OpenSSL-安全套也不安全了
北京時間4月9日多家網(wǎng)站及媒體平臺曝出了一條重大消息:研究人員發(fā)現(xiàn)流行網(wǎng)絡(luò)加密開源軟件OpenSSL存在一處巨大漏洞.新聞一出,各國各地的程序員小伙伴兒們都忙的不可開交了.究竟誰在使用openssl呢?下面為你一一解答:
百度百科給出定義:
openssl是為網(wǎng)絡(luò)通信提供安全及數(shù)據(jù)完整性的一種安全協(xié)議,囊括了主要的密碼算法、常用的密鑰和證書封裝管理功能以及SSL協(xié)議,并提供了豐富的應(yīng)用程序供測試或其它目的使用。
SSL是Secure Socket Layer(安全套接層協(xié)議)的縮寫,可以在Internet上提供秘密性傳輸。Netscape公司在推出第一個Web瀏覽器的同時,提出了SSL協(xié)議標準。其目標是保證兩個應(yīng)用間通信的保密性和可靠性,可在服務(wù)器端和用戶端同時實現(xiàn)支持。已成為Internet上保密通訊的工業(yè)標準。安全套接層協(xié)議能使用戶/服務(wù)器應(yīng)用之間的通信不被攻擊者竊聽,并且始終對服務(wù)器進行認證,還可選擇對用戶進行認證。SSL協(xié)議要求建立在可靠的傳輸層協(xié)議(TCP)之上。SSL協(xié)議的優(yōu)勢在于它是與應(yīng)用層協(xié)議獨立無關(guān)的,高層的應(yīng)用層協(xié)議(例如:HTTP,F(xiàn)TP,TELNET等)能透明地建立于SSL協(xié)議之上。SSL協(xié)議在應(yīng)用層協(xié)議通信之前就已經(jīng)完成加密算法、通信密鑰的協(xié)商及服務(wù)器認證工作。在此之后應(yīng)用層協(xié)議所傳送的數(shù)據(jù)都會被加密,從而保證通信的私密性。
通過以上敘述,SSL協(xié)議提供的安全信道有以下三個特性:
1、數(shù)據(jù)的保密性 信息加密就是把明碼的輸入文件用加密算法轉(zhuǎn)換成加密的文件以實現(xiàn)數(shù)據(jù)的保密。加密的過程需要用到密鑰來加密數(shù)據(jù)然后再解密。沒有了密鑰,就無法解開加密的數(shù)據(jù)。數(shù)據(jù)加密之后,只有密鑰要用一個安全的方法傳送。加密過的數(shù)據(jù)可以公開地傳送。
2、數(shù)據(jù)的完整性 加密也能保證數(shù)據(jù)的一致性。例如:消息驗證碼(MAC),能夠校驗用戶提供的加密信息,接收者可以用MAC來校驗加密數(shù)據(jù),保證數(shù)據(jù)在傳輸過程中沒有被篡改過。
3、安全驗證 加密的另外一個用途是用來作為個人的標識,用戶的密鑰可以作為他的安全驗證的標識。SSL是利用公開密鑰的加密技術(shù)(RSA)來作為用戶端與服務(wù)器端在傳送機密資料時的加密通訊協(xié)定。
OpenSSL包含一個命令行工具用來完成OpenSSL庫中的所有功能,更好的是,它可能已經(jīng)安裝到你的系統(tǒng)中了。
OpenSSL是一個強大的安全套接字層密碼庫,Apache使用它加密HTTPS,OpenSSH使用它加密SSH,但是,你不應(yīng)該只將其作為一個庫來使用,它還是一個多用途的、跨平臺的密碼工具。
如何安裝?
linux下安裝openssl:
cd /usr/local/src wget http://www.openssl.org/source/openssl-0.9.8c.tar.gz tar -zxvf openssl-0.9.8c.tar.gz cd openssl-0.9.8c ./config --prefix=/usr/local/ --openssldir=/usr/local/openssl -g3 shared zlib-dynamic enable-camellia make && make install cd /usr/local ln -s ssl-0.9.8l ssl openssl version 顯示 OpenSSL 0.9.8c 05 Sep 2006 即為安裝成功.
誰在使用openssl?
自從互聯(lián)網(wǎng)進入2.0時代,用戶開始參與互聯(lián)網(wǎng)網(wǎng)站的的交互,"人"在互聯(lián)網(wǎng)中占據(jù)了主動地位,人們可以發(fā)博客,發(fā)照片,以及社交等等。所以網(wǎng)站出現(xiàn)了注冊和登錄功能,普通常規(guī)的記錄登錄的方法是使用cookie 和session來記錄用戶登錄信息,cookie是使用在客戶端,信息主要存儲在用戶使用的計算機瀏覽器里面。相對來說不是很安全,因為用戶可以通過偽造來模擬登錄網(wǎng)站,而session是記錄在服務(wù)器端,用戶登錄會在服務(wù)器端產(chǎn)生一個session用來記錄用戶登錄信息,此方法不易被偽造,但同時給服務(wù)器增加了負擔,而且會存在session丟失的情況。
后來非關(guān)系性數(shù)據(jù)庫開始興起,有一部分網(wǎng)站開始將用戶信息單獨隔離開來,登錄信息存入數(shù)據(jù)庫,主要代表的有新浪微博等一些著名的設(shè)計網(wǎng)站.他們主要采用token來做三次握手來驗證用戶信息,然后記錄用戶登錄狀態(tài).這里就使用了openssl。
另外還有 網(wǎng)絡(luò)銀行, 電子商務(wù)網(wǎng)站, 政府服務(wù)平臺,證券股票交易平臺...等等。其中牽扯到用戶安全信息的地方基本上都會采用openssl。如果你看到了一個鏈接地址開頭是https那么就證明了這個網(wǎng)站在使用openssl。
漏洞名稱?
專家指出此次漏洞名稱為:心臟流血(Heartbleed)漏洞。
工作原理:SSL標準中包含了一個心跳選項,它可以允許處于SSL連接一端的電腦發(fā)送短信息,確認另一臺電腦仍然在線,并給與回應(yīng)。研究人員發(fā)現(xiàn),OpenSSL存在的一處漏洞可以使得SSL連接一端的電腦發(fā)送虛假心跳信息,欺騙另一端的電腦泄露機密信息。通俗地講,一臺存在漏洞的電腦可以被欺騙傳輸服務(wù)器內(nèi)存內(nèi)容。
網(wǎng)民怎么辦?
1.注意觀察相關(guān)事件進展,目前尚無法準確評估黑客利用OpenSSL漏洞獲得了多少數(shù)據(jù)。
2.對重要服務(wù),盡可能開通手機驗證或動態(tài)密碼,比如支付寶、郵箱等,登錄重要服務(wù),不僅僅需要驗證用戶名密碼,最好綁定手機,加手機驗證碼登錄。這樣就算黑客拿到帳戶密碼,登錄還有另一道門檻。
3.如果隨著事件進展,可能受累及的網(wǎng)絡(luò)服務(wù)在增加或更明確,建議用戶修改重要服務(wù)的登錄密碼。安全專家的建議是,一個密碼的使用時間不宜過長,超過3個月就該換掉了。
轉(zhuǎn)載請在文章開頭和結(jié)尾顯眼處標注:作者、出處和鏈接。不按規(guī)范轉(zhuǎn)載侵權(quán)必究。
未經(jīng)授權(quán)嚴禁轉(zhuǎn)載,授權(quán)事宜請聯(lián)系作者本人,侵權(quán)必究。
本文禁止轉(zhuǎn)載,侵權(quán)必究。
授權(quán)事宜請至數(shù)英微信公眾號(ID: digitaling) 后臺授權(quán),侵權(quán)必究。
評論
評論
推薦評論
全部評論(1條)