-
-
Heartbleed漏洞会泄露用户敏感数据 也会泄露网站私钥
-
发表于:
2014-4-29 14:06
895
-
Heartbleed漏洞会泄露用户敏感数据 也会泄露网站私钥
OpenSSL的Heartbleed漏洞会泄露用户敏感数据,也会泄露网站私钥。
云计算公司CloudFlare的挑战赛证明窃取私钥是可能的。
剑桥大学计算机实验室安全团队的博士生Rubin Xu在Ars上发表文章,介绍他如何利用Heartbleed漏洞窃取网站的私钥。
Rubin Xu解释说,2048位的N是两个随机生成的大素数p和q的乘积,N是公开的,而p和q是保密的。
要发现p或q以获取密钥,一种方法是因式分解N,但这非常困难。
有了Heartbleed漏洞,攻击就变得简单多了:因为Web服务器需要内存中的私钥签名TLS握手,因此p和q必须保留在内存中,所以可尝试利用 Heartbleed数据包获取它们。
我们知道p和q是1024位,而OpenSSL在内存中是以小端格式储存数据,窃取密钥的暴力攻击方法是将Heartbleed包中每一个连续的128位字节看作小端数,测试它们是否能被N相除。
[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!
