Heartbleed漏洞会泄露用户敏感数据 也会泄露网站私钥

  OpenSSL的Heartbleed漏洞会泄露用户敏感数据,也会泄露网站私钥。
  云计算公司CloudFlare的挑战赛证明窃取私钥是可能的。
  剑桥大学计算机实验室安全团队的博士生Rubin Xu在Ars上发表文章,介绍他如何利用Heartbleed漏洞窃取网站的私钥。
  Rubin Xu解释说,2048位的N是两个随机生成的大素数p和q的乘积,N是公开的,而p和q是保密的。
  要发现p或q以获取密钥,一种方法是因式分解N,但这非常困难。
  有了Heartbleed漏洞,攻击就变得简单多了:因为Web服务器需要内存中的私钥签名TLS握手,因此p和q必须保留在内存中,所以可尝试利用 Heartbleed数据包获取它们。
  我们知道p和q是1024位,而OpenSSL在内存中是以小端格式储存数据,窃取密钥的暴力攻击方法是将Heartbleed包中每一个连续的128位字节看作小端数,测试它们是否能被N相除。

上一篇:智能无惧挑战 山石网科轰动RSA2015

下一篇:全美第一黑客组织正开发新型通讯工具 取而代之的是无线电