解讀《關於OPENSSL加密元件存在重大安全隱患的預警通報》

wuzhengxiansheng發表於2019-12-31

  2019年11月30日,首都網警釋出《關於OPENSSL 加密元件存在重大安全隱患的預警通報》,內容如下:

  據國家網路與資訊保安資訊通報中心監測發現,網際網路SSL協議實現元件OPENSSL部分版本存在重大安全隱患,可能導致資訊洩露等風險。SSL(Secure Socket Layer)協議是一種為網路通訊提供安全以及資料完整性的安全協議,該協議在傳輸層對網路進行加密。OPENSSL是實現SSL協議的一款開源軟體,其提供了多種密碼演算法、常用金鑰以及數字證書封裝管理等功能。

  一、基本情況

  此次事件發現:一是眾多RSA數字證書金鑰存在被破解的可能性,二是部分低版本的OPENSSL元件存在記憶體洩露漏洞。

  二、影響範圍

  以上問題涉及電信、金融、能源、醫療等多個重要行業部門,以及部分高校、企業郵件系統和多款網路裝置。在通訊資料被截獲的情況下,攻擊者可利用上述漏洞獲取使用者賬號口令、業務系統資料、郵件內容等敏感資訊。

  針對首都網警的網路安全預警通報,安信證書進行了深入的分析和解讀:

  1.RSA是SSL數字證書使用的一種公鑰密碼加密演算法,其金鑰長度決定了被加密的資訊的安全性。金鑰長度越長,安全性就越高,被破解的可能性就越低。然而隨著計算機技術的發展,以前被認為是安全的密碼會被破解,這種情況稱為密碼劣化。根據美國國家標準與技術研究院NIST的預測,1024位元的RSA已經不再安全,2048位元的RSA在2030年之前是安全的,4096位元的RSA在2031年之後是安全的。

  目前國內很多重要行業部門以及高校等依然使用1024位元RSA的SSL證書,具有十分嚴重的安全隱患。在這裡,安信證書建議所有使用RSA1024證書的企業,儘快將證書更換為RSA2048證書。

  2.OPENSSL是一種被廣泛應用的開源軟體,用於管理證書,比如證書的申請、安裝以及金鑰管理等。2014年OPENSSL被發現存在災難性的“心臟出血”漏洞,攻擊者可以從記憶體中讀取私鑰、使用者名稱與密碼、電子郵件等通訊等資料。漏洞影響1.0.1-1.0.1f版本,隨後OPENSSL在其1.0.1g版本修復這一漏洞。雖然漏洞最終得到修復,但是這次事件造成了嚴重的影響,眾多部署https的網站的加密資料可能遭到竊取。

  目前最新的OPENSSL穩定版本是1.1.1,此前的主流版本1.0.2將會在2019年12月31日之後不再提供安全維護和更新,1.0.1或更早的版本均不安全。所以,安信證書建議所有部署SSL證書的企業,立即檢查伺服器上OPENSSSL的版本,儘快升級到安全的1.1.1。

  安信證書專注於網際網路資訊保安領域,為企業、組織或政府機構提供安全可靠的SSL證書,免費為您提供證書安裝與部署、加密協議與密碼套件升級、安全策略最佳化等服務,確保您的網站與移動應用的安全。

  宣告:本文由“安信證書”原創釋出,內容未經允許不得轉載!


來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/69900059/viewspace-2671456/,如需轉載,請註明出處,否則將追究法律責任。

相關文章