淹没攻击下沉SSL安全性

来自以色列，德国和美国的安全研究人员发表了一篇文章，描述了SSLv2的关键互联网协议如何破坏，离开数百万个网站攻击。

称为淹死的跨协议攻击，对TLS进行实时攻击，用于Internet上的安全性的主要协议之一。

根据研究人员，攻击可以在商品硬件上的单一核心上完成，在不到一分钟内，没有GPU或分布式计算，并且主要通过服务器可以完成握手的速度有限。

它足以在握手超时之前对现场TLS会话进行中间人攻击，甚至允许攻击者将连接到更喜欢非RSA密码套件的服务器，并将现代TLS客户端降级为RSA密钥交换研究人员说。

根据研究人员，多达三分之一的HTTPS服务器容易受到攻击的影响。

他们警告说，使用SSLv2不仅弱，而且对TLS生态系统有害。

为了解密一个TLS会话，攻击者需要使用RSA密钥交换，通过RSA密钥交换来捕获大约1,000个TLS会话，其中通过使用预期收件人的公钥加密密钥来安全地在线交换密钥。

研究人员使用RSA密钥交换，使40,000个SSLv2连接到受害者服务器并执行250个对称加密操作。

“我们通过大量优化的GPU实现成功地进行了此次攻击，并且能够在GPU集群上不到18小时的时间内解密2048位RSA密文，使用亚马逊EC2服务不到8小时，”他们说。

研究人员表示，攻击者将被动地了解了客户端和服务器之间的流量并记录基于RSA的TLS流量，并且可以预期解密1,000个截取的TLS连接中的一个。

“这是许多情景中的毁灭性威胁，”他们说。“解密的TLS连接可能会揭示客户端的HTTP cookie或明文密码，并且攻击者只需要成功解密单个密文来泄压客户的帐户。”

研究人员表示，收集许多连接可能涉及拦截流量长期或欺骗用户访问一个网站，这是一个网站，该网站在研究人员表示。

他们推荐服务器管理员检查他们的私钥是否不使用允许SSLv2连接的服务器软件任何地方使用。这包括Web服务器，SMTP服务器，IMAP和POP服务器以及支持SSL / TLS的任何其他软件。