根據(jù)美國(guó)和歐洲密碼專家團(tuán)隊(duì)發(fā)布的一份報(bào)告顯示，廣泛用于保護(hù)網(wǎng)上銀行、電子郵件、電子商務(wù)和其他敏感網(wǎng)上交易的加密方法并不是那么安全。

研究人員對(duì)數(shù)百萬(wàn)用于加密網(wǎng)上交易的公鑰進(jìn)行了審查，結(jié)果發(fā)現(xiàn)不少公鑰容易受到攻擊。

研究人員稱，在大多數(shù)情況下，這個(gè)問(wèn)題與密鑰的生成方式有關(guān)。研究表明，與這些密鑰相關(guān)的數(shù)字并沒(méi)有按照要求選取的隨機(jī)數(shù)字。

研究小組得出結(jié)論，攻擊者可以使用公鑰來(lái)猜測(cè)出相對(duì)應(yīng)的私鑰以解密數(shù)據(jù)，在此之前這種情況被認(rèn)為是不可能發(fā)生的。

電子前沿基金會(huì)高級(jí)技術(shù)人員PeterEckersley表示：“這是一個(gè)極其嚴(yán)重的加密漏洞，這主要是因?yàn)樵跒镠TTPS、SSL和TSL服務(wù)器生成私鑰時(shí)使用了不太好的隨機(jī)數(shù)字。”

他表示：“我們目前正在抓緊時(shí)間通知存在漏洞密鑰的各方以及為他們頒發(fā)證書的證書頒發(fā)機(jī)構(gòu)，以在最快的時(shí)間內(nèi)吊銷存在漏洞的密鑰，并生成新的密鑰。”

公鑰加密是保護(hù)網(wǎng)上交易的基本加密系統(tǒng)，它涉及使用公鑰加密數(shù)據(jù)，和相關(guān)私鑰來(lái)解密數(shù)據(jù)。

例如，當(dāng)用戶登錄到銀行網(wǎng)站或者安全的電子商務(wù)網(wǎng)站時(shí)，該網(wǎng)站的公鑰就會(huì)對(duì)交易進(jìn)行加密，并且只有網(wǎng)站所有者使用相對(duì)應(yīng)的私鑰才能解密數(shù)據(jù)。

公鑰通常是嵌入在數(shù)字證書中，這些數(shù)字證書由所謂的證書頒發(fā)機(jī)構(gòu)頒發(fā)。從理論上來(lái)講，根本不可能猜測(cè)出私鑰的組成部分，沒(méi)有任何兩個(gè)公鑰/私鑰對(duì)是完全相同的。

美國(guó)獨(dú)立密碼分析師JamesHughes、瑞士洛桑聯(lián)邦理工學(xué)院教授ArjenLenstra、博士MaximeAugier以及其他三位研究人員表示，在現(xiàn)實(shí)中，并不是所有的密鑰生成過(guò)程都是符合安全要求的。

研究人員對(duì)660萬(wàn)個(gè)使用RSA算法生成的公鑰進(jìn)行了分析，并發(fā)現(xiàn)其中有12720個(gè)公鑰根本不安全，還有另外27000個(gè)公鑰容易受到攻擊。

這些研究人員寫道：“只要有人不怕麻煩將我們的分析工作重新做一次，就能夠獲得密鑰。假設(shè)能夠訪問(wèn)公鑰集，這與檢索RSA密鑰更傳統(tǒng)的方法相比，更加簡(jiǎn)單。”

研究人員檢查的密鑰來(lái)自于幾個(gè)公共數(shù)據(jù)庫(kù)，其中包括電子前沿基金會(huì)維護(hù)的數(shù)據(jù)庫(kù)。

Eckersley表示攻擊者可以相對(duì)容易地利用這個(gè)漏洞：通過(guò)配置類似的公鑰數(shù)據(jù)庫(kù)，和重復(fù)研究人員的工作來(lái)確定存在漏洞密鑰即可。

著名密碼破譯家和Blowfish加密算法的創(chuàng)造者BruceSchneier表示這次研究的結(jié)果非常驚人，但還需要更多信息來(lái)了解整個(gè)問(wèn)題。

Schneier表示：“這是一個(gè)隨機(jī)數(shù)字生成器的問(wèn)題，但是這個(gè)研究并沒(méi)有真正談?wù)撨@個(gè)問(wèn)題來(lái)自何處。”

他認(rèn)為，這有點(diǎn)類似于：一萬(wàn)個(gè)人有壞鎖，但并沒(méi)有提供詳細(xì)信息說(shuō)明這些壞鎖屬于哪些人或者他們的位置。

這個(gè)研究中發(fā)現(xiàn)的隨機(jī)數(shù)字問(wèn)題可能是偶然情況，或者是某些人故意制造的問(wèn)題，他們?cè)噲D制造更多未加密通信。

【編輯推薦】

1. 安全知識(shí) 全面認(rèn)識(shí)驗(yàn)證身份的數(shù)字證書
2. 全面認(rèn)識(shí)驗(yàn)證身份的數(shù)字證書
3. 美國(guó)安全公司為客戶提供“萬(wàn)能”SSL數(shù)字證書
4. 數(shù)字證書的概念