與FREAK類似的新漏洞:LogJam 破壞了安全金鑰交換…在某些時候

又一個用來保護網路安全的基礎加密演算法出現漏洞。這個漏洞被其發現者(來自各大學和公司的研究人員)稱為Logjam攻擊,讓攻擊者可以用中間人攻擊來減弱安全連線(例如 HTTPS、SSH和VPN)所用的加密方法。理論上,這代表著攻擊者(具備足夠的資源)可以破解加密並讀取「安全」的網路連線內容。

從某些方面來說,這種攻擊跟最近的FREAK攻擊類似。兩種攻擊都是因為對「出口等級」加密標準的支援而變得可能。直到1990年代,加密被美國認為是一種「武器」而限制「出口」到美國以外的產品能夠支援的加密強度。不幸的是,原本「可接受」的加密強度現在已經可以被破解,只要有足夠的運算資源。

該漏洞存在於Diffie-hellman金鑰交換進行的過程。Logjam可以用來降低接受的演算法強度到使用 512-bit質數(使用在「出口等級」加密)。類似的研究(也由Logjam研究者進行)證明其他漏洞也存在於使用768-bit和1024-bit質數的系統。國家等級可能有必要的資源來利用這些漏洞;讓攻擊者可以解密被動收集來的安全通訊。

 

誰有危險?

理論上,任何使用Diffie-hellman金鑰交換的協定都可能面臨這種攻擊的風險。然而,請注意這種攻擊要求符合兩個條件來進行攻擊:可以攔截安全伺服器和用戶端間的網路流量以及大量的運算資源。

研究人員估計,前100萬網域中有高達8.4%的網站是可能有此弱點的。類似比例的POP3S和IMAPS(安全郵件)伺服器也有危險。

 

我現在該怎麼做?

對於一般使用者來說,真正要做的只有一件事:更新你的瀏覽器。所有的主流瀏覽器廠商(Google、Mozilla、微軟和Apple)都在為他們的產品準備更新,應該很快就會發佈。你還可以透過這個網站來檢查你的瀏覽器是否有此弱點。

對於軟體開發者來說,要修補也是相對簡單。確認你的應用程式所使用的加密程式庫是更新的。此外,也可以在金鑰交換時指定使用較大的質數。

主要的工作落在使用有風險服務和協定的伺服器管理者身上。對他們來說,需要進行下列事情:

 

  • 停用所有對出口加密套件的支援,確保它們不會被使用。
  • 增加Diffie-hellman金鑰交換使用的質數大小到2048-bit;這也可以確保只有超強的特別運算能力才有可能破解這樣的加密。

 

趨勢科技的解決方案

 

趨勢科技的Deep Security和Vulnerability Protraction已經推出下列規則可以用來防護此一威脅:

 

  • 1006561 — 識別在回應中使用TLS/SSL出口加密套件
  • 1006562 — 識別在請求中使用TLS/SSL出口加密套件

 

@原文出處:Logjam Breaks Secure Key Exchange… Sometimes

 

 

《提醒》在粉絲頁橫幅,讚的右邊三角形選擇接收通知新增到興趣主題清單,重要通知與好康不漏接

FREAK 攻擊 TLS/SSL 漏洞,影響了熱門網域和瀏覽器

影響傳輸層安全協議/安全通訊協定(TLS/SSL)的漏洞新聞,這是用在無數網站和瀏覽器的身分認證協定,包括了大約10%的頂級網域及 Android和 Safari瀏覽器,其根本原因要回溯到90年代。

SSL

一份三月初發布的聲明中,大學和產業研究人員發表SSL/TLS漏洞(嚴重程度等級為中等,編號為CVE-2015-0204)如何遭受攻擊。證明了此漏洞真實存在並且可被攻擊,他們安排執行了FREAK攻擊(來自Factoring RSA Export Keys的縮寫)。

結果會造成中間人攻擊能夠強制安全的加密網站改用有缺陷的加密方式 — 1990年代被強制使用的出口等級加密,在今天已經不安全,但仍可以在許多網站見到 — 攻擊者可以輕易地解密以窺視安全通訊。 Continue reading “FREAK 攻擊 TLS/SSL 漏洞,影響了熱門網域和瀏覽器”