欢迎阅读 2019 年 XNUMX 月版 SSL.com 安全综述,其中我们精选了本月 SSL/TLS、数字证书、网络安全! 在本版中,我们将介绍:
TPM失败
Sirgiu Gatlan 在 Bleeping Computer 的工作 报告 来自伍斯特理工学院、吕贝克大学和加州大学圣地亚哥分校的研究小组发现了英特尔基于固件的 TPM (fTPM) 和意法半导体 TPM(可信平台模块)芯片中的两个漏洞。
这些漏洞被称为 TPM失败 由研究人员开发,允许攻击者恢复存储的私人加密密钥。 上 TPM-失败网站,研究人员指出:
我们发现基于英特尔固件的 TPM (fTPM) 以及意法半导体的 TPM 芯片存在时序泄漏。 两者在加密签名生成期间都表现出依赖于秘密的执行时间。 虽然密钥应安全地保留在 TPM 硬件内,但我们展示了此信息如何允许攻击者从基于椭圆曲线的数字签名方案中恢复 256 位私钥。
所展示的攻击是实用的,研究人员还声称
本地攻击者可以在 4-20 分钟内从 Intel fTPM 恢复 ECDSA 密钥,具体取决于访问级别。 我们甚至表明,通过在 5 小时内恢复虚拟专用网络 (VPN) 服务器的身份验证密钥,可以在快速网络上远程执行这些攻击。
加特兰指出,“脆弱的英特尔 fTPM……被绝大多数计算机制造商所使用,包括但不限于戴尔、惠普和联想”,并且“也被广泛使用 英特尔物联网 (IoT) 平台 用于工业、医疗保健、智能城市和互联车辆的产品系列。”
英特尔已经发布了 补丁 其fTPM固件修复了TPM-FAIL漏洞,意法半导体发布了抗TPM-FAIL的TPM芯片。
的委派凭证 TLS
1 月 XNUMX 日,Cloudflare 公布 支持委托凭证 TLS,一种与 Facebook 和 Mozilla 合作开发的新加密协议。 委托凭证旨在简化 SSL/TLS 跨多个全球端点的部署,例如在内容分发网络 (CDN) 中。 根据 Cloudflare 的说法,委托凭证是:
证书所有者委托使用的短期密钥 TLS。 它们的工作方式类似于授权书:您的服务器授权我们的服务器终止 TLS 在有限的时间内。 当支持此协议的浏览器连接到我们的边缘服务器时,我们可以向其显示此“授权书”,而无需返回客户的服务器以使其授权 TLS 联系。 这可以减少延迟并提高性能和可靠性。
由于在前一个凭证过期之前,委派凭证会定期推送到 CDN 的边缘服务器,因此系统避免了与基于拉取的协议相关的延迟,例如 无密钥 SSL。 您可以阅读 Facebook 和 Mozilla 关于委派凭据的公告 点击此处 和 点击此处分别从 IETF 获取完整详细信息 草案 规格。
IPv4 地址即将耗尽
RIPE(欧洲地区互联网注册机构) 公布 25 月 4 日,他们已经没有更多的 IPvXNUMX 地址了
我们从可用池中最后剩余的地址中进行了最终的 /22 IPv4 分配。 我们现在已经用完了 IPv4 地址。
RIPE 表示,即使他们没有 IPv4 地址,未来他们仍将继续“从已经停业或关闭的组织,或从返回他们不再需要的地址的网络”恢复更多地址,并将向他们发放出去到 本地互联网注册机构 (LIR)通过等候名单。
多个域名注册商遭到破坏
史蒂夫·登特 (Engadget) 报告 Web.com 及其子公司 NetworkSolutions.com 和 Register.com 于 2019 年 XNUMX 月下旬遭到攻击者的攻击。
据 Web.com 称,此次泄露涉及“有限数量的计算机系统”,“没有信用卡数据被泄露”,并且他们不认为存储的加密密码容易受到攻击(但客户应该更改它们) 。 然而,攻击者可能能够收集联系方式,例如“姓名、地址、电话号码、电子邮件地址以及我们向特定账户持有人提供的服务的信息”。
Dent 指出,域名注册的泄露可能会带来可怕的后果:
例如,黑客曾经 妥协 巴西一家银行的域名注册商将用户重定向到窃取其凭据并安装恶意软件的相似网站。 卡巴斯基实验室的德米特里·贝斯图热夫 (Dmitry Bestuzhev) 表示:“如果您的 DNS 受到网络犯罪分子的控制,那么您基本上就完蛋了。” 接线 关于事件。
