SSL认证被攻破 安全防护不能坐以待毙

作者:Amteam.org
2009/3/13 0:00:00
本文关键字: 网络 安全 新闻

  随着网络技术的快速发展,网络已经成为人们日常生活中的重要组成部分,网上购物、网上炒股、网上缴费都已非常普遍,而这些页面上的操作都需要输入一些敏感数据,例如银行账号、交易密码等,所以网络安全已经成为网民最关注的问题。

  现在的网上银行以及电子商务网站等大都是采用SSL加密认证的方式,在服务器端采用支持SSL认证的服务器,而终端用户则采用支持SSL认证的浏览器来实现安全通信。然而在去年12月27日至30日在柏林召开的“混沌通信”会议上研究人员宣布:他们通过利用MD5加密算法漏洞攻破了SSL加密技术,成功搭建一个伪造的证书授权中心(CA),其颁发的证书能够被所有要求SSL的网站接受。那么现在的网上交易已经不安全了?其实事情还没有那么糟,研究人员做的这次攻击为的是使大家明确问题所在,并且研究者们表示,要想复制此破解过程,至少还需要6个月的时间,因此距离黑客利用此法实现真正攻击还有一些时间。

什么是SSL

  SSL(即Secure Sockets Layer)安全套接层,它是一种国际通用的Web安全标准。SSL技术主要通过对敏感数据加密来防止各种攻击非法读取重要信息,包括我们经常遇到的如数据劫持和钓鱼攻击等,通过SSL只有授权用户才能读取数据,另外SSL技术还能够保证用户有效访问网站。值得一提的是,SSL技术能够内置于所有操作系统、Web应用程序和服务器硬件,这样通过SSL加密技术可以为用户提供一个强大且安全的网络环境。

 SSL如何被攻破?

  在MD5算法中有一个名为MD5“冲突”的漏洞,通过这个漏洞能够让两条不同的信息拥有同样的MD5码。因此理论上可以利用该漏洞攻击数字签名认证系统。通过研究人员的实际操作这一理论最终得到了证实,该漏洞确实可以被用来破解SSL加密,从而对整个互联网的安全构架造成冲击。

SSL认证被攻破 安全防护不能坐以待毙

  PlayStation实验室

  此次的破解尝试共分为两步,第一步的运算量巨大,需要运用分布式运算完成。而第二步运算量较小,仅需一台顶级四核PC即可。面对艰巨的第一步,研究者们在瑞士洛桑联邦理工大学搭建了一个“PlayStation实验室”,使用200台PS3游戏机,平均分配30GB内存进行运算,在一个周末的时间内,研究者们共进行了三次尝试,制造MD5“冲突”的总运算量为2的51.x次方。最终他们成功伪造了一个证书授权中心,可以随意签发SSL证书,突破各种SSL加密网站。

责编:
vsharing 微信扫一扫实时了解行业动态
portalart 微信扫一扫分享本文给好友
著作权声明:kaiyun体育官方人口 文章著作权分属kaiyun体育官方人口 、网友和合作伙伴,部分非原创文章作者信息可能有所缺失,如需补充或修改请与我们联系,工作人员会在1个工作日内配合处理。
最新专题
网络安全热点透析

随着移动互联、大数据、云计算、物联网等技术的日益发展,在这些热点技术为个人生活带来便利的同时,也为企业发展..

数据安全医药行业解决方案

采用身份鉴别、访问控制、数据加密以及权限控制等多种安全防护技术手段,保障数据库中医药数据只能被合法用户合规..

    畅享
    首页
    返回
    顶部
    ×
    畅享IT
      信息化规划
      IT总包
      供应商选型
      IT监理
      开发维护外包
      评估维权
    客服电话
    400-698-9918
    Baidu
    map