SEO篇章:专注于SEO优化,分享最新搜索引擎新闻动态!再牛逼的技术,也抵不过冒着傻气的坚持!

SEO优化 > 追踪热点 / SWEET32攻击:3DES和Blowfish密码不安全

SWEET32攻击:3DES和Blowfish密码不安全

SEO篇章 2016-09-01 02:18:35 追踪热点

    
  E安全8月26日讯 法国国家信息与自动化研究所(French Institute for Research in Computer Science and Automation, INRIA)的两名科学家发布了一项新研究,详细阐述了...

  

  E安全8月26日讯 法国国家信息与自动化研究所(French Institute for Research in Computer Science and Automation, INRIA)的两名科学家发布了一项新研究,详细阐述了一种攻击—从用64位密码加密的TLS(HTTPS)流量恢复数据,更确切地说,是带有三重数据加密标准(3DES)和Blowfish算法。

  加密时一个复杂的主题,并非人人都了解具体情况。并非一次一位进行加密,而是

  分组加密数据。加密分组越大,加密性能越佳。分组密码算法(密码套件)取加密密钥(随机生成字符串)和用户文本(这种情况下是64位分组),并转换为密文(加密数据)。

  与64位分组密码共同协作的两种方法为3DES和Blowfish。3DES大多用于TLS/SSL加密HTTPS和SSH流量,而Blowfish更多用于VPN客户端。

  HTTPS和VPN连接设置不当面临危险

  两名法国研究人员Karthikeyan Bhargavan和Gaëtan Leurent在64位密码上创建了实际攻击,允许攻击者在不知道加密密钥的情况下获取用户提供算法的明文数据。

  这类攻击被称为碰撞攻击(collision attack)。对于64位密码,研究人员只从理论层面做了详细阐述,而他们在实际攻击中发现过较弱密码。

  INRIA研究人员目前已发布了相对快速实际的64位密码攻击,他们表示,他们在实验环境中测试成功。

  1%-2%的所有互联网流量可能易受SWEET32攻击

  这种攻击被称为SWEET32,需要一些特殊的条件,比如在密码分组链接(Cipher Block Chaining,CBC)模式下使用3DES和Blowfish密码的服务器,设法获取位置的攻击者嗅探3DES和Blowfish之间的流量。

  此外,连接到客户端的服务器必须支持持续的TLS会话,而不迫使加密密钥在SWEET32攻击中重新协商。

  研究人员表示,1%-2%的整个互联网流量可能易受SWEET32攻击,取决于网站管理员如何配置服务器。

  SWEET32攻击需要30-38个小时

  如果攻击者能够监控持续的TLS和HTTPS连接通过易受攻击的密码套件协商,攻击者可以使用恶意Java文件插入客户端(通过广告或恶意软件),通过大量请求Ping服务器。

  这些请求通常伴随着HTTP cookie文件,嵌入HTTPS数据流,用来验证客户端。

  研究人员称,30-38小时之间不断发送服务器请求,收集约785 GB的流量,研究人员便能发现碰撞攻击,这将允许它们恢复Cookie文件的内容,包含验证和用户会话详情。

  之后,这些详情用来登录用户账号。研究人员发现易受SWEET32攻击的网站包括eBay、Walmart、NASDAQ以及遍布全球的银行。

  研究人员还在VPN(更准确地说是OpenVPN)上演示了一个类似的攻击,持续Blowfish连接在此默认建立。

  3DES和Blowfish需要步RC4的后尘

  研究人员推荐软件制造商、浏览器厂商和服务器管理员远离不安全的64位分组密码,使用更先进的加密算法。他们提出了类似RC4的放弃计划。

  去年7月,一份研究报告详细介绍了了RC4攻击,而一年后的今天,几乎所有浏览器厂商,除了苹果,已经宣布放弃RC4加密支持。

  OpenSSL项目已经将3DES支持从OpenSSL1.1.0默认构建中移除,OpenSSL1.1.0计划将于即将到来的几个月正式发布。OpenVPN 2.3.12将在使用Blowfish加密流量的情形下提出警告,但仅此而已。

  密码破译者Matthew Green解释道,“这些不是最简单的攻击,是一个严重的问题,甚至存在于实际攻击中,成功攻击标准加密协议中使用的加密技术。我们应当解决该问题,像发布报告这样的行动意义重大。”

  原文地址:http://www.easyaq.com/newsdetail/id/1186531348.shtml

  E安全注:本文系E安全编辑报道,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号zhu-geliang ②邮箱[email protected]

  @E安全,最专业的前沿网络安全媒体和产业服务平台,每日提供优质全球网络安全资讯与深度思考,欢迎关注微信公众号「E安全」(EAQapp),或登E安全门户网站www.easyaq.com , 查看更多精彩内容。

本文地址:https://www.seopz.com/redian/1998.html

当前位置:SEO优化 > 追踪热点 > SWEET32攻击:3DES和Blowfish密码不安全

Tags:热点新闻

搜索
网站分类
标签列表