一个密码分析团队表示,一种广泛用于保护银行、电子邮件、电子商务和其他敏感互联网交易的在线加密方法,并不像人们想象的那么安全。
据介绍,一种广泛用于保护银行、电子邮件、电子商务和其他敏感互联网交易的在线加密方法,并不像人们想象的那样安全发布的报告由美国和欧洲的密码分析员组成的小组。
研究人员审查了网站用于加密在线交易的数百万张公开密钥,发现有一小部分密钥很容易被窃取。
研究人员表示,在大多数情况下,问题与密钥生成的方式有关。研究表明,与钥匙相关的数字并不总是像需要的那样随机。
因此,该团队得出结论,攻击者可以使用公钥来猜测用于解密数据的相应私钥——这在以前被认为是不可能的。
电子前沿基金会(Electronic Frontier Foundation)高级技术专家彼得•埃克斯利(Peter Eckersley)表示,为HTTPS、SSL和TSL服务器生成私钥时,使用的随机数不够好,这是一个极其严重的加密漏洞。EFF为这项研究提供了数据。
他说:“我们目前正夜以继日地工作,通知密匙易受攻击的各方以及为他们签发证书的证书颁发机构,以便能够生成新的密匙,并撤销易受攻击的证书。”
这项研究原本计划在今年晚些时候发布,但在a纽约时报周二的故事
公钥加密是用来保护互联网交易的基础加密系统。它使用公钥加密数据,使用关联的私钥解密数据。
例如,当用户登录银行网站或安全的电子商务网站时,使用该网站的公钥对交易进行加密。数据只能由站点所有者使用相应的私钥解密。
公钥通常嵌入在所谓的证书颁发机构颁发的数字证书中。理论上,猜测私钥的组成是不可能的,而且没有两个公钥/私钥对是相同的。
然而,实际上,并不是所有的密钥都是安全生成的,根据美国独立密码分析师詹姆斯·休斯、瑞士洛桑联邦理工学院教授阿扬·伦斯特拉、博士生马克西姆·奥吉尔和其他三名研究人员的说法。
研究人员研究了使用RSA算法生成的660万个公钥,发现有12720个根本不安全,还有27000个存在漏洞。
“这些秘钥对任何想要重做我们工作的人来说都是可以获得的。假设可以访问公钥集合,与检索RSA密钥的传统方法相比,这是直接了当的。
研究人员检查的密钥是从几个公共数据库中收集的,包括EFF维护的一个数据库。
埃克斯利说,黑客可以相对容易地利用这一弱点,方法是组装一个类似的公共密钥数据库,并复制研究人员识别脆弱密钥的方法。
著名密码学家、《河豚加密算法》(the Blowfish encryption algorithm)作者布鲁斯·施尼尔(Bruce Schneier)表示,研究结果意义重大,需要更多信息才能完全理解这个问题。
“这是一个随机数产生的问题,但[这项研究]并没有真正讨论它是从哪里来的,”Schneier说。
他说,这类似于说有1万人的锁坏了,但没有提供这些锁属于谁或在哪里的细节。
他补充说,研究中发现的随机数问题可能是偶然的,也可能是有人为了窥探加密通信而故意引入的。
Jaikumar Vijayan为Computerworld报道数据安全和隐私问题、金融服务安全和电子投票。在推特上关注Jaikumar@jaivijayan,或订阅Jaikumar的RSS提要。他的电子邮件地址是jvijayan@computerworld.com。
阅读更多有关安全的内容在计算机世界的安全主题中心。
这篇文章《研究人员破解在线加密系统》最初是由作者发表的《计算机世界》 。