Chrome 即将更新以对付攻击 SSL 协议的 BEAST

感谢 Dante Jiang 的爆料和翻译。

实际上对付BEAST对SSL攻击的工作从今年 5、6 月份就展开了。BEAST 的两位研究人员也没在本周五正式发表前透露太多细节，不过 Google 显然不打算冒任何风险。

BEAST 利用选择明文恢复 （chosen plaintext-recovery） 攻击 SSL 和 TLS 早期版本的 AES 加密，其中被称为加密块连锁 （cypher block chaining） 的加密方式使用之前的加密块对下一个块进行加密。Chrome 的补丁通过将信息碎片化以减少攻击者对即将加密的明文的控制。

了解 BEAST 细节的研究员同意不在周五前泄漏消息，其中一位就是 Google 的安全研究员，他在 Hacker News 的评论说：

因为我的工作是 Chrome 的 SSL/TLS 协议栈，因此我知道这一攻击的细节。链接的新闻 （关于 BEAST 的新闻 - Dante 注）根本就是煽情，不过新闻界就好这口儿。

基本上人们没什么可担心的，因为什么也没坏。

Via Google +Dante Jiang and The Register

© musiXboy 发表于 谷奥——探寻谷歌的奥秘 ( http://www.guao.hk ), 2011. | 没有评论 | 永久链接 | 关于谷奥 | 投稿/爆料
Post tags: BEAST, Chrome, SSL, TLS