科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道应用安全SSL/TLS/DTLS爆出漏洞:只需2^23次计算即可还原明文

SSL/TLS/DTLS爆出漏洞:只需2^23次计算即可还原明文

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

目前发现基于TLS 1.0/1.1/1.2,DTLS 1.0/1.2和SSL 3.0的实现都受到了不同程度的影响,在局域网内使用HMAC-SHA1算法的TLS加密会话只需要2^23个session就能还原完整块的明文,而如果同时使用base64的编码的话只需要2^19次就能实现还原明文。

来源:网界网 2013年2月17日

关键字: 漏洞 SSL漏洞 SSL/TLS

  • 评论
  • 分享微博
  • 分享邮件

两位安全研究人员Nadhem Alfardan和Kenny Paterson在网站上发布了名为《Lucky Thirteen: Breaking the TLS and DTLS Record Protocols》的文章,以OpenSSL和GNU-TLS为例,OpenSSL的很多版本都可以完整的还原成明文,而GNU-TLS可以将最后一个byte中的4个bits还原成明文。

目前发现基于TLS 1.0/1.1/1.2,DTLS 1.0/1.2和SSL 3.0的实现都受到了不同程度的影响,在局域网内使用HMAC-SHA1算法的TLS加密会话只需要2^23个session就能还原完整块的明文,而如果同时使用base64的编码的话只需要2^19次就能实现还原明文。这个代号为CVE-2013-0169的安全威胁目前openSSL已经使用了这个CVE-id,至于其他的受影响的开源安全包是否共享这个CVE-id还在讨论中,目前SUSE和RedHat已经开始应急这个安全威胁,openSUSE已经更新了相关的包。

CVE-2013-0169的危险程度不亚于2011年的BEAST攻击,如果有相关安全研究人员有兴趣了解细节可以直接下载论文。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章