專家破解在線加密系統(tǒng) 網(wǎng)絡(luò)銀行安全堪憂
根據(jù)美國和歐洲密碼專家團(tuán)隊發(fā)布的一份報告顯示,廣泛用于保護(hù)網(wǎng)上銀行、電子郵件、電子商務(wù)和其他敏感網(wǎng)上交易的加密方法并不是那么安全。
研究人員對數(shù)百萬用于加密網(wǎng)上交易的公鑰進(jìn)行了審查,結(jié)果發(fā)現(xiàn)不少公鑰容易受到攻擊。
研究人員稱,在大多數(shù)情況下,這個問題與密鑰的生成方式有關(guān)。研究表明,與這些密鑰相關(guān)的數(shù)字并沒有按照要求選取的隨機(jī)數(shù)字。
研究小組得出結(jié)論,攻擊者可以使用公鑰來猜測出相對應(yīng)的私鑰以解密數(shù)據(jù),在此之前這種情況被認(rèn)為是不可能發(fā)生的。
電子前沿基金會高級技術(shù)人員PeterEckersley表示:“這是一個極其嚴(yán)重的加密漏洞,這主要是因為在為HTTPS、SSL和TSL服務(wù)器生成私鑰時使用了不太好的隨機(jī)數(shù)字。”
他表示:“我們目前正在抓緊時間通知存在漏洞密鑰的各方以及為他們頒發(fā)證書的證書頒發(fā)機(jī)構(gòu),以在最快的時間內(nèi)吊銷存在漏洞的密鑰,并生成新的密鑰。”
公鑰加密是保護(hù)網(wǎng)上交易的基本加密系統(tǒng),它涉及使用公鑰加密數(shù)據(jù),和相關(guān)私鑰來解密數(shù)據(jù)。
例如,當(dāng)用戶登錄到銀行網(wǎng)站或者安全的電子商務(wù)網(wǎng)站時,該網(wǎng)站的公鑰就會對交易進(jìn)行加密,并且只有網(wǎng)站所有者使用相對應(yīng)的私鑰才能解密數(shù)據(jù)。
公鑰通常是嵌入在數(shù)字證書中,這些數(shù)字證書由所謂的證書頒發(fā)機(jī)構(gòu)頒發(fā)。從理論上來講,根本不可能猜測出私鑰的組成部分,沒有任何兩個公鑰/私鑰對是完全相同的。
美國獨立密碼分析師JamesHughes、瑞士洛桑聯(lián)邦理工學(xué)院教授ArjenLenstra、博士MaximeAugier以及其他三位研究人員表示,在現(xiàn)實中,并不是所有的密鑰生成過程都是符合安全要求的。
研究人員對660萬個使用RSA算法生成的公鑰進(jìn)行了分析,并發(fā)現(xiàn)其中有12720個公鑰根本不安全,還有另外27000個公鑰容易受到攻擊。
這些研究人員寫道:“只要有人不怕麻煩將我們的分析工作重新做一次,就能夠獲得密鑰。假設(shè)能夠訪問公鑰集,這與檢索RSA密鑰更傳統(tǒng)的方法相比,更加簡單。”
研究人員檢查的密鑰來自于幾個公共數(shù)據(jù)庫,其中包括電子前沿基金會維護(hù)的數(shù)據(jù)庫。
Eckersley表示攻擊者可以相對容易地利用這個漏洞:通過配置類似的公鑰數(shù)據(jù)庫,和重復(fù)研究人員的工作來確定存在漏洞密鑰即可。
著名密碼破譯家和Blowfish加密算法的創(chuàng)造者BruceSchneier表示這次研究的結(jié)果非常驚人,但還需要更多信息來了解整個問題。
Schneier表示:“這是一個隨機(jī)數(shù)字生成器的問題,但是這個研究并沒有真正談?wù)撨@個問題來自何處。”
他認(rèn)為,這有點類似于:一萬個人有壞鎖,但并沒有提供詳細(xì)信息說明這些壞鎖屬于哪些人或者他們的位置。
這個研究中發(fā)現(xiàn)的隨機(jī)數(shù)字問題可能是偶然情況,或者是某些人故意制造的問題,他們試圖制造更多未加密通信。
【編輯推薦】
