2014年4月28日星期一

Solidot: 如何利用Heartbleed漏洞窃取私钥

Solidot

奇客的资讯,重要的东西

如何利用Heartbleed漏洞窃取私钥
http://solidot.org.feedsportal.com/c/33236/f/556826/s/39d4c8a5/sc/28/l/0L0Ssolidot0Borg0Cstory0Dsid0F39325/story01.htm
Apr 28th 2014, 12:01

OpenSSL的Heartbleed漏洞会泄露用户敏感数据,也会泄露网站私钥。云计算公司CloudFlare的挑战赛证明窃取私钥是可能的。剑桥大学计算机实验室安全团队的博士生Rubin Xu在Ars上发表文章,介绍他如何利用Heartbleed漏洞窃取网站的私钥。Rubin Xu解释说,2048位的N是两个随机生成的大素数p和q的乘积,N是公开的,而p和q是保密的。要发现p或q以获取密钥,一种方法是因式分解N,但这非常困难。有了Heartbleed漏洞,攻击就变得简单多了:因为Web服务器需要内存中的私钥签名TLS握手,因此p和q必须保留在内存中,所以可尝试利用 Heartbleed数据包获取它们。我们知道p和q是1024位,而OpenSSL在内存中是以小端格式储存数据,窃取密钥的暴力攻击方法是将Heartbleed包中每一个连续的128位字节看作小端数,测试它们是否能被N相除。This entry passed through the Full-Text RSS service — if this is your content and you're reading it on someone else's site, please read the FAQ at fivefilters.org/content-only/faq.php#publishers.



You are receiving this email because you subscribed to this feed at https://blogtrottr.com

If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/cz0/jPbdSR

没有评论:

发表评论

博客归档