本月大事件：用侧信道攻击加密

新的研究表明，加密代码通常容易遭受侧信道攻击。

一种名为PortSmash的攻击展示了如何在现代CPUs的超线程功能中利用侧信道。相关的攻击PoC(Proof of Concert)在GitHub上公开了，同时还有一篇研究论文。

侧信道攻击的核心思想科林·珀西瓦尔在13年前就发表过。OpenSSL代码易受攻击的原因是它具有基于秘钥的分支。OpenSSL已经发布了一个安全建议。

此外，影响OpenSSLDSA和ECDSA算法的另一种不相关的侧信道攻击已被修复。有关攻击的细节尚未公布。OpenSSL已经发布了1.0.2q、1.1.0j和修复的1.1.1a版本。

本月短新闻

• Squid代理软件的TLS错误消息中发现了跨站点脚本漏洞。
• 有三篇研究论文质疑了OCB2认证加密模式的安全性。质疑未波及其他的OCB版本，如OCB1和OCB3。TLS从未使用过OCB，但有一个草案依赖于未受影响的OCB3。
• Sennheiser的耳机软件附带了一个TLS根证书，这是一个类似于Superfish事件的漏洞。
• 一篇研究论文调查了2012年到现在TLS客户端和服务器的变化。APNIC的一篇博客文章总结了这些变化。
• Michael Driscoll创建了一个web页面，详细解释了TLS 1.3握手机制。
• ETSI已经标准化了企业版TLS (eTLS)，它是TLS 1.3的一个变体，允许通过已知的静态Diffie-Hellman密钥进行被动拦截。IETF过去也曾提出过类似的建议，但由于担心会危及TLS的安全性或导致监控被（大规模）的滥用，这些建议一直遭到拒绝。
• WISeKey和DigiCert宣称DigiCert有意收购WISeKey的证书业务，以QuoVadis的名义运营。

• ZDNet报告说，来自Paragon Initiative的Scott Arcizewski发现许多用PHP编写的内容管理系统插件代码中使用了CURL而没有验证证书。
• 物理学家米哈伊尔迪亚科诺夫(Mikhail Dyakonov)在IEEE Spectrum中指出，量子计算机不太可能实现。一个大型的量子计算机将能够破解当今的公钥密码系统，而公钥密码系统最近推动了后量子加密的研究，但目前还不清楚能够破解加密的量子计算机能否成为现实。

• 在一篇研究论文中公布了一种名为Return of the Hidden Number Problem（简称RHNP)的侧信道攻击。今年6月，NCC Gruop在一篇博客文章中宣布了这起攻击事件;大多数受影响的库已被暂时修复。
• HTTP的下一个版本很可能称为HTTP/3，加密传输将基于QUIC协议。丹尼尔斯坦伯格在一篇博文中解释了其中的细节。

文稿来源：Feisty Duck