OpenSSL-安全套也不安全了
北京時間4月9日多家網站及媒體平臺曝出了一條重大消息:研究人員發現流行網絡加密開源軟件OpenSSL存在一處巨大漏洞.新聞一出,各國各地的程序員小伙伴兒們都忙的不可開交了.究竟誰在使用openssl呢?下面為你一一解答:
百度百科給出定義:
openssl是為網絡通信提供安全及數據完整性的一種安全協議,囊括了主要的密碼算法、常用的密鑰和證書封裝管理功能以及SSL協議,并提供了豐富的應用程序供測試或其它目的使用。
SSL是Secure Socket Layer(安全套接層協議)的縮寫,可以在Internet上提供秘密性傳輸。Netscape公司在推出第一個Web瀏覽器的同時,提出了SSL協議標準。其目標是保證兩個應用間通信的保密性和可靠性,可在服務器端和用戶端同時實現支持。已成為Internet上保密通訊的工業標準。安全套接層協議能使用戶/服務器應用之間的通信不被攻擊者竊聽,并且始終對服務器進行認證,還可選擇對用戶進行認證。SSL協議要求建立在可靠的傳輸層協議(TCP)之上。SSL協議的優勢在于它是與應用層協議獨立無關的,高層的應用層協議(例如:HTTP,FTP,TELNET等)能透明地建立于SSL協議之上。SSL協議在應用層協議通信之前就已經完成加密算法、通信密鑰的協商及服務器認證工作。在此之后應用層協議所傳送的數據都會被加密,從而保證通信的私密性。
通過以上敘述,SSL協議提供的安全信道有以下三個特性:
1、數據的保密性 信息加密就是把明碼的輸入文件用加密算法轉換成加密的文件以實現數據的保密。加密的過程需要用到密鑰來加密數據然后再解密。沒有了密鑰,就無法解開加密的數據。數據加密之后,只有密鑰要用一個安全的方法傳送。加密過的數據可以公開地傳送。
2、數據的完整性 加密也能保證數據的一致性。例如:消息驗證碼(MAC),能夠校驗用戶提供的加密信息,接收者可以用MAC來校驗加密數據,保證數據在傳輸過程中沒有被篡改過。
3、安全驗證 加密的另外一個用途是用來作為個人的標識,用戶的密鑰可以作為他的安全驗證的標識。SSL是利用公開密鑰的加密技術(RSA)來作為用戶端與服務器端在傳送機密資料時的加密通訊協定。
OpenSSL包含一個命令行工具用來完成OpenSSL庫中的所有功能,更好的是,它可能已經安裝到你的系統中了。
OpenSSL是一個強大的安全套接字層密碼庫,Apache使用它加密HTTPS,OpenSSH使用它加密SSH,但是,你不應該只將其作為一個庫來使用,它還是一個多用途的、跨平臺的密碼工具。
如何安裝?
linux下安裝openssl:
cd /usr/local/src wget http://www.openssl.org/source/openssl-0.9.8c.tar.gz tar -zxvf openssl-0.9.8c.tar.gz cd openssl-0.9.8c ./config --prefix=/usr/local/ --openssldir=/usr/local/openssl -g3 shared zlib-dynamic enable-camellia make && make install cd /usr/local ln -s ssl-0.9.8l ssl openssl version 顯示 OpenSSL 0.9.8c 05 Sep 2006 即為安裝成功.
誰在使用openssl?
自從互聯網進入2.0時代,用戶開始參與互聯網網站的的交互,"人"在互聯網中占據了主動地位,人們可以發博客,發照片,以及社交等等。所以網站出現了注冊和登錄功能,普通常規的記錄登錄的方法是使用cookie 和session來記錄用戶登錄信息,cookie是使用在客戶端,信息主要存儲在用戶使用的計算機瀏覽器里面。相對來說不是很安全,因為用戶可以通過偽造來模擬登錄網站,而session是記錄在服務器端,用戶登錄會在服務器端產生一個session用來記錄用戶登錄信息,此方法不易被偽造,但同時給服務器增加了負擔,而且會存在session丟失的情況。
后來非關系性數據庫開始興起,有一部分網站開始將用戶信息單獨隔離開來,登錄信息存入數據庫,主要代表的有新浪微博等一些著名的設計網站.他們主要采用token來做三次握手來驗證用戶信息,然后記錄用戶登錄狀態.這里就使用了openssl。
另外還有 網絡銀行, 電子商務網站, 政府服務平臺,證券股票交易平臺...等等。其中牽扯到用戶安全信息的地方基本上都會采用openssl。如果你看到了一個鏈接地址開頭是https那么就證明了這個網站在使用openssl。
漏洞名稱?
專家指出此次漏洞名稱為:心臟流血(Heartbleed)漏洞。
工作原理:SSL標準中包含了一個心跳選項,它可以允許處于SSL連接一端的電腦發送短信息,確認另一臺電腦仍然在線,并給與回應。研究人員發現,OpenSSL存在的一處漏洞可以使得SSL連接一端的電腦發送虛假心跳信息,欺騙另一端的電腦泄露機密信息。通俗地講,一臺存在漏洞的電腦可以被欺騙傳輸服務器內存內容。
網民怎么辦?
1.注意觀察相關事件進展,目前尚無法準確評估黑客利用OpenSSL漏洞獲得了多少數據。
2.對重要服務,盡可能開通手機驗證或動態密碼,比如支付寶、郵箱等,登錄重要服務,不僅僅需要驗證用戶名密碼,最好綁定手機,加手機驗證碼登錄。這樣就算黑客拿到帳戶密碼,登錄還有另一道門檻。
3.如果隨著事件進展,可能受累及的網絡服務在增加或更明確,建議用戶修改重要服務的登錄密碼。安全專家的建議是,一個密碼的使用時間不宜過長,超過3個月就該換掉了。
轉載請在文章開頭和結尾顯眼處標注:作者、出處和鏈接。不按規范轉載侵權必究。
未經授權嚴禁轉載,授權事宜請聯系作者本人,侵權必究。
本文禁止轉載,侵權必究。
授權事宜請至數英微信公眾號(ID: digitaling) 后臺授權,侵權必究。
評論
評論
推薦評論
全部評論(1條)