SSL认证被攻破 安全防护不能坐以待毙

随着网络技术的快速发展,网络已经成为人们日常生活中的重要组成部分,网上购物、网上炒股、网上缴费都已非常普遍,而这些页面上的操作都需要输入一些敏感数据,例如银行账号、交易密码等,所以网络安全已经成为网民最关注的问题。

现在的网上银行以及电子商务网站等大都是采用SSL加密认证的方式,在服务器端采用支持SSL认证的服务器,而终端用户则采用支持SSL认证的浏览器来实现安全通信。然而在去年12月27日至30日在柏林召开的“混沌通信”会议上研究人员宣布:他们通过利用MD5加密算法漏洞攻破了SSL加密技术,成功搭建一个伪造的证书授权中心(CA),其颁发的证书能够被所有要求SSL的网站接受。那么现在的网上交易已经不安全了?其实事情还没有那么糟,研究人员做的这次攻击为的是使大家明确问题所在,并且研究者们表示,要想复制此破解过程,至少还需要6个月的时间,因此距离黑客利用此法实现真正攻击还有一些时间。

什么是SSL

SSL(即Secure Sockets Layer)安全套接层,它是一种国际通用的Web安全标准。SSL技术主要通过对敏感数据加密来防止各种攻击非法读取重要信息,包括我们经常遇到的如数据劫持和钓鱼攻击等,通过SSL只有授权用户才能读取数据,另外SSL技术还能够保证用户有效访问网站。值得一提的是,SSL技术能够内置于所有操作系统、Web应用程序和服务器硬件,这样通过SSL加密技术可以为用户提供一个强大且安全的网络环境。

SSL如何被攻破?

在MD5算法中有一个名为MD5“冲突”的漏洞,通过这个漏洞能够让两条不同的信息拥有同样的MD5码。因此理论上可以利用该漏洞攻击数字签名认证系统。通过研究人员的实际操作这一理论最终得到了证实,该漏洞确实可以被用来破解SSL加密,从而对整个互联网的安全构架造成冲击。

  SSL认证被攻破 安全防护不能坐以待毙

  PlayStation实验室

此次的破解尝试共分为两步,第一步的运算量巨大,需要运用分布式运算完成。而第二步运算量较小,仅需一台顶级四核PC即可。面对艰巨的第一步,研究者们在瑞士洛桑联邦理工大学搭建了一个“PlayStation实验室”,使用200台PS3游戏机,平均分配30GB内存进行运算,在一个周末的时间内,研究者们共进行了三次尝试,制造MD5“冲突”的总运算量为2的51.x次方。最终他们成功伪造了一个证书授权中心,可以随意签发SSL证书,突破各种SSL加密网站。

采用新的算法

这次的成功破解赢得了业界的赞誉,因为在黑客利用这个漏洞前我们发现了它。VeriSign公司(该公司的RapidSSL认证使用MD5算法)也快速做出反应,并已开始解决证书产品中的这些问题,并承诺任何受到问题证书影响的用户都可以从公司免费获得全新的未受影响的证书。

然而就调查机构显示,互联网上所有认证中的14%是采用MD5算法加密,这就说明一旦此攻击技术被黑客们掌握,互联网的安全构架将受到很严重的破坏,为此Verisign公司已经停止在SSL中使用MD5加密算法,将会采用更为成熟的SHA-1算法,这种算法在非MD5的证书中被广泛使用。

但SHA-1算法就真的安全吗?据研究显示SHA-1可能同样存在碰撞攻击的漏洞,所以在改进运算法则之前,如果使用速度更快的PlayStations游戏站来测试的话,SHA-1的崩溃也仅是时间问题。因此,我们需要更加安全的加密算法来取代SHA-1。

目前看来,有望取代SHA-1算法的是一种使用变量长度密匙的SHA-2加强版算法,它能衍生出SHA-224,SHA-256,SHA-384和SHA-512等加密算法,对安全性有一定的提高。目前国际技术标准协会(NIST)正在就新的散列函数进行竞争,希望通过SHA-3来制定新一代的标准。

另外,不使用MD5函数的扩展验证SSL(EV SSL)为我们带来新的希望,EV SSL证书能够确保网站和消费者浏览器间的安全加密通信,同时能够验证网站的真实性,使所有的访问者知道他们访问的确实是他们想要访问的网站,而不是黑客网站。目前包括IE7、Firefox3在内的浏览器均已支持EV SSL证书。

总结:

对于终端用户来说,采用全新加密认证的浏览器要比老旧的版本安全的多,虽然旧的版本也在进行补丁更新,但厂商是不会一直更新下去的;而新的浏览器也会带来全新的功能,比如显示第三方认证等,这些都能提升终端用户的安全性,因此笔者建议大家及时更新浏览器,以免不必要的麻烦。

对于安全领域来说,上面介绍的SSL加密算法可以起到提升安全性的作用,然而我们必须看到,没有绝对安全的加密认证,这次SSL认证被攻破已经为我们敲响警钟,出现问题才做补救无异于坐以待毙。在安全领域中我们必须要未雨绸缪,加紧制定全新的安全标准,改进安全构架,因为在安全世界中,看似没有问题,实则隐患重重。