FREAK漏洞可能破坏网络加密机制

本文涉及的产品
密钥管理服务KMS,1000个密钥,100个凭据,1个月
简介:

该漏洞的影响范围包括应用范围广泛的安全套接层协议及其继任机制安全传输层协议。

专家目前正就一项严重安全漏洞发出正式警告,该漏洞显然已经经历了多年潜伏,并有可能削弱往来于计算机及网站之间的加密连接、甚至会给整个互联网的安全状态带来潜在威胁。

FREAK漏洞可能破坏网络加密机制

这一被称为FREAK的安全漏洞之影响范围包括应用范围广泛的安全套接层协议及其继任机制安全传输层协议,可能允许攻击者截取到往在客户端与服务器之间传输的所谓加密数据流量。

该漏洞存在于多个高人气网站当中,同时也藏身在包括苹果Safari浏览器以及谷歌Android移动操作系统等广泛存在的程序内部,安全专家们指出。各类采用OpenSSL 1.0.1k以及更早版本的应用程序也同样属于该漏洞的受害对象,感兴趣的朋友可以点击此处了解详尽信息

一位苹果公司发言人在本周二指出,iOS与OS X将于下周迎来一系列软件更新。谷歌方面则表示其已经向其各合作伙伴分发了一款补丁,能够保护Android与受影响网站之间的数据传输连接。

此次曝出的漏洞源自上世纪九十年代初由美国政府推动的出口限制,其禁止软件开发商在面向海外市场出口的产品中加入强大的加密机制,普林斯顿大学计算机科学及公共事务教授Ed Felten在一篇博文中写道。

这意味着某些公司所运行的同一产品的海外版本很可能仅配备安全性较弱的加密密钥。而当这条法律被修改之后,高强度加密机制的出口也不再受到限制,“然而出口模式特性仍然存在于该协议当中,这是因为某些软件仍然对其存在依赖性,”Felten进一步补充称。

该安全缺陷如今已经基本被暴露在光天化日之下,这意味着攻击者可以将连接安全性由强加密降级至此前较弱的出口级加密水平。

根据咨询意见,采用开源加密机制OpenSSL的服务器与设备同样有可能遭受攻击,其中包括大量来自谷歌与苹果公司的产品、嵌入式系统以及其它产品。采用RSA_EXPORT密码套件的服务器或者客户机同样身处风险当中。FREAK能够对RSA_EXPORT密钥进行因子分解,并最终将其突破。

这部分密钥会受到中间人攻击活动对于加密连接设置过程的阻碍性影响而发生降级。尽管SSL/TLS协议当中还提供相关防御机制以防止篡改活动,但攻击者仍然有办法伺机绕开。事实证明,强度较弱的512bit密钥完全可以被当下强大的计算机设备所破解,而相关数据流量也会被一并解密。

目前的主流协议采用长度更高的加密密钥,现行标准为2048bit RSA。512bit密钥属于二十年前的加密标准,而且攻击者完全可以借助公有云服务的丰富资源轻松将其攻克。

“遥想上世纪九十年代,512bit密钥还属于计算量巨大的破解对象,但如今我们在Amazon EC2上只需要七个小时就能完成其解析、而且经济成本仅为100美元左右,”Felten写道。

目前各家企业都在快速行动,希望及时修复这一问题。支持着大量网站的内容交付网络企业Akamai公司表示,其已经为业务网络分发了一款针对性修复补丁。

不过Akamai公司的Bill Brener在一篇官方博文中指出,仍有一部分客户端有可能受到安全影响。

“我们无法对这些客户端进行修复,但我们可以通过禁用出口密码机制来避免这个问题,”他写道。“由于这属于客户端问题,我们已经与客户方面取得了联系,并与他们就此展开应对措施。”

这项安全漏洞是由来自法国科学及技术研究机构INRIA的Karthikeyan Bhargayan以及微软研究部门所发现。一篇技术论文表示,FREAK应当在今年五月将在加利福尼亚州圣何塞召开的IEEE安全与隐私大会上得到全面披露。


作者:核子


来源:51CTO

相关文章
|
4天前
|
SQL 安全 算法
揭秘网络安全:漏洞、加密与安全意识的三重奏
【10月更文挑战第39天】在数字时代的交响乐中,网络安全扮演着不可或缺的角色。本文旨在通过浅显易懂的语言,揭示网络安全的三大核心要素:网络漏洞、加密技术以及安全意识。我们将探索这些元素如何相互交织,共同维护我们的数字安全。从初学者到资深专家,每个人都能从中获得宝贵的知识和启示。
|
4天前
|
存储 SQL 安全
网络安全与信息安全:关于网络安全漏洞、加密技术、安全意识等方面的知识分享
【10月更文挑战第39天】在数字化时代,网络安全和信息安全成为了我们生活中不可或缺的一部分。本文将介绍网络安全漏洞、加密技术和安全意识等方面的内容,帮助读者更好地了解网络安全的重要性,并提供一些实用的技巧和方法来保护自己的信息安全。
15 2
|
4天前
|
存储 安全 网络安全
网络安全与信息安全:漏洞、加密技术与安全意识的交织
【10月更文挑战第39天】在数字化时代,网络安全与信息安全成为保护个人隐私和组织资产的重要屏障。本文将探讨网络安全中的常见漏洞、加密技术的应用以及提升安全意识的重要性。通过具体案例分析,我们将深入了解网络攻击的手段和防御策略,同时提供实用建议,以增强读者对网络安全的认识和防护能力。
|
6天前
|
安全 算法 网络安全
网络安全的盾牌与利剑:漏洞防御与加密技术的双刃舞
【10月更文挑战第37天】在数字世界的海洋里,网络安全是航船的锚,保护我们的数据不受风暴侵袭。本文将深入浅出地探讨网络安全的两大支柱——漏洞防御和加密技术。我们将从网络安全的基本概念出发,逐步深入到漏洞的类型、检测方法以及防御策略。同时,我们也将探索加密技术的原理和应用,如何通过这一技术保护信息的完整性和私密性。最后,我们将讨论提升个人及组织安全意识的重要性,以及如何构建一个安全的网络环境。这不仅是技术人员的战斗,每个人都是自己信息安全的第一道防线。让我们一起扬帆起航,探索网络安全的世界,学习如何成为自己数据的守护者。
|
6天前
|
SQL 安全 网络安全
网络安全的护城河:漏洞防御与加密技术的深度解析
【10月更文挑战第37天】在数字时代的浪潮中,网络安全成为守护个人隐私与企业资产的坚固堡垒。本文将深入探讨网络安全的两大核心要素——安全漏洞和加密技术,以及如何通过提升安全意识来强化这道防线。文章旨在揭示网络攻防战的复杂性,并引导读者构建更为稳固的安全体系。
17 1
|
5天前
|
安全 网络安全 数据安全/隐私保护
网络安全与信息安全:关于网络安全漏洞、加密技术、安全意识等方面的知识分享
【10月更文挑战第38天】本文将探讨网络安全与信息安全的重要性,包括网络安全漏洞、加密技术和安全意识等方面。我们将通过代码示例和实际操作来展示如何保护网络和信息安全。无论你是个人用户还是企业,都需要了解这些知识以保护自己的网络安全和信息安全。
|
4天前
|
安全 网络安全 数据安全/隐私保护
网络安全与信息安全:关于网络安全漏洞、加密技术、安全意识等方面的知识分享
【10月更文挑战第39天】在数字化时代,网络安全和信息安全已成为我们生活中不可或缺的一部分。本文将探讨网络安全漏洞、加密技术以及安全意识等方面的内容,帮助读者更好地了解网络安全的重要性,并提供一些实用的技巧和建议来保护个人信息和设备安全。
|
5天前
|
SQL 安全 网络安全
网络防线之下:探索加密技术与安全意识的力量
【10月更文挑战第38天】在数字时代的浪潮中,网络安全成为了我们每个人都无法回避的话题。本文将带你一探网络安全的脆弱面纱,揭示漏洞背后的真相,并通过加密技术的奥秘和提升个人安全意识的重要性,共同构筑一道坚固的防御墙。我们将从基础概念出发,逐步深入到技术细节,最终落实到日常生活中的安全实践,以期让每一位读者都能成为自己信息资产的守护者。
|
5天前
|
SQL 安全 网络安全
网络安全的守护者:漏洞管理与加密技术
【10月更文挑战第38天】在数字时代的浪潮中,网络安全成为了保护个人隐私和企业资产的重要防线。本文将深入探讨网络安全的两个核心要素——安全漏洞的管理和先进的加密技术。通过分析常见的网络攻击手段和漏洞案例,我们揭示了强化网络安全的必要性。同时,我们将介绍加密技术的基本原理及其在保障信息安全中的应用,强调了提升公众的安全意识和采取预防措施的重要性。文章旨在为读者提供实用的知识和策略,以构建更加坚固的网络防护墙。
|
7天前
|
SQL 安全 物联网
网络安全与信息安全:深入探讨网络漏洞、加密技术及安全意识###
网络安全与信息安全是当今数字化时代的重要议题。本文将详细探讨网络安全和信息安全的差异,重点介绍常见的网络漏洞、加密技术以及如何提升用户和组织的安全意识。通过具体案例和技术分析,帮助读者理解这些关键概念,并提供实用的建议以应对潜在的网络威胁。 ###