SSL认证被攻破 安全防护不能坐以待毙

　　随着网络技术的快速发展，网络已经成为人们日常生活中的重要组成部分，网上购物、网上炒股、网上缴费都已非常普遍，而这些页面上的操作都需要输入一些敏感数据，例如银行账号、交易密码等，所以网络安全已经成为网民最关注的问题。

　　现在的网上银行以及电子商务网站等大都是采用SSL加密认证的方式，在服务器端采用支持SSL认证的服务器，而终端用户则采用支持SSL认证的浏览器来实现安全通信。然而在去年12月27日至30日在柏林召开的“混沌通信”会议上研究人员宣布：他们通过利用MD5加密算法漏洞攻破了SSL加密技术，成功搭建一个伪造的证书授权中心(CA)，其颁发的证书能够被所有要求SSL的网站接受。那么现在的网上交易已经不安全了?其实事情还没有那么糟，研究人员做的这次攻击为的是使大家明确问题所在，并且研究者们表示，要想复制此破解过程，至少还需要6个月的时间，因此距离黑客利用此法实现真正攻击还有一些时间。

　　什么是SSL

　　SSL(即Secure Sockets Layer)安全套接层，它是一种国际通用的Web安全标准。SSL技术主要通过对敏感数据加密来防止各种攻击非法读取重要信息，包括我们经常遇到的如数据劫持和钓鱼攻击等，通过SSL只有授权用户才能读取数据，另外SSL技术还能够保证用户有效访问网站。值得一提的是，SSL技术能够内置于所有操作系统、Web应用程序和服务器硬件，这样通过SSL加密技术可以为用户提供一个强大且安全的网络环境。

　　SSL如何被攻破?

　　在MD5算法中有一个名为MD5“冲突”的漏洞，通过这个漏洞能够让两条不同的信息拥有同样的MD5码。因此理论上可以利用该漏洞攻击数字签名认证系统。通过研究人员的实际操作这一理论最终得到了证实，该漏洞确实可以被用来破解SSL加密，从而对整个互联网的安全构架造成冲击。

　　PlayStation实验室

　　此次的破解尝试共分为两步，第一步的运算量巨大，需要运用分布式运算完成。而第二步运算量较小，仅需一台顶级四核PC即可。面对艰巨的第一步，研究者们在瑞士洛桑联邦理工大学搭建了一个“PlayStation实验室”，使用200台PS3游戏机，平均分配30GB内存进行运算，在一个周末的时间内，研究者们共进行了三次尝试，制造MD5“冲突”的总运算量为2的51.x次方。最终他们成功伪造了一个证书授权中心，可以随意签发SSL证书，突破各种SSL加密网站。

微信扫一扫实时了解行业动态

微信扫一扫分享本文给好友