Cryptography研究人员本周关于SSL / TLS证书中使用的RC4算法的弱点正在被称为证书颁发机构的组次数安全议会(CASC)最近成立,以解决关于该领域的安全问题。
“虽然有趣,但袭击不代表对SSL / TLS的用户(包括网上银行,电子商务,社交网络等)的直接实际威胁,”赛门铁克的技术总监Rick Andrews代表Casc表示。“这种攻击需要一个攻击者在用户的计算机上运行恶意软件,该软件将连接到特定网站并多次发送相同的消息。实际上,如果攻击者的软件可以在超过10次发送相同的消息。每秒,攻击成功仍然需要三年多的时间。“本集团也评论它的博客提出的问题。
[ 更多的:15个天才算法并不无聊
CASC正在响应关于文章的询问“Cryptographers展示了普通网加密的新裂缝”福布斯作者安迪格伦贝格指出,在本周新加坡的快速加密会议上,伊利诺伊大学芝加哥教授Dan Bernstein提出了一种破坏传输层安全性的方法以及安全套接字层。文章建议攻击需要32个小时才能执行。
然而,筹集攻击的实际价值,嘉科,包括彗迪达,Digicert,Globalsign,Godaddy,Symantec和趋势科技,似乎承认这一新的RC4算法的弱点的有效性,最初由着名的密码师Ron发明最活泼。
“SSL / TLS协议的设计者预计该算法随着时间的推移将变弱,因此该协议旨在支持易于添加新算法。因此,一种算法中的弱点并不意味着SSL / TLS被打破。更新,已经开发了更强大的算法并将其纳入了SSL / TLC的最新实现中,“Andrews代表Casc表示。“现在需要什么是网络用户的用户服务器和浏览器软件更新到最新版本以最小化或消除使用弱化算法。“
安德鲁斯为赌场得出结论,“事实仍然存在,SSL / TLS仍然是最可扩展,高效的加密协议,并且,研究人员的重点是其协议,将来只会变得更加强大。”
Ellen Messmer是网络世界,IDG出版物和网站的高级编辑,有个足球雷竞技app在那里她涵盖了与信息安全相关的新闻和技术趋势。推特:@messmere.。电子邮件:emesser@nww.com.。