SSL加密可被破解，Chrome 将更新以应对

 

研究者最近发现了一个存在于TLS 1.0（几乎应用于所有HTTPS加密网站的协议）的重大弱点。利用这个漏洞，黑客将可以悄无声息的解密客户端和服务器端之间通过HTTPS传输的数据。

 

此攻击仅针对TLS 1.0 ，目前使用最广泛的安全加密协议。只要第三方能控制终端与服务器之间的链接即可利用此漏洞破解几乎所有网站的SSL加密。诸如PayPal、GMail等大型网站也不例外。甚至HSTS（强制安全协议），一种让用户直接访问安全服务器（而不是经过不安全的链接跳转）的协议，都不能阻止这种漏洞。

 

此安全隐患波及范围之广泛和危害程度之大让人震惊。在本周即将在布宜诺斯艾利斯举行的黑客技术研讨会上，Thai Duong和Juliano Rizzo将展示一个利用此漏洞的方式，利用一个称作BEAST的JS脚本，配合一个网络连接嗅探器即可在30分钟内解密一个PayPal的用户Cookie。两人称目前还在继续优化脚本，争取将破解时间降低到10分钟。

 

这意味着将有数千万网站面临危险。不过Google已准备了一份其Chrome浏览器的更新，保护用户免受攻击。据了解，对付BEAST对SSL攻击的工作从今年 5、6 月份就已经展开了。

 

BEAST 利用选择明文恢复（chosen plaintext-recovery）攻击 SSL 和 TLS 早期版本的 AES 加密，其中被称为加密块连锁（cypher block chaining）的加密方式使用之前的加密块对下一个块进行加密。Chrome的补丁通过将信息碎片化以减少攻击者对即将加密的明文的控制。

 

其中一位Google 的安全研究员在 Hacker News 的评论上说： 

 

我碰巧知道这种攻击的细节，因为我的工作就是关于Chrome的SSL/TLS栈的。关于SSL加密被破解的新闻是耸人听闻的无稽之谈。从根本上说，人们无需担心，任何网站都可能不会遭到破坏。

 

VIA http://www.theregister.co.uk/2011/09/19/beast_exploits_paypal_ssl/

感谢 wangguo 投递这篇资讯

资讯来源：谷奥

已有 5 人发表留言，猛击->>这里<<-参与讨论


ITeye推荐

• —软件人才免语言低担保 赴美带薪读研！—