OpenSSL修復加密漏洞、增強Logjam防護

來源：TechTarget中國做者：Michael Heller翻譯：張程程

OpenSSL項目團隊爲其密碼庫發佈補丁以修復一個嚴重的漏洞（該漏洞可能容許攻擊者解密HTTPS通訊），同時強化對Logjam的防護。

解密攻擊漏洞是在OpenSSL處理某些特定狀況下DH密鑰交換時發現的。一般，OpenSSL只使用所謂的「安全」質數，但在OpenSSL1.0.2中，生成參數文件的新方式將從新啓用一個質數。理論上講，攻擊者就可使用這個值來解密加密的安全通訊。

不過有諮詢師指出這種攻擊很難執行，由於它須要「攻擊者在同一我的使用相同的DH指數時完成多個信號交換」。

Micro Focus解決方案架構師Garve Hays稱該風險是有限的，由於能接觸到主要是提供Forward Secrecy的服務，諸如Gmail、Twitter以及Facebook等。

「好消息是這些企業勤於打補丁，於是風險很快會被控制，」Hays表示。「Forward Secrecy其協議特性是不容許用私鑰解密消息。所以當獲取到私鑰時，它並不能用於倒回並恢復舊有通訊。」

OpenSSL1.0.1不容易遭到這種攻擊，而使用1.0.2版本的用戶須要儘早安裝OpenSSL1.0.2補丁。

新補丁同時添加一些新的特性以進一步下降Logiam攻擊的影響。Logiam可容許中間人攻擊者讓易被攻擊的TLS鏈接更加脆弱。以前的OpenSSL補丁經過拒絕參數在768位如下的信息交換來防護該攻擊，新的補丁強化了該協定，拒絕參數在1024位如下的信息交換。