作者: 趨勢科技 TrendMicro

又一個用來保護網路安全的基礎加密演算法出現漏洞。這個漏洞被其發現者（來自各大學和公司的研究人員）稱為Logjam攻擊，讓攻擊者可以用中間人攻擊來減弱安全連線（例如 HTTPS、SSH和VPN）所用的加密方法。理論上，這代表著攻擊者（具備足夠的資源）可以破解加密並讀取「安全」的網路連線內容。

從某些方面來說，這種攻擊跟最近的FREAK攻擊類似。兩種攻擊都是因為對「出口等級」加密標準的支援而變得可能。直到1990年代，加密被美國認為是一種「武器」而限制「出口」到美國以外的產品能夠支援的加密強度。不幸的是，原本「可接受」的加密強度現在已經可以被破解，只要有足夠的運算資源。

該漏洞存在於Diffie-hellman金鑰交換進行的過程。Logjam可以用來降低接受的演算法強度到使用 512-bit質數（使用在「出口等級」加密）。類似的研究（也由Logjam研究者進行）證明其他漏洞也存在於使用768-bit和1024-bit質數的系統。國家等級可能有必要的資源來利用這些漏洞；讓攻擊者可以解密被動收集來的安全通訊。

 

誰有危險？

理論上，任何使用Diffie-hellman金鑰交換的協定都可能面臨這種攻擊的風險。然而，請注意這種攻擊要求符合兩個條件來進行攻擊：可以攔截安全伺服器和用戶端間的網路流量以及大量的運算資源。

研究人員估計，前100萬網域中有高達8.4%的網站是可能有此弱點的。類似比例的POP3S和IMAPS（安全郵件）伺服器也有危險。

 

我現在該怎麼做？

對於一般使用者來說，真正要做的只有一件事：更新你的瀏覽器。所有的主流瀏覽器廠商（Google、Mozilla、微軟和Apple）都在為他們的產品準備更新，應該很快就會發佈。你還可以透過這個網站來檢查你的瀏覽器是否有此弱點。

對於軟體開發者來說，要修補也是相對簡單。確認你的應用程式所使用的加密程式庫是更新的。此外，也可以在金鑰交換時指定使用較大的質數。

主要的工作落在使用有風險服務和協定的伺服器管理者身上。對他們來說，需要進行下列事情：

 

• 停用所有對出口加密套件的支援，確保它們不會被使用。
• 增加Diffie-hellman金鑰交換使用的質數大小到2048-bit；這也可以確保只有超強的特別運算能力才有可能破解這樣的加密。

 

趨勢科技的解決方案

 

趨勢科技的Deep Security和Vulnerability Protraction已經推出下列規則可以用來防護此一威脅：

 

• 1006561 — 識別在回應中使用TLS/SSL出口加密套件
• 1006562 — 識別在請求中使用TLS/SSL出口加密套件

 

＠原文出處：Logjam Breaks Secure Key Exchange… Sometimes

 

 

《提醒》在粉絲頁橫幅,讚的右邊三角形選擇接收通知和新增到興趣主題清單,重要通知與好康不漏接