根据美国和欧洲密码专家团队发布的一份报告显示,广泛用于保护网上银行、电子邮件、电子商务和其他敏感网上交易的加密方法并不是那么安全。
研究人员对数百万用于加密网上交易的公钥进行了审查,结果发现不少公钥容易受到攻击。
研究人员称,在大多数情况下,这个问题与密钥的生成方式有关。研究表明,与这些密钥相关的数字并没有按照要求选取的随机数字。
研究小组得出结论,攻击者可以使用公钥来猜测出相对应的私钥以解密数据,在此之前这种情况被认为是不可能发生的。
电子前沿基金会高级技术人员PeterEckersley表示:“这是一个极其严重的加密漏洞,这主要是因为在为HTTPS、SSL和TSL服务器生成私钥时使用了不太好的随机数字。”
他表示:“我们目前正在抓紧时间通知存在漏洞密钥的各方以及为他们颁发证书的证书颁发机构,以在最快的时间内吊销存在漏洞的密钥,并生成新的密钥。”
公钥加密是保护网上交易的基本加密系统,它涉及使用公钥加密数据,和相关私钥来解密数据。
例如,当用户登录到银行网站或者安全的电子商务网站时,该网站的公钥就会对交易进行加密,并且只有网站所有者使用相对应的私钥才能解密数据。
公钥通常是嵌入在数字证书中,这些数字证书由所谓的证书颁发机构颁发。从理论上来讲,根本不可能猜测出私钥的组成部分,没有任何两个公钥/私钥对是完全相同的。
美国独立密码分析师JamesHughes、瑞士洛桑联邦理工学院教授ArjenLenstra、博士MaximeAugier以及其他三位研究人员表示,在现实中,并不是所有的密钥生成过程都是符合安全要求的。
研究人员对660万个使用RSA算法生成的公钥进行了分析,并发现其中有12720个公钥根本不安全,还有另外27000个公钥容易受到攻击。
这些研究人员写道:“只要有人不怕麻烦将我们的分析工作重新做一次,就能够获得密钥。假设能够访问公钥集,这与检索RSA密钥更传统的方法相比,更加简单。”
研究人员检查的密钥来自于几个公共数据库,其中包括电子前沿基金会维护的数据库。
Eckersley表示攻击者可以相对容易地利用这个漏洞:通过配置类似的公钥数据库,和重复研究人员的工作来确定存在漏洞密钥即可。
著名密码破译家和Blowfish加密算法的创造者BruceSchneier表示这次研究的结果非常惊人,但还需要更多信息来了解整个问题。
Schneier表示:“这是一个随机数字生成器的问题,但是这个研究并没有真正谈论这个问题来自何处。”
他认为,这有点类似于:一万个人有坏锁,但并没有提供详细信息说明这些坏锁属于哪些人或者他们的位置。
这个研究中发现的随机数字问题可能是偶然情况,或者是某些人故意制造的问题,他们试图制造更多未加密通信。
【编辑推荐】
