高德注册登录浣熊攻击允许黑客在特定条件下破

高德娱乐开户,高德开户流程

高德注册登录【主管QQ554-258】一个学术团队今天披露了对TLS加密协议的理论上攻击,该协议可以用来解密用户和服务器之间的HTTPS连接,并读取敏感通信。

这场名为“浣熊”的袭击被描述为“非常难以利用”,其潜在条件为“罕见”。

浣熊是如何攻击的

根据今天发表的一篇论文,浣熊攻击的本质是一种定时攻击,恶意的第三方会测量执行已知密码操作所需的时间,以确定部分算法。

在浣熊攻击的情况下,目标是Diffie-Hellman密钥交换过程,其目的是恢复几个字节的信息。

研究团队解释说:“最后,这有助于攻击者构建一组方程,并使用一个求解隐藏数字问题(HNP)的程序来计算在客户机和服务器之间建立的原始premaster秘密。”

根据研究人员的说法,所有使用Diffie-Hellman密钥交换来建立TLS连接的服务器都很容易受到攻击。

这是一种服务器端攻击,不能在客户机(如浏览器)上执行。攻击还需要对每个客户机-服务器连接执行一部分,高德开户不能用于恢复服务器的私钥和一次性解密所有连接。

使用Diffie-Hellman密钥交换和TLS 1.2及以下的服务器被认为是易受攻击的。dtd也会受到影响。

TLS 1.3被认为是安全的。

不是实际的攻击

但是,尽管有能力解密TLS会话和读取敏感通信,研究团队也是第一个承认浣熊攻击也是极其难以实现的。

首先,攻击需要满足某些极其罕见的条件。

研究人员说:“这个漏洞真的很难被利用,高德平台开户它依赖于非常精确的时间测量和特定的服务器配置来被利用。”

“(攻击者)需要接近目标服务器,以执行高精度计时测量。他需要受害者连接来使用DH(E)和服务器来重用临时密钥。最后,攻击者需要观察原始连接。

“对于一个真正的攻击者来说,这要求太高了,”学者们说。

然而,与攻击者破坏现代密码原语(如AES)所需要做的相比,攻击看起来不再复杂了。

研究人员补充说:“但现实世界的攻击者可能会使用其他更简单、更可靠的攻击载体。”

虽然这种攻击被认为很难利用,但一些供应商已经尽职调查并发布了补丁。微软(CVE-2020-1596)、Mozilla、OpenSSL (CVE-2020-1968)和F5 Networks (CVE-2020-5929)都发布了安全更新来阻止浣熊攻击。

更多的技术细节也可以在一个专门的网站和一篇题为“浣熊攻击:寻找和利用最重要比特神谕inTLS-DH(E)”的研究论文中找到。[PDF]。


上一篇
高德注册登录Myer的在线销售额飙升61%,但由于
上一篇
高德注册登录红帽子和IBM宣布了一个混合云软件
  • 版权声明:内容来自互联网不代表本站观点,2020-09-10发表于 高德开户栏目。
  • 转载请注明: 高德注册登录浣熊攻击允许黑客在特定条件下破| 高德开户 +复制链接