Solidot: 如何利用Heartbleed漏洞窃取私钥

Solidot

奇客的资讯，重要的东西

如何利用Heartbleed漏洞窃取私钥
http://solidot.org.feedsportal.com/c/33236/f/556826/s/39d4c8a5/sc/28/l/0L0Ssolidot0Borg0Cstory0Dsid0F39325/story01.htm
Apr 28th 2014, 12:01

OpenSSL的Heartbleed漏洞会泄露用户敏感数据，也会泄露网站私钥。云计算公司CloudFlare的挑战赛证明窃取私钥是可能的。剑桥大学计算机实验室安全团队的博士生Rubin Xu在Ars上发表文章，介绍他如何利用Heartbleed漏洞窃取网站的私钥。Rubin Xu解释说，2048位的N是两个随机生成的大素数p和q的乘积，N是公开的，而p和q是保密的。要发现p或q以获取密钥，一种方法是因式分解N，但这非常困难。有了Heartbleed漏洞，攻击就变得简单多了：因为Web服务器需要内存中的私钥签名TLS握手，因此p和q必须保留在内存中，所以可尝试利用 Heartbleed数据包获取它们。我们知道p和q是1024位，而OpenSSL在内存中是以小端格式储存数据，窃取密钥的暴力攻击方法是将Heartbleed包中每一个连续的128位字节看作小端数，测试它们是否能被N相除。This entry passed through the Full-Text RSS service — if this is your content and you're reading it on someone else's site, please read the FAQ at fivefilters.org/content-only/faq.php#publishers.



You are receiving this email because you subscribed to this feed at https://blogtrottr.com

If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/cz0/jPbdSR