最近兩天爆出的“堵塞”(Logjam)漏洞被許多人驚呼，“瘋怪”又來了!

“堵塞”威脅許多網頁服務器和郵件服務器，影響所有主流瀏覽器以及支持512位迪菲-赫爾曼(Diffie-Hellman)密鑰交換協議的服務器。而且，美國國家安全局(NSA)很可能就是利用這個漏洞破解VPN、HTTPS和SSH等協議，以訪問相關網絡流量的。

與“瘋怪”類似，堵塞也是通過中間人攻擊，給服務器的安全連接降級，但服務器及客戶端卻仍然認為雙方還是使用的強密鑰，如768位或1024位。而且，”堵塞“也是一個古老的由TLS傳承下來的SSL漏洞。

堵塞可以用來把服務器降級到512位的連接，但即使是1024位的素數密鑰也能夠被國家級的黑客破解，從而達到劫持流量的目的。據研究人員估計，排名前100萬的HTTPS域名的連接有18%可被解密，VPN和SSH服務器分別有66%和26%的加密連接可被解密。

研究人員已寫出了該漏洞的技術分析報告，報告稱在全球排名前100萬的網站中有8.4%的網站受影響，14.8%的支持SMTP和StartTLS的IPv4地址的服務器受影響。

堵塞漏洞分析報告

之前已經有許多安全連接協議的漏洞，除了“瘋怪”以外，還有野獸、罪行和貴賓犬(Beast、Crime、Poodle)，當然不能拉下震驚全球互聯網的心臟出血。但“堵塞”又有所不同，因為它還危及到了VPN和SSH。

報告認為美國國家安全局可能使用了“數域篩選預計算”來破解1024位的迪菲-赫爾曼密鑰交換協議。如果估計準確，這將回答由愛德華·斯諾登提出來的一個懸而未決的大疑問：

NSA如何搞定廣泛使用的VPN協議?”

原文地址：http://www.aqniu.com/threat-alert/7758.html