Red Hat的安全研究员Florian Weimer报告(PDF),多个厂家销售的网络硬件没有正确实现RSA公钥加密系统,使用这些不安全设备的HTTPS网站会暴露其私钥。他对数百万IP地址的扫描获取到了272个私钥。其设备存在漏洞的制造商包括思杰(Citrix)、山石网科、翱腾/北电、Viprinet、侠诺科技、合勤科技、BEJY和飞塔等。问题与基于中国剩余定理的优化有关。早在1996年,研究人员就警告,使用基于中国剩余定理的优化会使得在计算RSA签名中间发生错误,该错误会导致使用完善前向保密(perfect forward secrecy)协议保护的HTTPS网站泄露数据,而泄露的数据可被攻击者通过侧信道攻击获取网站的私钥。
RSA实现漏洞暴露HTTPS网站的私钥
内容版权声明:除非注明,否则皆为本站原创文章。
转载注明出处:https://www.heiqu.com/58099b661972bb71f21dea7f8e37490c.html