本月大事件:
来自阿联酋的DarkMatter拥有一个证书颁发机构。
DarkMatter, 阿联酋一家颇具争议的公司,对证书颁发机构的可信度提出了一些问题。
据Reuters(路透社)报道,DarkMatter是“Project Raven” 的幕后黑手,在该项目中,NSA(美国国家安全局)的前雇员为UAE(阿联酋)实施了攻击性的黑客行动。包括监视人权活动家,据路透社报道,特别包括了针对被判10年监禁的Ahmed Mansoor的监视行动。
Claudio Guarnieri,Amnesty International的技术专家,他指出DarkMatter已经申请了Mozilla的证书根存储。不久之后,Electronic Frontier Foundation (EFF)要求Mozilla拒绝这个请求,并提到DarkMatter已经有了一个能够颁发浏览器信任的TLS证书的中间证书。
DarkMatter中间证书由QuoVadis签发,该证书颁发机构最近被DigiCert收购。
Mozilla的Wayne Thayer在Mozilla安全策略列表上发起了一场讨论,询问如何处理这个问题。“本讨论的目的是确定Mozilla是否应该通过将由QuoVadis签名的中间CA证书添加到OneCRL来不信任DarkMatter,并拒绝待处理的根包含请求。”Thayer写道。
本月短新闻:
- NIST发布了关于第一轮后量子密码学标准化进程的状态报告。
- Firefox 65解决了使用TLS拦截的杀毒应用程序带来了问题。
- 在Go语言实现的椭圆曲线算法中发现并修复了dos(denial-of-service)漏洞。
- Courier Mail Transfer Agent已经开始在开发版本中对传出邮件初步支持MTA-STS。
- University of Hamburg的研究人员分析了跨主机名的会话共享对性能的影响。
- NCC的David Wong在一篇博客文章中解释了如何使用Bleichenbacher漏洞对TLS 1.3实施降级攻击。此博客基于去年发表的一篇研究,该研究在12月的时事通讯中提到过。
- Stockholm University Jennifer Chamberlain的硕士论文概述了后量子基于晶格的密钥封装机制(KEMs)。
- 根据Mozilla的Bugzilla的报告,韩国已经开始基于SNI名称屏蔽网站
- Tavis Ormandy在MatrixSSL中披露了一个栈缓冲区溢出问题,该溢出是由针对BERserk签名伪造漏洞的测试证书触发的。Filippo Valsorda为在线测试创建了测试证书。
- Mozilla 的Wayne Thayer 在一篇博客中解释了Mozilla根证书存储的问题。
- Microsoft 将很快在Windows 更新的签名中抛弃SHA1算法。
- James Bromberger 在conf.au做了一个演讲,讲解了web中TLS的现状。视频点击链接 .。
- Tripwire 的Craig Young 在一篇博客文章中 对两个新的TLS漏洞—Zombie POODLE 和GOLDENDOODLE—进行了解释说明。他们是padding oracle 攻击的变种,针对的是2或更早版本的CBC模式。
- Ruhr-University Bochum 的研究人员也对padding oracle进行了研究并发表了他们的初步成果。他们将在USENIX 2019会议上发表该研究论文。
- 之前提到过的影响OpenSSL的padding oracle漏洞的其中一个漏洞在0.2r版本中已被修复。未影响OpenSSL1.1。此漏洞仅在异常情况下才会发生,依赖于OpenSSL API的错误使用。OpenSSL还发布了修复bug的1.1.1 1b版本。
- OpenSSL开发人员在战略架构和设计文档中解释了他们对未来版本0.0的计划。
- University of Hamburg 的研究人员分析了QUIC如何用于网络用户跟踪 。
- 定义新认证加密模式的CAESAR竞赛公布了在挑选出的密码模式组合中获胜的最终组合 。
文稿来源:Feisty Duck