因素,從而使研究人員可以重用私鑰。
Keyfactor 高階整合工程師兼研究員 JD Kilgallin 說:“在現實世界的攻擊場景中,具有重新獲取 SSL/TLS 伺服器證書私鑰的威脅參與者可能會在裝置嘗試連線時冒用該伺服器。……連線的使用者或裝置無法將攻擊者與合法的證書持有者區分開,從而為嚴重的裝置故障或敏感資料洩露開啟了大門。”
相比之下,來自證書透明性(CT)日誌的 1 億個證書中只有五個共享相同的主要因素。
根據該論文,差異是由物聯網和受功率限制的裝置引起的,由於設計限制,它們只能管理較低的熵率。
論文說到:“裝置中需要熵,以防止隨機數的產生是可預測的。……研究人員能夠在消除熵時找到確定性的隨機輸出。輕量級的物聯網裝置特別容易處於低熵狀態,這是因為它們可能會缺少輸入資料,以及合併基於硬體的隨機數的挑戰經濟的一代。”熵狀態可能越高,攻擊者提取私鑰就越困難。如果裝置固有地無法支援高熵狀態,則安全性可能會受到影響。
研究人員說:“這些物聯網裝置的廣泛易感性由於存在於敏感環境中而對公眾構成了潛在的風險。……我們得出的結論是,裝置製造商必須確保其裝置能夠獲得足夠的熵,並遵守密碼學的最佳實踐以保護消費者。”
來源:cnBeta.COM
更多資訊
微軟 Edge 外掛網站上線 beta 版:帶搜尋功能及 162 個擴充套件
據外媒報導,微軟 Edge Insider 外掛網站不再侷限於 Insider,現在,微軟 Edge 外掛網站(Beta 版)正式上線。使用者將可以它的搜尋功能查詢自己想要的擴充套件,新增的 40 個擴充套件使得擴充套件總數超過了 160 個。
來源:cnBeta.COM
詳情連結:https://www.dbsec.cn/blog/article/5571.html
Google 阻止某些 Linux Web 瀏覽器使用其服務
近日,有網友發現自己在使用部分 Linux 瀏覽器(如 Konqueror、Falkon 和 Qutebrowser)登入 Google 賬號時受到了限制,頁面顯示由於安全原因,無法登入。目前尚不清楚谷歌何時開始對這些瀏覽器進行阻止。該網友將這一情況發到了 Reddit 上,有人回覆說自己也遇到了類似問題,但也有人表示 Falkon 瀏覽器仍可正常登入。
來源:開源中國
詳情連結:https://www.dbsec.cn/blog/article/5572.html
亞馬遜加入交換機開源專案:或顛覆博通等晶片製造商
Linux 基金會宣佈,亞馬遜將為一款名為 Dent 的開源軟體做出貢獻,這可能會使為這家網際網路巨頭的實體店提供幫助。Dent 是一種針對交換機開發的作業系統,後者是用於在網路中(通常是公司內部或公司與網際網路之間)路由資料的硬體。傳統上,這一市場一直由大公司主導,例如提供大量底層晶片的博通和銷售成品組裝產品的思科。
來源:新浪科技
詳情連結:https://www.dbsec.cn/blog/article/5573.html
新奧爾良市政廳遭遇網路攻擊 政府宣佈關閉網站
據外媒報導,當地時間週五,美國新奧爾良市官員試圖遏制針對其網路的網路攻擊。據悉,該攻擊導致電腦離線、辦公室關閉、市政府網站關閉。不過該市目前還沒有發現任何密碼被破解或資料在攻擊中丟失的跡象,但大量湧入的電子郵件意味著該市的系統暫時關閉。
來源:cnBeta.COM
詳情連結:https://www.dbsec.cn/blog/article/5574.html
(資訊來源於網路,安華金和蒐集整理)
訂閱“Linux 中國”官方小程式來檢視
相關文章
- 超過1億個物聯網裝置容易受到黑客降級攻擊黑客
- YouGov:72%美國人感到容易受到網路攻擊Go
- Cynerio:醫院中一半的聯網裝置容易受到黑客攻擊黑客
- 美媒:為什麼政府如此容易受到勒索軟體攻擊?
- 11個IT運維領域必考證書,每一個都含金量極高!運維
- 您的Linux伺服器是否容易受到Log4j的攻擊?Linux伺服器
- Ata Hakçıl :每142個洩漏憑證中就有1個使用“123456”作為密碼密碼
- SSL證書是一個域名一個證書嗎?多個域名能用一張SSL證書嗎?
- 研究人員發現:基於文字的AI模型容易受到改述攻擊AI模型
- 停止僥倖心理!中小企業越來越容易受到勒索軟體攻擊
- 谷歌揭露兩個朝鮮黑客組織的網路攻擊活動谷歌黑客
- 46%的本地資料庫容易受到攻擊,預計未來入侵仍會增加資料庫
- 每個網站是否都需要申請SSL證書網站
- Check Point:2021年企業每週受到的網路攻擊增加了50%
- NET Core Kestrel部署HTTPS 一個伺服器綁一個證書 一個伺服器綁多個證書HTTP伺服器
- Counterpoint:每三個消費者中就有一個將換機預算減少兩成以上
- BTG(bitcoin gold)受到51%攻擊,攻擊者利用雙重支付獲利Go
- 網路攻擊中主動攻擊和被動攻擊有什麼區別?
- SSL證書相關技巧–如何訪問一個網站,其證書不在系統證書列表中網站
- 重要揭秘!LAZARUS組織最新活動中的新型攻擊技術
- iOS每個ViewController一個NavigationBariOSViewControllerNavigation
- CC攻擊包括幾個階段?如何防禦CC攻擊?
- SWEED駭客組織攻擊活動分析報告
- 大促活動如何抵禦大流量 DDoS 攻擊?
- 分佈超過800個惡意NPM包 軟體供應鏈攻擊活動增長迅速NPM
- 堅持就有收穫,厲害,贊一個
- mac 上使用OpenSSL 生成RSA證書Mac
- Systemd曝3漏洞,大部分Linux將受到攻擊Linux
- 警惕!Nas裝置正在受到Qlocker勒索軟體攻擊
- 日本內閣府:調查顯示每10個年輕人中就有1個遭遇過痴漢
- js 獲取 table 中的每一個tdJS
- 教你快速擼一個免費HTTPS證書HTTP
- 2019年度盤點 | 這25個密碼最容易被攻擊,快看你中招了嗎?密碼
- 英國航運公司受到網路攻擊,網路攻擊對於企業有多可怕?
- 網路安全中主動攻擊、被動攻擊分別是什麼意思?
- 你的公文還在等簽字?中想雨信給每個部門聘請一個“秘書”
- 受到 1 萬點暴擊,二狗子被 DDoS 攻擊的慘痛經歷
- XSS攻擊有什麼特點?XSS攻擊分為幾個型別?型別