每 172 個活動 RSA 證書中就有一個容易受到攻擊

安华金和發表於2019-12-16

在 RSA 證書中發現了一個漏洞,該漏洞可能會破壞當前正在使用的 172 個證書中的一個。 

在星期六於加利福尼亞州洛杉磯舉行的第一屆 IEEE 關於智慧系統和應用程式中的信任,隱私和安全性會議上,Keyfactor 的一組研究人員介紹了他們對數字證書安全性的發現。 

RSA 證書是使用加密演算法加密資料並保護從裝置或服務傳送到伺服器的資訊的公鑰證書。 這些系統用於保護網際網路流量和軟體通訊以及物聯網(IoT)和醫療產品以及許多其他裝置生成的資訊。

在週一發表之前與 ZDNet 共享的一篇論文中,“在物聯網時代構建 RSA 金鑰”,研究人員概述瞭如何利用“最少的計算資源”來破壞 RSA 金鑰的安全性。該團隊建立了一個包含 7500 萬個活動 RSA 金鑰的資料庫,之後通過證書透明性日誌提供了 1 億個證書。然後使用演算法和 Microsoft Azure 虛擬機器分析資料集。

Keyfactor 挖掘了 1.75 億個金鑰以識別隨機數生成中的常見因素,發現每 172 個線上活動金鑰中有一個彼此共享一個因素。但是,RSA 的安全性取決於無法確定派生 RSA 公鑰的兩個素數。

研究小組說,發現這些“主要因素”可以用來破壞證書,從而可能冒著使用 RSA 證書的裝置安全性的風險。 發現超過 435,000 個證書具有共享因素,從而使研究人員可以重用私鑰。

Keyfactor 高階整合工程師兼研究員 JD Kilgallin 說:“在現實世界的攻擊場景中,具有重新獲取 SSL/TLS 伺服器證書私鑰的威脅參與者可能會在裝置嘗試連線時冒用該伺服器。……連線的使用者或裝置無法將攻擊者與合法的證書持有者區分開,從而為嚴重的裝置故障或敏感資料洩露開啟了大門。”

相比之下,來自證書透明性(CT)日誌的 1 億個證書中只有五個共享相同的主要因素。

根據該論文,差異是由物聯網和受功率限制的裝置引起的,由於設計限制,它們只能管理較低的熵率。 

論文說到:“裝置中需要熵,以防止隨機數的產生是可預測的。……研究人員能夠在消除熵時找到確定性的隨機輸出。輕量級的物聯網裝置特別容易處於低熵狀態,這是因為它們可能會缺少輸入資料,以及合併基於硬體的隨機數的挑戰經濟的一代。”熵狀態可能越高,攻擊者提取私鑰就越困難。如果裝置固有地無法支援高熵狀態,則安全性可能會受到影響。

研究人員說:“這些物聯網裝置的廣泛易感性由於存在於敏感環境中而對公眾構成了潛在的風險。……我們得出的結論是,裝置製造商必須確保其裝置能夠獲得足夠的熵,並遵守密碼學的最佳實踐以保護消費者。”

來源:cnBeta.COM

更多資訊

微軟 Edge 外掛網站上線 beta 版:帶搜尋功能及 162 個擴充套件

據外媒報導,微軟 Edge Insider 外掛網站不再侷限於 Insider,現在,微軟 Edge 外掛網站(Beta 版)正式上線。使用者將可以它的搜尋功能查詢自己想要的擴充套件,新增的 40 個擴充套件使得擴充套件總數超過了 160 個。

來源:cnBeta.COM
詳情連結:https://www.dbsec.cn/blog/article/5571.html 

Google 阻止某些 Linux Web 瀏覽器使用其服務

近日,有網友發現自己在使用部分 Linux 瀏覽器(如 Konqueror、Falkon 和 Qutebrowser)登入 Google 賬號時受到了限制,頁面顯示由於安全原因,無法登入。目前尚不清楚谷歌何時開始對這些瀏覽器進行阻止。該網友將這一情況發到了 Reddit 上,有人回覆說自己也遇到了類似問題,但也有人表示 Falkon 瀏覽器仍可正常登入。

來源:開源中國
詳情連結:https://www.dbsec.cn/blog/article/5572.html 

亞馬遜加入交換機開源專案:或顛覆博通等晶片製造商

Linux 基金會宣佈,亞馬遜將為一款名為 Dent 的開源軟體做出貢獻,這可能會使為這家網際網路巨頭的實體店提供幫助。Dent 是一種針對交換機開發的作業系統,後者是用於在網路中(通常是公司內部或公司與網際網路之間)路由資料的硬體。傳統上,這一市場一直由大公司主導,例如提供大量底層晶片的博通和銷售成品組裝產品的思科。

來源:新浪科技
詳情連結:https://www.dbsec.cn/blog/article/5573.html 

新奧爾良市政廳遭遇網路攻擊 政府宣佈關閉網站

據外媒報導,當地時間週五,美國新奧爾良市官員試圖遏制針對其網路的網路攻擊。據悉,該攻擊導致電腦離線、辦公室關閉、市政府網站關閉。不過該市目前還沒有發現任何密碼被破解或資料在攻擊中丟失的跡象,但大量湧入的電子郵件意味著該市的系統暫時關閉。

來源:cnBeta.COM
詳情連結:https://www.dbsec.cn/blog/article/5574.html 

(資訊來源於網路,安華金和蒐集整理)

每 172 個活動 RSA 證書中就有一個容易受到攻擊

訂閱“Linux 中國”官方小程式來檢視

相關文章