İlan
Bir roman şifreleme hatası son zamanlarda ortaya çıktıçevrimiçi gizlilik için bir tehdit oluşturabilir. “LogJam” olarak adlandırılan hata, sunucuların kimliğini doğrulamak ve güvenli web etkinliğinin içeriğini (banka giriş bilgileriniz gibi) gizlemek için kullanılan bir şifreleme protokolü olan TSL'de (Aktarım Güvenliği Katmanı) oluşur.
Hata, ortadaki bir saldırganın tarayıcınızı ve bağlı olduğu sunucuyu kaba kuvvet saldırılarına açık zayıf bir şifreleme biçimi kullanmaya zorlamasına izin verir. Bu ile ilgili ‘FREAK’ güvenlik açığı SuperFREAK: Yeni Güvenlik Hatası Güvenlik Açığı Masaüstü ve Mobil Tarayıcı Güvenliğini EtkiliyorFREAK güvenlik açığı tarayıcınızı etkileyen bir güvenlik açığıdır ve herhangi bir tarayıcı veya herhangi bir işletim sistemi ile sınırlı değildir. Etkilenip etkilenmediğinizi öğrenin ve kendinizi koruyun. Daha fazla oku bu yılın başlarında keşfedilmiş ve yamalı. Bu hatalar, daha yıkıcı güvenlik sorunlarının Heartbleed Heartbleed - Güvende Kalmak İçin Ne Yapabilirsiniz? Daha fazla oku
ve ShellShock Heartbleed'den daha kötü mü? ShellShock ile Tanışın: OS X ve Linux İçin Yeni Bir Güvenlik Tehdidi Daha fazla oku .
Yamalar çoğu büyük tarayıcı için çalışırken, düzeltme düzeltilmiş kodla yükseltilene kadar binlerce web sunucusuna erişilemez.
Askeri Bir Miras
Neden olunan güvenlik açıklarının çoğundan farklı olarak sadece programcı gözetimi ile 1.000 iOS Uygulamasında Sakat SSL Hatası var: Etkilendiğiniz Nasıl Kontrol EdilirAFNetworking hatası, iPhone ve iPad kullanıcılarına sorun çıkarıyor, 1000'lerce uygulama bir güvenlik açığı taşıyor. SSL sertifikalarının doğru bir şekilde doğrulanması ve ortadaki adam aracılığıyla kimlik hırsızlığını potansiyel olarak kolaylaştırması saldırılar. Daha fazla oku , bu güvenlik açığı en azından kısmen kasıtlıdır. 1990'ların başlarında, PC devrimi başladığında, federal hükümet güçlü şifreleme teknolojisinin yabancı güçlere ihracatı, diğerlerine karşı casusluk yeteneğini tehlikeye atabilir milletler. O zaman, güçlü şifreleme teknolojisi yasal olarak bir tür silah olarak kabul edildi. Bu, federal hükümetin dağıtımına sınırlamalar getirmesine izin verdi.
Sonuç olarak, SSL (TSL'nin öncüsü olan Güvenli Soket Katmanı) geliştirildiğinde, iki çeşit olarak geliştirildi - ABD versiyonu, 1024 bit veya daha büyük tam uzunlukta anahtarlar ve üstel olarak 512 bit anahtarlarda kullanılan uluslararası sürüm zayıf. SSL'nin iki farklı sürümü konuşulduğunda, daha kolay kırılan 512 bit anahtarına geri dönerler. Dışa aktarma kuralları sivil haklar tepkisi nedeniyle değiştirildi, ancak geriye dönük uyumluluk nedeniyle, TSL ve SSL'nin modern sürümleri hala 512 bit anahtarları destekliyor.
Ne yazık ki, TSL protokolünde hangi anahtar uzunluğunun kullanılacağını belirleyen bir hata var. Bu hata, LogJam, bir ortadaki adam Ortadaki Adam Saldırısı Nedir? Güvenlik Jargonu Açıklandı"Ortadaki adam" saldırılarını duyduysanız ancak bunun ne anlama geldiğinden emin değilseniz, bu sizin için bir makaledir. Daha fazla oku saldırgan, her iki istemciyi daha kısa bir anahtar kullanmak isteyen eski bir sistemle konuştuklarını düşünmeleri için kandırır. Bu bağlantının gücünü azaltır ve iletişimin şifresini çözmeyi kolaylaştırır. Bu hata yaklaşık yirmi yıldır protokolde gizlidir ve sadece son zamanlarda ortaya çıkarılmıştır.
Kimler Etkilenir?
Hata şu anda HTTPS etkin olan ilk bir milyon web sitesinin yaklaşık% 8'ini ve eski kod çalıştırma eğiliminde olan çok sayıda posta sunucusunu etkilemektedir. Internet explorer dışında tüm büyük web tarayıcıları etkilenir. Etkilenen web siteleri sayfanın üst kısmında yeşil https kilidini gösterir, ancak bazı saldırganlara karşı güvenli olmaz.
Tarayıcı üreticileri, bu soruna en sağlam çözümün 512 bit RSA anahtarları için tüm eski desteği kaldırmak olduğunu kabul etti. Ne yazık ki, bu İnternetin bir kısmı, birçok posta sunucusu dahil, ürün yazılımı güncellenene kadar kullanılamaz. Tarayıcınızın yamalı olup olmadığını kontrol etmek için, saldırıyı keşfeden güvenlik araştırmacıları tarafından kurulan bir siteyi ziyaret edebilirsiniz. weakdh.org.
Saldırı Pratikliği
Peki ne kadar savunmasız dır-dir bu günlerde 512 bit anahtar? Öğrenmek için önce tam olarak neyin saldırıya uğradığına bakmamız gerekir. Diffie-Hellman anahtar değişimi, iki tarafın varsayımsal bir snooper ile paylaşmadan paylaşılan bir simetrik şifreleme anahtarı üzerinde anlaşmasına izin veren bir algoritmadır. Diffie-Hellman algoritması, protokolü içine alan ve güvenliğini belirleyen paylaşılan bir asal sayıya dayanır. Araştırmacılar, bir hafta içinde bu primerlerin en yaygın olanlarını çözebildiler ve zayıf 512 bit prime ile şifrelenen İnternet trafiğinin yaklaşık% 8'inin şifresini çözebildiler.
Bu, bir “kahve dükkanı saldırganı” - küçük bir hırsız için bu saldırıyı erişilebilir kılar halka açık WiFi üzerinden oturumlara göz atma 3 Halka Açık Wi-Fi'ye Giriş Yapmanın TehlikeleriHerkese açık WiFi kullanırken PayPal'ı, banka hesabınızı ve hatta e-postanızı açmamanız gerektiğini duydunuz. Ancak asıl riskler nelerdir? Daha fazla oku ve mali bilgileri kurtarmanın ardından kaba zorlama anahtarları. Saldırı, casusluk için orta saldırıda bir adam kurmak için uzun süre dayanabilecek NSA gibi şirketler ve kuruluşlar için önemsiz olacaktır. Her iki durumda da, bu hem sıradan insanlar hem de daha güçlü güçlerin gözetlemesine karşı savunmasız olabilecek herkes için güvenilir bir güvenlik riskini temsil eder. Kuşkusuz, Edward Snowden gibi biri, gelecek için güvenli olmayan WiFi kullanımı konusunda çok dikkatli olmalıdır.
Daha endişe verici bir şekilde, araştırmacılar ayrıca güvenli kabul edilen standart asal uzunlukların, 1024-bit Diffie-Hellman gibi, güçlü hükümetin kaba kuvvet saldırısına karşı savunmasız olabilir organizasyonlar. Bu sorunu önlemek için önemli ölçüde daha büyük anahtar boyutlarına geçmeyi önerirler.
Verilerimiz Güvende mi?
LogJam hatası, ulusal güvenlik amacıyla kriptografiyi düzenlemenin tehlikelerini istenmeyen bir şekilde hatırlatıyor. ABD'nin düşmanlarını zayıflatma çabası herkesi incitiyor ve hepimizi daha az güvenli hale getiriyor. FBI, teknoloji şirketlerini şifreleme yazılımlarına arka kapıları dahil et. Kazanırlarsa, önümüzdeki on yılların sonuçlarının da ciddi olma şansı çok yüksektir.
Ne düşünüyorsun? Güçlü kriptografide kısıtlamalar olmalı mı? Tarayıcınız LogJam'a karşı güvenli mi? Yorumlarda bize bildirin!
Resim kredileri: ABD Deniz Kuvvetleri Siber Savaşı, Hacker Klavye, HTTP, NSA İşareti Wikimedia tarafından
Güneybatı'da yaşayan bir yazar ve gazeteci olan Andre, 50 dereceye kadar işlevsel kalmayı garanti ediyor ve on iki feet derinliğe kadar su geçirmez.
