為了安全起見,也為了在廚房裡,我們有時會用舊鍋煮出最好的湯。安全研究人員 Hanno Böck、Juraj Somorovsky 和 Craig Young 剛剛發現了 1998 年的一個密碼缺陷,令人驚訝的是,該缺陷在今天仍然非常重要。這個缺陷由密碼學家 Daniel Bleichenbacher 發現,是基於基於 RSA(一種非對稱加密演算法)的 SSL/TLS 金鑰交換協定中的錯誤。它允許攻擊者找到 TLS/SSL 交換的會話金鑰並對其進行解密。
當時,這個缺陷已經被修補,但修復實施得很差。這三位研究人員採取了與 Daniel Bleichenbacher 略有不同的攻擊角度,但最終他們成功地從相同的交換協議中恢復了會話密鑰。他們稱他們的攻擊為« 布萊辛巴赫的神諭攻擊回歸 »(機器人)。「我們使用了原始攻擊的微小變化,並且成功了。這個問題很明顯»,在研究人員的部落格筆記中強調了這一點。因此,很可能其他人在過去 19 年裡就已經有了這個想法。
參加線上測試
受影響的網頁伺服器數量不容忽視。透過進行測試,研究人員在網路上 100 個最大的網站中發現了 27 個易受攻擊的網站。這些網站包括 Facebook 和 Paypal,後來縮小了這一差距。一個測試可以在線上找到您經常造訪的哪些網站也容易受到攻擊。另一方面,研究人員尚未公佈任何攻擊代碼,只是為了給網路管理員時間進行更新。
