漫谈TLS nonce
密码学的基本原则之一是你不能把多条消息用同一种编码方式进行加密。那样的话,两条相同的明文会有相同的密文,这是个危险的漏洞。(这和你不能用ECB来加密块的道理类似。) 仔细考虑一下就会发现,一个纯粹的加密函数正像任何一个其他函数一样:具有确定...
密码学的基本原则之一是你不能把多条消息用同一种编码方式进行加密。那样的话,两条相同的明文会有相同的密文,这是个危险的漏洞。(这和你不能用ECB来加密块的道理类似。) 仔细考虑一下就会发现,一个纯粹的加密函数正像任何一个其他函数一样:具有确定...
2016年的9月可谓是SSL行业的多事之秋。WoSign安全事件领跑本月大事件;Google Chrome为推行HTTPS又狠狠地来了记助攻;随着网络安全事故的频发,保障互联网安全逐渐成为热议话题。在挥别九月、迎接十月前,让我们先回头看看,...
OpnSSL在其代码库中修复了十几个安全漏洞,其中一个极为严重的bug可被利用发起DoS攻击。 OpenSSL是一个应用广泛的开源加密程序库,和其他安全服务软件一样,它为大多数使用SSL和TLS的网站实现加密。前述漏洞存在于OpenSSL的...
随着无数网络“窃听风云”事件的曝光,SSL/TLS的一个不起眼的特性忽然引起了人们的兴趣,它叫做正向保密。那么它到底是什么,为什么现在引起这么多关注? 会话密钥的生成和交换 每个SSL连接都开始于一次握手,期间双方将自己的性能数据传递给对方...
HTTP公钥固定(HPKP,见RFC7469)——一个给大家用来固定公钥的标准——也许已经死了。作为一个完全加密的、可靠的互联网支持者,我非常期待HPKP取得成功,但我担心它用起来太困难,也太危险,而且如果没有我们的维护,它什么也做不了。 ...
HTTP, HTTP2.0, HTTPS......这些词对于互联网行业从业者来说并不陌生,甚至常常被挂在嘴边。然而关于HTTP,HTTP2.0,SPDY,HTTPS,你真的足够了解吗?他们之间又存在着怎样的联系呢? 1. 什么是HTTP ...
许多电子邮件服务都不对传输中的邮件进行加密。当您通过此类服务收发电子邮件时,邮件将像邮寄途中的明信片一样,其中的内容很容易被窥探者看到。 为了改变这种情况,越来越多的电子邮件服务开始使用传输层安全协议(TLS)为发送至或来自Google电子...
你会经常听到说TLS是最重要的安全协议。通常这种说法的理由是,TLS被广泛地部署,并且为许多较高层级的协议工作。这当然没错,但相对于那些更接近较高层协议的其它协议来说,还有另一方面的原因:我们能够通过研究TLS的演化而对协议的设计有深入的了...
PKI有助于打破像TLS这样的安全措施在小型物联网设备上无用的神话。 移动设备在续航方面比过去几年有很大提高,但其它正作为物联网生态系统的一部分而兴起的设备仍受到计算能力和续航能力的限制。伴随对物联网应用和随之而来的具有大电量和大内存的设备...
一项新型技术被发现能够攻击SSL/TLS及其他安全通道,破解加密过的email地址、社保号以及各种敏感数据。 一系列的新型攻击给浏览器带来网络级攻击 通过这项漏洞,攻击者可以在网页中插入一个隐藏的JavaScript文件,以此蒙骗终端用户。...