首页 > 欧美在线幼女 >随机的公共密钥不是那么随机的
2018
04-16

随机的公共密钥不是那么随机的


用于保护在线流量的系统的公钥密码系统,带有显着的缺陷,一组欧美数学家和密码学家发现。

公钥密码系统要求发送者和接收者分别有一个数字密钥加密和解密。其中一个密钥是保密的。

为了安全工作,必须随机生成密钥。然而,研究人员发现他们发现的一些密钥有重复,这可能允许其中一个副本的所有者侵入另一个副本的信息。

除了由不同的证书颁发机构重新签署同一个密钥的情况外,“所观察到的问题代表安全问题,实际上对安全缺陷没有任何可接受的规范”,总裁兼首席科学家Paul Kocher密码学研究,告诉TechNewsWorld。研究人员从网上收集了1170万个可公开访问的公钥。这些包含了640万个不同的RSA模块。

RSA是公钥密码学的一种算法。用户创建并发布两个大素数的乘积和一个辅助值作为他们的公钥,但保持素质因素的秘密。

该团队发现,660万个不同的X.509证书和PGP密钥中有4%具有重复的RSA模块。而且,1.1%的模量不止一次地被复制,有的被复制了数千次。

X.509是国际电信联盟制定的标准,为公钥证书,属性证书和其他公钥基础设施指定了标准格式。

这是一个X.509证书的示例。

PGP或Pretty Good Privacy是一种数据加密和解密程序,用于加密电子邮件,文件,导向器和整个磁盘分区等等。

该研究团队的发现发表在将于8月份在加利福尼亚州圣巴巴拉举行的第32届国际密码学会议Crypto 2012上。 Cryptography Research的Kocher评论说:“如果系统设计合理,这是一个永远不会发生的问题,所以这是日常使用的系统缺陷的证据。调查结果还“提供了一些关于安全问题普遍存在的实际统计证据,这通常是相当困难的。”

然而,这是多么严重的问题有分歧。

“这份报告谈到了一般的理论性攻击,这些攻击在一组特殊的攻击情景中可能是实用的,通常需要比使用简单的社会工程或其他标准的监视策略来获得所需的内容更多的工作。”Randy Abrams独立安全顾问告诉TechNewsWorld。 “Enderle集团首席分析师Rob Enderle指出:”任何密钥的重复都是理论上的威胁。然而,“作者并没有表现出实际的违规行为,而且......攻击者使用暴力攻击可能更容易,因为确定哪些密钥是重复的,更不用说抓住重复的密钥,可能证明是不可接受的“。 Cryptographic Research公司的Kocher说:“一些设备和设备需要安全更新,而那些依靠SSL安全来保护设备远程登录的用户可能需要考虑增加另一层安全性,比如[虚拟专用网络]。