本月大事件:用侧信道攻击加密
新的研究表明,加密代码通常容易遭受侧信道攻击。
一种名为PortSmash的攻击展示了如何在现代CPUs的超线程功能中利用侧信道。相关的攻击PoC(Proof of Concert)在GitHub上公开了,同时还有一篇研究论文。
侧信道攻击的核心思想科林·珀西瓦尔在13年前就发表过。OpenSSL代码易受攻击的原因是它具有基于秘钥的分支。OpenSSL已经发布了一个安全建议。
此外,影响OpenSSLDSA和ECDSA算法的另一种不相关的侧信道攻击已被修复。有关攻击的细节尚未公布。OpenSSL已经发布了1.0.2q、1.1.0j和修复的1.1.1a版本。
本月短新闻
- Squid代理软件的TLS错误消息中发现了跨站点脚本漏洞。
- 有三篇研究论文质疑了OCB2认证加密模式的安全性。质疑未波及其他的OCB版本,如OCB1和OCB3。TLS从未使用过OCB,但有一个草案依赖于未受影响的OCB3。
- Sennheiser的耳机软件附带了一个TLS根证书,这是一个类似于Superfish事件的漏洞。
- 一篇研究论文调查了2012年到现在TLS客户端和服务器的变化。APNIC的一篇博客文章总结了这些变化。
- Michael Driscoll创建了一个web页面,详细解释了TLS 1.3握手机制。
- ETSI已经标准化了企业版TLS (eTLS),它是TLS 1.3的一个变体,允许通过已知的静态Diffie-Hellman密钥进行被动拦截。IETF过去也曾提出过类似的建议,但由于担心会危及TLS的安全性或导致监控被(大规模)的滥用,这些建议一直遭到拒绝。
- WISeKey和DigiCert宣称DigiCert有意收购WISeKey的证书业务,以QuoVadis的名义运营。
- ZDNet报告说,来自Paragon Initiative的Scott Arcizewski发现许多用PHP编写的内容管理系统插件代码中使用了CURL而没有验证证书。
- 物理学家米哈伊尔迪亚科诺夫(Mikhail Dyakonov)在IEEE Spectrum中指出,量子计算机不太可能实现。一个大型的量子计算机将能够破解当今的公钥密码系统,而公钥密码系统最近推动了后量子加密的研究,但目前还不清楚能够破解加密的量子计算机能否成为现实。
- 在一篇研究论文中公布了一种名为Return of the Hidden Number Problem(简称RHNP)的侧信道攻击。今年6月,NCC Gruop在一篇博客文章中宣布了这起攻击事件;大多数受影响的库已被暂时修复。
- HTTP的下一个版本很可能称为HTTP/3,加密传输将基于QUIC协议。丹尼尔斯坦伯格在一篇博文中解释了其中的细节。
文稿来源:Feisty Duck