Total Pageviews

Saturday 5 March 2016

一个潜藏 13年的 SSL/TLS 漏洞




对称加密算法 RC4 是有线等效加密(WEP)中采用的加密算法,也曾经是 TLS 可采用的算法之一。

  1. 相关报导

    3 月 28 日, The Hacker News 的一篇文章曝出 SSL/TLS 中使用 RC4 算法的漏洞,有可能导致敏感信息明文传输及中间人攻击。
    13-year-old SSL/TLS Weakness Exposing Sensitive Data in Plain Text
    13-year-old SSL/TLS RC4 Invariance Weakness Exposing Sensitive Data in Plain Text using Bar-Mitzvah attack.
      THEHACKERNEWS.COM

    • RC4 算法的安全性曾被质疑多年

      请点击下面的链接,下载相关 PDF 文件。
        IMPERVA.COM

      • 如何避免

        作为用户,我们不可能去要求网站更改算法,只要知道如何规避风险即可。

      • Firefox




        在新标签中输入网址 about:config 点击“我保证会小心”。

        搜索 RC4

        在每一项上双击,全部禁用。

      • Chrome

        Chrome 没有提供 config 页面,请在 Chrome 启动的快捷方式后面加上一段参数

        --cipher-suite-blacklist=0x0004,0x0005,0xc011,0xc007

        相关参数对照请参看下面链接。
        Issue 58833 - chromium - Allow SSL/TLS ciphersuites to be re-prioritized by users - An open-source project to help move the web forward. - Google Project Hosting 
          CODE.GOOGLE.COM

        • One more thing……

          如何检验一个 HTTPS 网站是否用了 RC4 加密算法? Linux 下使用下面的命令:

          $ echo Q | openssl s_client -connect imququ.com:443 | grep "Cipher"

          从结果中可以看到imququ.com使用了 AES 加密算法:
          New, TLSv1/SSLv3, Cipher is ECDHE-RSA-AES128-GCM-SHA256
              Cipher    : ECDHE-RSA-AES128-GCM-SHA256

          [root]# echo Q | openssl s_client -connect imququ.com:443 | grep "Cipher"
          depth=2 C = US, O = GeoTrust Inc., OU = (c) 2008 GeoTrust Inc. - For authorized use only, CN = GeoTrust Primary Certification Authority - G3
          verify return:1
          depth=1 C = US, O = GeoTrust Inc., CN = RapidSSL SHA256 CA - G4
          verify return:1
          depth=0 CN = www.imququ.com
          verify return:1
          New, TLSv1/SSLv3, Cipher is ECDHE-RSA-AES128-GCM-SHA256
              Cipher    : ECDHE-RSA-AES128-GCM-SHA256
          DONE

          [root]#
        Posted by at
        Labels: