SSL加密認證被攻破 數據安全如何保證
隨著網絡技術的快速發展,網絡已經成為人們日常生活中的重要組成部分,網上購物、網上炒股、網上繳費都已非常普遍,而這些頁面上的操作都需要輸入一些敏感數據,例如銀行賬號、交易密碼等,所以網絡安全已經成為網民最關注的問題。
現在的網上銀行以及電子商務網站等大都是采用SSL加密認證的方式,在服務器端采用支持SSL認證的服務器,而終端用戶則采用支持SSL認證的瀏覽器來實現安全通信。然而在去年12月27日至30日在柏林召開的“混沌通信”會議上研究人員宣布:他們通過利用MD5加密算法漏洞攻破了SSL加密技術,成功搭建一個偽造的證書授權中心(CA),其頒發的證書能夠被所有要求SSL的網站接受。那么現在的網上交易已經不安全了?其實事情還沒有那么糟,研究人員做的這次攻擊為的是使大家明確問題所在,并且研究者們表示,要想復制此破解過程,至少還需要6個月的時間,因此距離黑客利用此法實現真正攻擊還有一些時間。
什么是SSL
SSL(即Secure Sockets Layer)安全套接層,它是一種國際通用的Web安全標準。SSL技術主要通過對敏感數據加密來防止各種攻擊非法讀取重要信息,包括我們經常遇到的如數據劫持和釣魚攻擊等,通過SSL只有授權用戶才能讀取數據,另外SSL技術還能夠保證用戶有效訪問網站。值得一提的是,SSL技術能夠內置于所有操作系統、Web應用程序和服務器硬件,這樣通過SSL加密技術可以為用戶提供一個強大且安全的網絡環境。
SSL如何被攻破?
在MD5算法中有一個名為MD5“沖突”的漏洞,通過這個漏洞能夠讓兩條不同的信息擁有同樣的MD5碼。因此理論上可以利用該漏洞攻擊數字簽名認證系統。通過研究人員的實際操作這一理論最終得到了證實,該漏洞確實可以被用來破解SSL加密,從而對整個互聯網的安全構架造成沖擊。
| PlayStation實驗室 |
此次的破解嘗試共分為兩步,第一步的運算量巨大,需要運用分布式運算完成。而第二步運算量較小,僅需一臺頂級四核PC即可。面對艱巨的第一步,研究者們在瑞士洛桑聯邦理工大學搭建了一個“PlayStation實驗室”,使用200臺PS3游戲機,平均分配30GB內存進行運算,在一個周末的時間內,研究者們共進行了三次嘗試,制造MD5“沖突”的總運算量為2的51.x次方。最終他們成功偽造了一個證書授權中心,可以隨意簽發SSL證書,突破各種SSL加密網站。
采用新的算法
這次的成功破解贏得了業界的贊譽,因為在黑客利用這個漏洞前我們發現了它。VeriSign公司(該公司的RapidSSL認證使用MD5算法)也快速做出反應,并已開始解決證書產品中的這些問題,并承諾任何受到問題證書影響的用戶都可以從公司免費獲得全新的未受影響的證書。
然而就調查機構顯示,互聯網上所有認證中的14%是采用MD5算法加密,這就說明一旦此攻擊技術被黑客們掌握,互聯網的安全構架將受到很嚴重的破壞,為此Verisign公司已經停止在SSL中使用MD5加密算法,將會采用更為成熟的SHA-1算法,這種算法在非MD5的證書中被廣泛使用。
但SHA-1算法就真的安全嗎?據研究顯示SHA-1可能同樣存在碰撞攻擊的漏洞,所以在改進運算法則之前,如果使用速度更快的PlayStations游戲站來測試的話,SHA-1的崩潰也僅是時間問題。因此,我們需要更加安全的加密算法來取代SHA-1。
目前看來,有望取代SHA-1算法的是一種使用變量長度密匙的SHA-2加強版算法,它能衍生出SHA-224,SHA-256,SHA-384和SHA-512等加密算法,對安全性有一定的提高。目前國際技術標準協會(NIST)正在就新的散列函數進行競爭,希望通過SHA-3來制定新一代的標準。
另外,不使用MD5函數的擴展驗證SSL(EV SSL)為我們帶來新的希望,EV SSL證書能夠確保網站和消費者瀏覽器間的安全加密通信,同時能夠驗證網站的真實性,使所有的訪問者知道他們訪問的確實是他們想要訪問的網站,而不是黑客網站。目前包括IE7、Firefox3在內的瀏覽器均已支持EV SSL證書。
總結:
對于終端用戶來說,采用全新加密認證的瀏覽器要比老舊的版本安全的多,雖然舊的版本也在進行補丁更新,但廠商是不會一直更新下去的;而新的瀏覽器也會帶來全新的功能,比如顯示第三方認證等,這些都能提升終端用戶的安全性,因此筆者建議大家及時更新瀏覽器,以免不必要的麻煩。
對于安全領域來說,上面介紹的SSL加密算法可以起到提升安全性的作用,然而我們必須看到,沒有絕對安全的加密認證,這次SSL認證被攻破已經為我們敲響警鐘,出現問題才做補救無異于坐以待斃。在安全領域中我們必須要未雨綢繆,加緊制定全新的安全標準,改進安全構架,因為在安全世界中,看似沒有問題,實則隱患重重。
【編輯推薦】
