担心OpenSSL使用被NSA染指的密码？这个Bug帮大忙了

由于美国和英国间谍对当今加密系统关键技术的掣肘，人们的担忧与日俱增，但是OpenSSL的用户在这件事上可以松口气了。据透露，被大量软件使用的加密工具包，从基于HTTPS的web浏览器到基于SSH的安全终端，并没有使用臭名昭著的随机数字生成算法Dual EC DRBG。而这却是由于一个现已被确定无法修复的bug。在函数库中的一处代码缺陷阻止“使用”椭圆双曲线（Dual EC）伪随机位生成算法（DRBG）的，而支持这一不安全的加密算法的不是别人，正是NSA。我们得知，OpenSSL使用的其它DRBG算法没有受影响。“从这个bug的性质可以知道，没有人使用过OpenSSL的Dual EC DRBG算法。”OpenSSL软件基金会的Steve侯爵在昨天写给约翰普金斯大学信息安全研究所的Stephen Checkoway和Matt Green的邮件中记入了这一发现。这个在fips_drbg_ec.c文件中的bug可以通过一行代码的变化，让Dual EC DRBG的状态更新，从而使它的输出过期。这是一个罕见的软件缺陷产生正面效果的实例。密码学家们对Dual EC DRBG算法的信任已有6年的历史了。而该技术在今年初被美国政府技术标准组织NIST否定[PDF]，同时EMC的安全部门RSA也告诫公众不要采用该算法。计算机科学家们现在都已经相信该算法在开发过程中就被故意设计成有缺陷，进而有效的创建了一个后门[PDF]，这样使用该算法的加密系统可以被轻易的破解。这种加密系统依靠密码安全随机数生成器使得他们非常难以预测。考虑到Dual EC DRBG算法“无论出于何种目的都是非常有害的”，我们得知，目前没有任何修复该bug的计划，这样做只会带来更多的麻烦。最好的也是最直接的解决方案是抛弃这门到现在都被美国政府支持的技术。“FIPS 140-2标准验证模块不可更改，除非付出很大的代价。而我们最近已经启动了一项计划，从正式的验证模块中彻底的删除Dual EC DRBG的代码。”Steve侯爵补充道。OpenSSL 的详细介绍：请点这里
OpenSSL 的下载地址：请点这里推荐阅读：通过OpenSSL提供FTP+SSL/TLS认证功能，并实现安全数据传输 http://www.linuxidc.com/Linux/2013-05/84986.htmOpenSSL "ssl_get_algorithm2（）"函数远程拒绝服务漏洞Samsung Galaxy S4 Knox安全平台信息泄露漏洞相关资讯 openssl

OpenSSL 与 SSL 数字证书概念贴（05月08日）
OpenSSL 摘要和签名验证指令dgst使（04月21日）
研究人员发现OpenSSL随机数生成器（04月14日）

OpenSSL 非对称加密算法DSA命令详（04月21日）
OpenSSL 证书请求和自签名命令req （04月21日）
OpenSSL交叉编译不修改Makefile的（04月02日）

本文评论查看全部评论（0）

评论声明

尊重网上道德，遵守中华人民共和国的各项有关法律法规
承担一切因您的行为而直接或间接导致的民事或刑事法律责任
本站管理人员有权保留或删除其管辖留言中的任意内容
本站有权在网站内转载或引用您的评论