淹没攻击下沉SSL安全性 由于速度缓慢,截然不同,让中小企业沟渠宽带合同 451研究警告软件定义的基础设施技能差距 nimble使用AF系列阵列进入全闪存市场 Nissan用叶电动汽车应用程序打破基本安全规则 峰会告诉英国企业和警察成长Cyber​​ Capities HMRC分享IT转型计划的详细信息 Hybrid Flash阵列Roundup 2016:初创公司 网络攻击的新浪潮击中了乌克兰电力公司 三星乐观虽然有利润坍塌 GöteborgEnergi提供€40M的交易 峰会告诉英国企业和警察成长Cyber​​ Capities 在线和移动帮助澳大利亚零售商JAX Boost Business Whatsapp达到十亿用户里程碑 创业试验自治送货机器人在格林威治 企业敦促采取行动数据隐私 万事达卡使用人工智能来帮助英国销售团队 瑞典的NFT Ventures向Fintech Startups致力于芬兰 NRF 2016:M&S说,消费者赋权没有FAD 普华永道收购了欧洲行动的波兰云咨询 Talktalk在网络攻击中失去了100,000名客户 BBC奖励广播网络合同到BT HOSTETES通过周末Hackathon提高对国际妇女节的认识 北方地方议会小姐中小企业目标 OFCOM数据泄露突出了内幕威胁 我们是殖民地:解决传统电影的死亡和丰富的内容 CIO采访:Ismo Platan,SSAB 新政府计划支持网络安全初创公司 案例分析:SEO启动使用Elastichosts的集装箱来解决云应用程序可伸缩性问题 GE LUTES盟友以预先征收工业互联网支配 网络罪犯在赎金软件攻击中袭击了美国医院 诺福克县委员会在寻找ICT老板 GDS推出学校和学院指导计划 美国研究人员开始太阳能电力数据中心研究项目 2015年财政年度,SAP将云收入加倍到€23亿欧元 日益增长的中东IT培训需要仔细规划 Artfinder部署neo4j图表数据库以个性化建议 付款监管机构希望银行在Vocalink中销售赌注 Ofcom:O2收购将损害竞争和零售市场 联合议会委员会表示,监禁法案需要更多的工作工作 耳机制造商B&O Play跟踪零售销售ZYME BBC三次在线移动,仅作为广播公司拥有数字观众 大多数英国人支持政府监测国家安全 2016年良好发布的应用程序 - 年轻企业家思想的应用程序 日益增长的中东IT培训需要仔细规划 BT使用G.Fast来通过铜提供移动回程 CIO采访:芬兰·苏瑞琳·芬兰国家警察局 建造150万英镑的生物量动力数据中心开始于苏格兰 行业专家说,管理业务利益的网络风险 政府推出GDS咨询委员会
您的位置:首页 >程序人生 >

淹没攻击下沉SSL安全性

来自以色列,德国和美国的安全研究人员发表了一篇文章,描述了SSLv2的关键互联网协议如何破坏,离开数百万个网站攻击。

称为淹死的跨协议攻击,对TLS进行实时攻击,用于Internet上的安全性的主要协议之一。

根据研究人员,攻击可以在商品硬件上的单一核心上完成,在不到一分钟内,没有GPU或分布式计算,并且主要通过服务器可以完成握手的速度有限。

它足以在握手超时之前对现场TLS会话进行中间人攻击,甚至允许攻击者将连接到更喜欢非RSA密码套件的服务器,并将现代TLS客户端降级为RSA密钥交换研究人员说。

根据研究人员,多达三分之一的HTTPS服务器容易受到攻击的影响。

他们警告说,使用SSLv2不仅弱,而且对TLS生态系统有害。

为了解密一个TLS会话,攻击者需要使用RSA密钥交换,通过RSA密钥交换来捕获大约1,000个TLS会话,其中通过使用预期收件人的公钥加密密钥来安全地在线交换密钥。

研究人员使用RSA密钥交换,使40,000个SSLv2连接到受害者服务器并执行250个对称加密操作。

“我们通过大量优化的GPU实现成功地进行了此次攻击,并且能够在GPU集群上不到18小时的时间内解密2048位RSA密文,使用亚马逊EC2服务不到8小时,”他们说。

研究人员表示,攻击者将被动地了解了客户端和服务器之间的流量并记录基于RSA的TLS流量,并且可以预期解密1,000个截取的TLS连接中的一个。

“这是许多情景中的毁灭性威胁,”他们说。“解密的TLS连接可能会揭示客户端的HTTP cookie或明文密码,并且攻击者只需要成功解密单个密文来泄压客户的帐户。”

研究人员表示,收集许多连接可能涉及拦截流量长期或欺骗用户访问一个网站,这是一个网站,该网站在研究人员表示。

他们推荐服务器管理员检查他们的私钥是否不使用允许SSLv2连接的服务器软件任何地方使用。这包括Web服务器,SMTP服务器,IMAP和POP服务器以及支持SSL / TLS的任何其他软件。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。