最近兩天爆出的“堵塞”(Logjam)漏洞被許多人驚呼，“瘋怪”又來了!

“堵塞”威脅許多網(wǎng)頁服務(wù)器和郵件服務(wù)器，影響所有主流瀏覽器以及支持512位迪菲-赫爾曼(Diffie-Hellman)密鑰交換協(xié)議的服務(wù)器。而且，美國國家安全局(NSA)很可能就是利用這個漏洞破解VPN、HTTPS和SSH等協(xié)議，以訪問相關(guān)網(wǎng)絡(luò)流量的。

與“瘋怪”類似，堵塞也是通過中間人攻擊，給服務(wù)器的安全連接降級，但服務(wù)器及客戶端卻仍然認(rèn)為雙方還是使用的強(qiáng)密鑰，如768位或1024位。而且，”堵塞“也是一個古老的由TLS傳承下來的SSL漏洞。

堵塞可以用來把服務(wù)器降級到512位的連接，但即使是1024位的素?cái)?shù)密鑰也能夠被國家級的黑客破解，從而達(dá)到劫持流量的目的。據(jù)研究人員估計(jì)，排名前100萬的HTTPS域名的連接有18%可被解密，VPN和SSH服務(wù)器分別有66%和26%的加密連接可被解密。

研究人員已寫出了該漏洞的技術(shù)分析報(bào)告，報(bào)告稱在全球排名前100萬的網(wǎng)站中有8.4%的網(wǎng)站受影響，14.8%的支持SMTP和StartTLS的IPv4地址的服務(wù)器受影響。

堵塞漏洞分析報(bào)告

之前已經(jīng)有許多安全連接協(xié)議的漏洞，除了“瘋怪”以外，還有野獸、罪行和貴賓犬(Beast、Crime、Poodle)，當(dāng)然不能拉下震驚全球互聯(lián)網(wǎng)的心臟出血。但“堵塞”又有所不同，因?yàn)樗€危及到了VPN和SSH。

報(bào)告認(rèn)為美國國家安全局可能使用了“數(shù)域篩選預(yù)計(jì)算”來破解1024位的迪菲-赫爾曼密鑰交換協(xié)議。如果估計(jì)準(zhǔn)確，這將回答由愛德華·斯諾登提出來的一個懸而未決的大疑問：

NSA如何搞定廣泛使用的VPN協(xié)議?”

原文地址：http://www.aqniu.com/threat-alert/7758.html