每 172 个活动 RSA 证书中就有一个容易受到攻击

2019-12-16 10:30


在 RSA 证书中发现了一个漏洞,该漏洞可能会破坏当前正在使用的 172 个证书中的一个。 

在星期六于加利福尼亚州洛杉矶举行的第一届 IEEE 关于智能系统和应用程序中的信任,隐私和安全性会议上,Keyfactor 的一组研究人员介绍了他们对数字证书安全性的发现。 

RSA 证书是使用加密算法加密数据并保护从设备或服务发送到服务器的信息的公钥证书。 这些系统用于保护互联网流量和软件通信以及物联网(IoT)和医疗产品以及许多其他设备生成的信息。

在周一发表之前与 ZDNet 共享的一篇论文中,“在物联网时代构建 RSA 密钥”,研究人员概述了如何利用“最少的计算资源”来破坏 RSA 密钥的安全性。该团队建立了一个包含 7500 万个活动 RSA 密钥的数据库,之后通过证书透明性日志提供了 1 亿个证书。然后使用算法和 Microsoft Azure 虚拟机分析数据集。

Keyfactor 挖掘了 1.75 亿个密钥以识别随机数生成中的常见因素,发现每 172 个在线活动密钥中有一个彼此共享一个因素。但是,RSA 的安全性取决于无法确定派生 RSA 公钥的两个素数。

研究小组说,发现这些“主要因素”可以用来破坏证书,从而可能冒着使用 RSA 证书的设备安全性的风险。 发现超过 435,000 个证书具有共享因素,从而使研究人员可以重用私钥。

Keyfactor 高级集成工程师兼研究员 JD Kilgallin 说:“在现实世界的攻击场景中,具有重新获取 SSL/TLS 服务器证书私钥的威胁参与者可能会在设备尝试连接时冒用该服务器。……连接的用户或设备无法将攻击者与合法的证书持有者区分开,从而为严重的设备故障或敏感数据泄露打开了大门。”

相比之下,来自证书透明性(CT)日志的 1 亿个证书中只有五个共享相同的主要因素。

根据该论文,差异是由物联网和受功率限制的设备引起的,由于设计限制,它们只能管理较低的熵率。 

论文说到:“设备中需要熵,以防止随机数的产生是可预测的。……研究人员能够在消除熵时找到确定性的随机输出。轻量级的物联网设备特别容易处于低熵状态,这是因为它们可能会缺少输入数据,以及合并基于硬件的随机数的挑战经济的一代。”熵状态可能越高,攻击者提取私钥就越困难。如果设备固有地无法支持高熵状态,则安全性可能会受到影响。

研究人员说:“这些物联网设备的广泛易感性由于存在于敏感环境中而对公众构成了潜在的风险。……我们得出的结论是,设备制造商必须确保其设备能够获得足够的熵,并遵守密码学的最佳实践以保护消费者。”

来源:cnBeta.COM

更多资讯

微软 Edge 插件网站上线 beta 版:带搜索功能及 162 个扩展

据外媒报道,微软 Edge Insider 插件网站不再局限于 Insider,现在,微软 Edge 插件网站(Beta 版)正式上线。用户将可以它的搜索功能查找自己想要的扩展,新增的 40 个扩展使得扩展总数超过了 160 个。

来源:cnBeta.COM
详情链接:https://www.dbsec.cn/blog/article/5571.html 

Google 阻止某些 Linux Web 浏览器使用其服务

近日,有网友发现自己在使用部分 Linux 浏览器(如 Konqueror、Falkon 和 Qutebrowser)登录 Google 账号时受到了限制,页面显示由于安全原因,无法登录。目前尚不清楚谷歌何时开始对这些浏览器进行阻止。该网友将这一情况发到了 Reddit 上,有人回复说自己也遇到了类似问题,但也有人表示 Falkon 浏览器仍可正常登录。

来源:开源中国
详情链接:https://www.dbsec.cn/blog/article/5572.html 

亚马逊加入交换机开源项目:或颠覆博通等芯片制造商

Linux 基金会宣布,亚马逊将为一款名为 Dent 的开源软件做出贡献,这可能会使为这家互联网巨头的实体店提供帮助。Dent 是一种针对交换机开发的操作系统,后者是用于在网络中(通常是公司内部或公司与互联网之间)路由数据的硬件。传统上,这一市场一直由大公司主导,例如提供大量底层芯片的博通和销售成品组装产品的思科。

来源:新浪科技
详情链接:https://www.dbsec.cn/blog/article/5573.html 

新奥尔良市政厅遭遇网络攻击 政府宣布关闭网站

据外媒报道,当地时间周五,美国新奥尔良市官员试图遏制针对其网络的网络攻击。据悉,该攻击导致电脑离线、办公室关闭、市政府网站关闭。不过该市目前还没有发现任何密码被破解或数据在攻击中丢失的迹象,但大量涌入的电子邮件意味着该市的系统暂时关闭。

来源:cnBeta.COM
详情链接:https://www.dbsec.cn/blog/article/5574.html 

(信息来源于网络,安华金和搜集整理)