黑基Web安全攻防班
安基网 首页 资讯 安全报 查看内容

网络公钥架构被攻破网络金融交易曝风险

2009-1-1 11:56| 投稿: blue


免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!

摘要:   IT168 信息化 一群安全研究员在德国柏林举行的Chaos Communication Congress(CCC)大会上公布了网络公钥架构(Public Key Infrastructure,P...
  IT168 信息化 一群安全研究员在德国柏林举行的Chaos Communication Congress(CCC)大会上公布了网络公钥架构(Public Key Infrastructure,PKI)漏洞的概念验证攻击模式,由于该漏洞可让黑客藉以发布伪造的认证凭证,而取得浏览器的信任,因此该发现意味着网络银行及电子商务交易风险的升高,对此微软也立即发布安全通告。  这群安全研究人员分别来自美国、荷兰及瑞士等不同国家,有密码学专家,也有学术或私人机构的安全研究人员;根据该团队的说明,他们利用MD5密码Hash功能的漏洞,让不同的文件拥有同样的Hash值。  MD5是一种编码技术,其中的Hash功能是根据文件内容数据透过逻辑运算而得到一个独一无二的数值,用以验证该份文件在传递的过程中未被更改,即使是文件名相同的文件都会有不同的Hash值。Hash值等于是文件或是网站的身份证,也被电子商务网站作为验明正身的基础,防堵网络钓鱼攻击。  在该团队发布该攻击模式之后,虽然该漏洞并不是出自微软产品,但微软也随即发布安全通告。微软在961509通告中指出,由于研究人员并未公布这种攻击的密码学背景信息,因此对使用者不会带来重大的安全风险的提升。目前并未发现相关的攻击事件外,微软也正积极与数字凭证授权中心(Certificate Authorities, CA)合作,并鼓励他们转向较新与较安全的SHA-1签章算法。  事实上,安全研究人员自2004年起就发现该Hash功能有被攻击的危险,因为它所拥有的漏洞让黑客有机会以不同的内容使用同样的Hash值;该团队则证实了至少有一种攻击模式能攻陷网站的安全架构而引发实际的威胁。  他们创造出一个伪造的安全凭证,此一安全凭证可被所有的浏览器验证为有效及可信任,因此,任何网站使用他们的凭证都可被视为是真实且安全的,其连结同样会出现显示安全模式的https://,而即使细究网站的验证资格也会呈现没问题的状态。  该团队表示,此一概念性验证程序显示了黑客将能侦测或干预传送到安全网站的数据,其中银行及电子商务网站的风险更高,因为这些用https来保护的信息更有价值,黑客更可依此执行网钓攻击,而且不容易被侦测到。  虽然之前就有安全人员警告MD5的Hash功能有安全风险,但迄今仍有部份凭证使用该功能。  这群研究人员展示了他们攻破Verisign的RapidSSL安全认证机制,并创造出伪造的数字凭证卷标。  此一团队揭漏的并非SSL协议、网络服务器或是浏览器漏洞,而是公钥架构漏洞,公钥架构被应用在各种需要数字签章或公开金钥加密的服务中,涵盖网络、程序代码签章、电子邮件安全等。为了让认证机构有时间补救该漏洞,精确的报告预计会在数月后才发表。

小编推荐:欲学习电脑技术、系统维护、网络管理、编程开发和安全攻防等高端IT技术,请 点击这里 注册账号,公开课频道价值万元IT培训教程免费学,让您少走弯路、事半功倍,好工作升职加薪!



免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!


鲜花

握手

雷人

路过

鸡蛋

相关阅读

最新评论

最新

返回顶部