在 RSA 證書中發現了一個漏洞,該漏洞可能會破壞當前正在使用的 172 個證書中的一個。
在 RSA 證書中發現了一個漏洞,該漏洞可能會破壞當前正在使用的 172 個證書中的一個。
在星期六於加利福尼亞州洛杉磯舉行的第一屆 IEEE 關於智能系統和應用程序中的信任,隱私和安全性會議上,Keyfactor 的一組研究人員介紹了他們對數字證書安全性的發現。
RSA 證書是使用加密算法加密數據並保護從設備或服務發送到服務器的信息的公鑰證書。 這些系統用於保護互聯網流量和軟件通信以及物聯網(IoT)和醫療產品以及許多其他設備生成的信息。
在週一發表之前與 ZDNet 共享的一篇論文中,“在物聯網時代構建 RSA 密鑰”,研究人員概述瞭如何利用“最少的計算資源”來破壞 RSA 密鑰的安全性。該團隊建立了一個包含 7500 萬個活動 RSA 密鑰的數據庫,之後通過證書透明性日誌提供了 1 億個證書。然後使用算法和 Microsoft Azure 虛擬機分析數據集。
Keyfactor 挖掘了 1.75 億個密鑰以識別隨機數生成中的常見因素,發現每 172 個在線活動密鑰中有一個彼此共享一個因素。但是,RSA 的安全性取決於無法確定派生 RSA 公鑰的兩個素數。
研究小組說,發現這些“主要因素”可以用來破壞證書,從而可能冒著使用 RSA 證書的設備安全性的風險。 發現超過 435,000 個證書具有共享因素,從而使研究人員可以重用私鑰。
Keyfactor 高級集成工程師兼研究員 JD Kilgallin 說:“在現實世界的攻擊場景中,具有重新獲取 SSL/TLS 服務器證書私鑰的威脅參與者可能會在設備嘗試連接時冒用該服務器。……連接的用戶或設備無法將攻擊者與合法的證書持有者區分開,從而為嚴重的設備故障或敏感數據洩露打開了大門。”
相比之下,來自證書透明性(CT)日誌的 1 億個證書中只有五個共享相同的主要因素。
根據該論文,差異是由物聯網和受功率限制的設備引起的,由於設計限制,它們只能管理較低的熵率。
論文說到:“設備中需要熵,以防止隨機數的產生是可預測的。……研究人員能夠在消除熵時找到確定性的隨機輸出。輕量級的物聯網設備特別容易處於低熵狀態,這是因為它們可能會缺少輸入數據,以及合併基於硬件的隨機數的挑戰經濟的一代。”熵狀態可能越高,攻擊者提取私鑰就越困難。如果設備固有地無法支持高熵狀態,則安全性可能會受到影響。
研究人員說:“這些物聯網設備的廣泛易感性由於存在於敏感環境中而對公眾構成了潛在的風險。……我們得出的結論是,設備製造商必須確保其設備能夠獲得足夠的熵,並遵守密碼學的最佳實踐以保護消費者。”
更多資訊
微軟 Edge 插件網站上線 beta 版:帶搜索功能及 162 個擴展
據外媒報道,微軟 Edge Insider 插件網站不再侷限於 Insider,現在,微軟 Edge 插件網站(Beta 版)正式上線。用戶將可以它的搜索功能查找自己想要的擴展,新增的 40 個擴展使得擴展總數超過了 160 個。
來源:cnBeta.COM
詳情鏈接: https://www.dbsec.cn/blog/article/5571.html
Google 阻止某些 Linux Web 瀏覽器使用其服務
近日,有網友發現自己在使用部分 Linux 瀏覽器(如 Konqueror、Falkon 和 Qutebrowser)登錄 Google 賬號時受到了限制,頁面顯示由於安全原因,無法登錄。目前尚不清楚谷歌何時開始對這些瀏覽器進行阻止。該網友將這一情況發到了 Reddit 上,有人回覆說自己也遇到了類似問題,但也有人表示 Falkon 瀏覽器仍可正常登錄。
來源:開源中國
詳情鏈接: https://www.dbsec.cn/blog/article/5572.html
亞馬遜加入交換機開源項目:或顛覆博通等芯片製造商
Linux 基金會宣佈,亞馬遜將為一款名為 Dent 的開源軟件做出貢獻,這可能會使為這家互聯網巨頭的實體店提供幫助。Dent 是一種針對交換機開發的操作系統,後者是用於在網絡中(通常是公司內部或公司與互聯網之間)路由數據的硬件。傳統上,這一市場一直由大公司主導,例如提供大量底層芯片的博通和銷售成品組裝產品的思科。
來源:新浪科技
詳情鏈接: https://www.dbsec.cn/blog/article/5573.html
新奧爾良市政廳遭遇網絡攻擊 政府宣佈關閉網站
據外媒報道,當地時間週五,美國新奧爾良市官員試圖遏制針對其網絡的網絡攻擊。據悉,該攻擊導致電腦離線、辦公室關閉、市政府網站關閉。不過該市目前還沒有發現任何密碼被破解或數據在攻擊中丟失的跡象,但大量湧入的電子郵件意味著該市的系統暫時關閉。
來源:cnBeta.COM
詳情鏈接: https://www.dbsec.cn/blog/article/5574.html
(信息來源於網絡,安華金和蒐集整理)
閱讀更多 Linux中國 的文章
