隨著網(wǎng)絡(luò)技術(shù)的快速發(fā)展，網(wǎng)絡(luò)已經(jīng)成為人們?nèi)粘Ｉ钪械闹匾M成部分，網(wǎng)上購物、網(wǎng)上炒股、網(wǎng)上繳費都已非常普遍，而這些頁面上的操作都需要輸入一些敏感數(shù)據(jù)，例如銀行賬號、交易密碼等，所以網(wǎng)絡(luò)安全已經(jīng)成為網(wǎng)民最關(guān)注的問題。

現(xiàn)在的網(wǎng)上銀行以及電子商務(wù)網(wǎng)站等大都是采用SSL加密認證的方式，在服務(wù)器端采用支持SSL認證的服務(wù)器，而終端用戶則采用支持SSL認證的瀏覽器來實現(xiàn)安全通信。然而在去年12月27日至30日在柏林召開的“混沌通信”會議上研究人員宣布：他們通過利用MD5加密算法漏洞攻破了SSL加密技術(shù)，成功搭建一個偽造的證書授權(quán)中心(CA)，其頒發(fā)的證書能夠被所有要求SSL的網(wǎng)站接受。那么現(xiàn)在的網(wǎng)上交易已經(jīng)不安全了?其實事情還沒有那么糟，研究人員做的這次攻擊為的是使大家明確問題所在，并且研究者們表示，要想復(fù)制此破解過程，至少還需要6個月的時間，因此距離黑客利用此法實現(xiàn)真正攻擊還有一些時間。

什么是SSL

SSL(即Secure Sockets Layer)安全套接層，它是一種國際通用的Web安全標準。SSL技術(shù)主要通過對敏感數(shù)據(jù)加密來防止各種攻擊非法讀取重要信息，包括我們經(jīng)常遇到的如數(shù)據(jù)劫持和釣魚攻擊等，通過SSL只有授權(quán)用戶才能讀取數(shù)據(jù)，另外SSL技術(shù)還能夠保證用戶有效訪問網(wǎng)站。值得一提的是，SSL技術(shù)能夠內(nèi)置于所有操作系統(tǒng)、Web應(yīng)用程序和服務(wù)器硬件，這樣通過SSL加密技術(shù)可以為用戶提供一個強大且安全的網(wǎng)絡(luò)環(huán)境。

SSL如何被攻破?

在MD5算法中有一個名為MD5“沖突”的漏洞，通過這個漏洞能夠讓兩條不同的信息擁有同樣的MD5碼。因此理論上可以利用該漏洞攻擊數(shù)字簽名認證系統(tǒng)。通過研究人員的實際操作這一理論最終得到了證實，該漏洞確實可以被用來破解SSL加密，從而對整個互聯(lián)網(wǎng)的安全構(gòu)架造成沖擊。

此次的破解嘗試共分為兩步，第一步的運算量巨大，需要運用分布式運算完成。而第二步運算量較小，僅需一臺頂級四核PC即可。面對艱巨的第一步，研究者們在瑞士洛桑聯(lián)邦理工大學(xué)搭建了一個“PlayStation實驗室”，使用200臺PS3游戲機，平均分配30GB內(nèi)存進行運算，在一個周末的時間內(nèi)，研究者們共進行了三次嘗試，制造MD5“沖突”的總運算量為2的51.x次方。最終他們成功偽造了一個證書授權(quán)中心，可以隨意簽發(fā)SSL證書，突破各種SSL加密網(wǎng)站。

采用新的算法

這次的成功破解贏得了業(yè)界的贊譽，因為在黑客利用這個漏洞前我們發(fā)現(xiàn)了它。VeriSign公司(該公司的RapidSSL認證使用MD5算法)也快速做出反應(yīng)，并已開始解決證書產(chǎn)品中的這些問題，并承諾任何受到問題證書影響的用戶都可以從公司免費獲得全新的未受影響的證書。

然而就調(diào)查機構(gòu)顯示，互聯(lián)網(wǎng)上所有認證中的14%是采用MD5算法加密，這就說明一旦此攻擊技術(shù)被黑客們掌握，互聯(lián)網(wǎng)的安全構(gòu)架將受到很嚴重的破壞，為此Verisign公司已經(jīng)停止在SSL中使用MD5加密算法，將會采用更為成熟的SHA-1算法，這種算法在非MD5的證書中被廣泛使用。

但SHA-1算法就真的安全嗎?據(jù)研究顯示SHA-1可能同樣存在碰撞攻擊的漏洞，所以在改進運算法則之前，如果使用速度更快的PlayStations游戲站來測試的話，SHA-1的崩潰也僅是時間問題。因此，我們需要更加安全的加密算法來取代SHA-1。

目前看來，有望取代SHA-1算法的是一種使用變量長度密匙的SHA-2加強版算法，它能衍生出SHA-224,SHA-256,SHA-384和SHA-512等加密算法，對安全性有一定的提高。目前國際技術(shù)標準協(xié)會(NIST)正在就新的散列函數(shù)進行競爭，希望通過SHA-3來制定新一代的標準。

另外，不使用MD5函數(shù)的擴展驗證SSL(EV SSL)為我們帶來新的希望，EV SSL證書能夠確保網(wǎng)站和消費者瀏覽器間的安全加密通信，同時能夠驗證網(wǎng)站的真實性，使所有的訪問者知道他們訪問的確實是他們想要訪問的網(wǎng)站，而不是黑客網(wǎng)站。目前包括IE7、Firefox3在內(nèi)的瀏覽器均已支持EV SSL證書。

總結(jié)：

對于終端用戶來說，采用全新加密認證的瀏覽器要比老舊的版本安全的多，雖然舊的版本也在進行補丁更新，但廠商是不會一直更新下去的;而新的瀏覽器也會帶來全新的功能，比如顯示第三方認證等，這些都能提升終端用戶的安全性，因此筆者建議大家及時更新瀏覽器，以免不必要的麻煩。

對于安全領(lǐng)域來說，上面介紹的SSL加密算法可以起到提升安全性的作用，然而我們必須看到，沒有絕對安全的加密認證，這次SSL認證被攻破已經(jīng)為我們敲響警鐘，出現(xiàn)問題才做補救無異于坐以待斃。在安全領(lǐng)域中我們必須要未雨綢繆，加緊制定全新的安全標準，改進安全構(gòu)架，因為在安全世界中，看似沒有問題，實則隱患重重。

【編輯推薦】

1. SSL認證加密被攻破 安全防范需加強
2. 為FTP穿上SSL裝甲 客戶端也能支持SSL
3. 認證與加密