六月行業新聞回顧

六月行業新聞回顧

本月大事件

網絡時間安全(Network Time Security ,NTS)最終能夠爲通過身份驗證的網絡時間提供支持。算法

做爲加密周的一部分,Cloudflare公司最近宣佈,它將運行一個時間服務器,支持網絡時間協議(NTP)的網絡時間安全(NTS)擴展。這解決了在安全協議環境中長期存在的時間問題。瀏覽器

現在,大多數計算機和其餘聯網設備都將時鐘與來自互聯網的時間源同步。然而,傳統的網絡時間協議(the Network Time Protocol)在默認狀況下不支持對數據進行身份驗證。這意味着對於中間人***者來講,傳遞錯誤的時間是很容易的。安全

這可能會產生安全後果,由於許多其餘安全協議(包括具備有效期的X.509證書和具備生命週期的HSTS等特性)都假定工做時鐘是有效的。針對HSTS的實際***在過去已經出現過。服務器

在過去,TLS時間戳被用做tlsdate工具的替代品,但它再也不被維護,TLS 1.3刪除了時間戳。OpenNTPD有一個特性,它可使用TLS提供通過身份驗證的時間限制,可是它依賴於LibreSSL,所以不能在許多系統上使用。谷歌的Adam Langley開發了Roughtime協議做爲NTP的替代方案,可是它並無獲得普遍的應用。網絡

NTP過去曾試圖經過一個名爲Autokey的程序來提供身份驗證,但它被證實是不安全的。它還支持使用對稱密鑰進行身份驗證,但這並不適合普遍使用。oracle

NTS是解決這個問題的一個新嘗試。它在通過身份驗證的TLS通道上交換密鑰,並使用密鑰來保護NTP自己。它已經開發了一段時間了,如今它彷佛很快就完成了,如何實現也能夠開始着手處理了。有一個NTS的參考實現,NTPsec剛剛發佈了一個支持NTS的新版本,Chrony有一個NTS支持的實驗性分支,更多的實現有望很快到來。app

有可能最終會提供一個普遍支持的選項,以一種安全且通過身份驗證的方式在internet上同步時間。ide

本月短新聞

△ Cloudflare啓動了一項服務,證書頒發機構可使用該服務支持多路徑域驗證。這裏的想法是,證書的域驗證是在不安全的網絡上進行的,所以容易受到各類***。在internet上的多個點上檢查域會大大下降此類***成功的可能性。工具

△ 一篇研究論文調查了當前TLS實現中的填充oracle漏洞。咱們在以前的時事通信中提到過這項研究。該論文將在即將召開的USENIX大會上正式發表。測試

△ Jonathan Leitschuh報告說,許多Java項目引用了與HTTP URLs的依賴關係,這使得它們很容易受到中間人***。

△ 兩篇論文分析了CSIDH密鑰交換算法的後量子安全性。這些論文還致使了對NIST後量子郵件列表的更長的討論。

△ YubiKey FIPS系列設備存在漏洞,其中ECDSA算法能夠在啓動後使用一個熵減少的隨機數。在ECDSA中,若是對兩個不一樣的簽名使用相同的隨機值兩次,則使用不良隨機性很容易致使對私鑰的徹底***。

△ 蘋果(apple)宣佈了iOS 13和macOS 10.15的證書要求,特別指出棄用SHA-1簽名。大多數其餘瀏覽器已取消對SHA-1的支持。

△ Curl的Windows版本有一個bug,在這個bug中,沒有特權的用戶能夠經過OpenSSL的引擎功能注入代碼。一樣的錯誤也在Stunnel中被發現並修復。Curl開發人員Daniel Stenberg說,這個問題在使用OpenSSL的Windows應用程序中很是廣泛。

△ 克羅地亞的the Summer School on Real-World Cryptography and Privacy今年6月就TLS和密碼學舉行了各類講座。它的網頁上有相關的幻燈片。

△ Filippo Valsorda和Ben Cartwright-Cox正在研究age,這是一種簡單的文件加密工具和格式。它如今只是一個設計文檔,尚未代碼。

△ OpenSSH實施了一些更改,試圖經過加密密鑰保護內存,使其免受潛在的硬件側通道***。

△ Cloudflare宣佈將與Google合做測試後量子密鑰交換算法。HRSS-SXY和SIKE將是Cloudflare服務器和Google Chrome瀏覽器測試的一部分。這兩種算法都將經過結合TLS 1.3中的X25519密鑰交換來實現。

△ Cloudflare宣佈發佈CIRCL,這是一個用Go編寫的加密庫,也支持一些後量子算法。

△ PolarProxy是一個新工具,它容許攔截TLS鏈接以進行調試,並建立解密流量的PCAP文件。

△ RAMBleed是一種相似於Rowhammer的側通道***。做爲演示,做者從另外一個進程中提取了RSA密鑰。

△Hardenize擴展了其公共儀表板的功能,以顯示受監控站點上的PKI和證書統計數據。

相關文章
相關標籤/搜索