專家破解在線加密系統 網絡銀行安全堪憂
根據美國和歐洲密碼專家團隊發布的一份報告顯示,廣泛用于保護網上銀行、電子郵件、電子商務和其他敏感網上交易的加密方法并不是那么安全。
研究人員對數百萬用于加密網上交易的公鑰進行了審查,結果發現不少公鑰容易受到攻擊。
研究人員稱,在大多數情況下,這個問題與密鑰的生成方式有關。研究表明,與這些密鑰相關的數字并沒有按照要求選取的隨機數字。
研究小組得出結論,攻擊者可以使用公鑰來猜測出相對應的私鑰以解密數據,在此之前這種情況被認為是不可能發生的。
電子前沿基金會高級技術人員PeterEckersley表示:“這是一個極其嚴重的加密漏洞,這主要是因為在為HTTPS、SSL和TSL服務器生成私鑰時使用了不太好的隨機數字。”
他表示:“我們目前正在抓緊時間通知存在漏洞密鑰的各方以及為他們頒發證書的證書頒發機構,以在最快的時間內吊銷存在漏洞的密鑰,并生成新的密鑰。”
公鑰加密是保護網上交易的基本加密系統,它涉及使用公鑰加密數據,和相關私鑰來解密數據。
例如,當用戶登錄到銀行網站或者安全的電子商務網站時,該網站的公鑰就會對交易進行加密,并且只有網站所有者使用相對應的私鑰才能解密數據。
公鑰通常是嵌入在數字證書中,這些數字證書由所謂的證書頒發機構頒發。從理論上來講,根本不可能猜測出私鑰的組成部分,沒有任何兩個公鑰/私鑰對是完全相同的。
美國獨立密碼分析師JamesHughes、瑞士洛桑聯邦理工學院教授ArjenLenstra、博士MaximeAugier以及其他三位研究人員表示,在現實中,并不是所有的密鑰生成過程都是符合安全要求的。
研究人員對660萬個使用RSA算法生成的公鑰進行了分析,并發現其中有12720個公鑰根本不安全,還有另外27000個公鑰容易受到攻擊。
這些研究人員寫道:“只要有人不怕麻煩將我們的分析工作重新做一次,就能夠獲得密鑰。假設能夠訪問公鑰集,這與檢索RSA密鑰更傳統的方法相比,更加簡單。”
研究人員檢查的密鑰來自于幾個公共數據庫,其中包括電子前沿基金會維護的數據庫。
Eckersley表示攻擊者可以相對容易地利用這個漏洞:通過配置類似的公鑰數據庫,和重復研究人員的工作來確定存在漏洞密鑰即可。
著名密碼破譯家和Blowfish加密算法的創造者BruceSchneier表示這次研究的結果非常驚人,但還需要更多信息來了解整個問題。
Schneier表示:“這是一個隨機數字生成器的問題,但是這個研究并沒有真正談論這個問題來自何處。”
他認為,這有點類似于:一萬個人有壞鎖,但并沒有提供詳細信息說明這些壞鎖屬于哪些人或者他們的位置。
這個研究中發現的隨機數字問題可能是偶然情況,或者是某些人故意制造的問題,他們試圖制造更多未加密通信。
【編輯推薦】
