记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

江南天安开源基于国产密码算法的OpenSSL密码库

OpenSSL是一个安全套接字层密码库,是一个基于密码学的安全开发包。OpenSSL提供的功能相当强大和全面,囊括了主要的密码算法、常用的密钥和证书封装管理功能以及SSL协议,并提供了丰富的应用程序供测试或其它目的使用。OpenSSL在国内应用极其广泛,但是一直以来,就只提供国际通用密码算法,国产密码算法一直没有真正的嵌入。随着国产密码算法的大力推广,很多使用OpenSSL开源库的系统也面临着国密改造的问题,可是将OpenSSL开源库所使用的国际密码算法替换为国产密码算法是个十分复杂的工程,想要完成这个工程,既要熟悉OpenSSL开源库的体系,又要深入了解国产密码算法的应用规范,这对国内大多数公司或开发人员来说并不容易,是个令人头疼的问题。TaSSL针对这种现状,历经长时间的研发,江南天安于2017年上半年推出
发布时间:2018-01-19 08:20 | 阅读:118920 | 评论:0 | 标签:技术产品 OpenSSL TASSL 国密 江南天安

从心脏出血到量子安全,OpenSSL到底是怎样的存在?

“心脏出血”引起的轩然大波很多人仍对2014年4月7日爆发的心脏出血(Heartbleed)漏洞记忆犹新。一夜之间,全球三分之二的服务器岌岌可危,一个声名不显的团队——OpenSSL让无数的管理员夜不能寐。在SSL(安全套接层协议)领域,OpenSSL是当之无愧的无冕之王,该团队的“大管家”Steve Marquess在最近的中国行中提出了一个比喻,可以很好地解释他们的工作:你可以把网络想像成电路,信息就是电流,OpenSSL则像是电线绝缘层,确保电流能安全传输而非四处泄露。但是,问题在于,用户接触的只是最外层的“电源接口”,因此“OpenSSL对于终端的用户是隐形的、看不到的。”Steve曾这样描述这种现状:“成百上千的厂商使用它,每台智能手机使用它。每个人都用得理所当然。但是除了我们最忠实的用户社区,我们几
发布时间:2017-10-07 08:10 | 阅读:93795 | 评论:0 | 标签:牛闻牛评 OpenSSL 心脏出血

小错误引发大危机——心脏出血到底是什么?

心脏出血漏洞可以追根溯源到开源代码库OpenSSL里的一行代码上。本文将告诉你心脏出血的工作原理、利用状况以及怎样修复未打补丁的服务器。2014年4月,心脏出血漏洞进入了公众视野,该漏洞为攻击者提供了前所未有的敏感信息获取途径,并且成千上万的网络服务器上存在心脏出血漏洞,就连雅虎这样的网络巨头也在此列。开源代码库OpenSSL中的一个漏洞是引发心脏出血的罪魁祸首,该漏洞使用了传输层安全协议(TLS)和加密套接字协议层(SSL)协议。通过这个漏洞,简而言之,恶意用户可以很容易地诱骗一个脆弱的网络服务器发送用户名和密码等敏感信息。心脏出血漏洞的工作原理要了解心脏出血(CVE-2014-0160)的工作原理,你必须对TLS/SSL协议的运作模式和内存存储信息的方式有些许的认识。TLS / SSL协议的一个重要组成部分
发布时间:2017-09-28 03:40 | 阅读:77339 | 评论:0 | 标签:牛闻牛评 OpenSSL 安全漏洞 心脏出血

加密软件公司Mocana融资近亿美元 涉入工控安全和物联网安全领域

当前网络安全中的两个常量,是来自不安全IoT僵尸网络(Mirai、WireX等)日益增长的威胁,以及强加密提供的持续性安全。这家风投资本投注公司的使命之一,就是用后者解决前者。Mocana成立于2002年,是一家军事应用嵌入式安全软件公司。在风投资本的帮助下(2017年5月的一笔1100万美元投资,将其融资总额拉升到了9360万美元),该公司业务扩展到了ICS和工业物联网(IIoT)及消费IoT领域。Mocana首席技术官迪安·韦伯称:“我们是一家加密公司。传统安全一直提供的是网络控制层和边界防护,甚至对IoT设备也是如此,但我们不一样。我们用加密,为IoT、移动和工业设备打造信任平台。”该信任平台以源代码形式向设备开发者提供,开发者将之编译进不同目标设备。“我们从基础开始建立可信度。”韦伯解释道。可以简单将之
发布时间:2017-09-26 00:56 | 阅读:106163 | 评论:0 | 标签:行业动态 Mocana OpenSSL 加密可信度 加密软件 工控安全 物联网安全 加密

“未来密码”——OpenSSL中国行报名全面开启

首先,“名词解释”环节必不可少~OpenSSLOpenSSL是互联网加密传输的核心基础组件,当前互联网安全传输的大部分场景(如HTTPS)均使用OpenSSL开源项目。作为一个全球性的开源项目,由OpenSSL团队主要负责开发、维护。未来密码本次OpenSSL团队来华交流,除介绍OpenSSL项目中已实现的加密形式、算法外,还将与中国的开发者群体共同探讨“量子加密”“后量子时代的密码学”等行业前沿议题,探索“未来密码”,解锁未来互联网的无限可能。其次,这次来的可是响当当的主力阵容~~1. Steve MarquessOpenSSL创始人之一,管理委员会成员,OpenSSL团队“大管家”,毕业于约翰霍普金斯大学,美国国防部前顾问,目前作为董事长和CEO运营Veridical Systems公司,为美国国防部提供咨
发布时间:2017-09-21 02:15 | 阅读:97020 | 评论:0 | 标签:活动集中营 HTTPS OpenSSL 后量子时代 密码学 白山云

全站升级HTTPS,以及SSL安全扫描

从目前来看,HTTPS已经是大势所趋,并且google将对HTTPS的站点给予较高的权重,想到namecheap还有一个免费的SSL证书,于是HTTPS走起来。 购买SSL证书有很多选择,就不赘述了,买了之后,要生成自己域名的CSR,可以参考以下步骤: https://support.comodo.com/index.php?/Default/Knowledgebase/Article/View/1/19/csr-generation-using-openssl-apache-wmod_ssl-nginx-os-x 然后把生成的CSR提交到网站,然后进行身份验证,不同的商家可以提供不同的方式,比如DNS和上传文件等等,等验证完之后,就可以拿到你的SSL证书了,通常有两个文件,一个是你的SSL证
发布时间:2016-11-13 22:35 | 阅读:176662 | 评论:0 | 标签:技术分享 网络安全 Nginx openssl 扫描

令黑客一筹莫展的编程方法

2014年4月7日,世界首次知道心脏滴血漏洞。OpenSSL中TLS/DTLS(传输层安全协议)心跳扩展实现上的一个小漏洞,却能使攻击者解开受脆弱OpenSSL软件保护系统中的加密措施。在当时,这些加密措施占据了公网大约2/3的江山。攻击者可以窃听那些看起来加密了的通信,盗取隐私数据,冒充服务和用户。 漏洞一见诸报道,OpenSSL便发布了针对心脏滴血的补丁。即便如此,1年半之后,仍有20多万台设备没有打上补丁。 心脏滴血只是冰山一角 围绕心脏滴血的所有关注(当然还有不必要的心理恐惧),表明了小小编程失误在当下互联时代会造成多大的破坏。 计算机技术早期,漏洞不过意味着一点点的不便。那个时候,计算机间互不联通,一个编程缺陷最多就是某个软件时不时地故障一下。或许你需要不时重启一下机器,但最多也就是如此了。 但互联
发布时间:2016-10-01 03:50 | 阅读:72988 | 评论:0 | 标签:牛闻牛评 OpenSSL 代码验证 安全编程 心脏滴血

OpenSSL技术分析与处理建议

阅读: 32016年4月28日(Thu Apr 28 13:20:13 UTC 2016),OpenSSL官方公告,将会在2016年5月4日(Thu May 3 12:00-15:00 UTC 2016)发布新版本,修复多个关于OpenSSL高级别威胁漏洞。 OpenSSL公告地址如下:https://mta.openssl.org/pipermail/openssl-announce/2016-April/000069.htmlOpenSSL官方定级标准:]1 OpenSSL官方定级标准2016年5月4日(Thu May 3 13:57:13 UTC 2016),OpenSSL发布新版本代码,其中修复了2个高级别威胁漏洞和4个低级别威胁漏洞。]2 CVE_ID详情见如下地址:https://www.open
发布时间:2016-05-07 03:15 | 阅读:94921 | 评论:0 | 标签:安全报告 NSFOCUS openssl 修复方法 威胁漏洞 技术分析 处理建议 漏洞技术分析 绿盟科技

赛门铁克:我们能否信任 OpenSSL?

本文将探讨由于漏洞利用(如广为人知的 Heartbleed 漏洞),这种被广泛使用的加密解决方案引发的安全问题。我们还将讨论能够采取哪些步骤为敏感数据提供更高的 安全性,同时避免遭受亚太地区政府愈加严厉的惩罚。更高的罚款尽管亚太地区设置的数据安全标准没有欧盟的标准那么高,但总体趋势是,与数据安全做法有关的规定愈发严格。例如,韩国在 2014 年通过了《个人信息保护法修正案》,进 一步加强了本已相当严格的安全控制。根据修正案的规定, 公司如今必须向受影响的个人报告所有数据泄露情况,并且 当涉及人数达到 10,000 人时,必须向政府报告。违反者最高可被处以 1 亿韩元的罚款,甚至可能面临监禁。受害方现允 许提出集体诉讼。澳大利亚也在 2014 年修改了隐私法。目前,小范围泄露的企业将被处以
发布时间:2016-04-21 18:10 | 阅读:81470 | 评论:0 | 标签:安全报告 openssl

OpenSSL曝出新型漏洞“DROWN”沃通发布安全建议

3月1日爆出OpenSSL最新安全漏洞“DROWN”,SSL证书用户应该如何应对?沃通CA从专业角度给出应对策略。 什么是Drown漏洞 “DROWN”全称是 Decrypting RSA with Obsolete and Weakened eNcryption,即“利用过时的脆弱加密算法来对RSA算法进破解”,指利用SSLv2协议漏洞来对TLS进行跨协议攻击。 “DROWN攻击”主要影响支持SSLv2的服务端和客户端。SSLv2是一种古老的协议,许多客户端已经不支持使用,但由于配置上的问题,许多服务器仍然支持SSLv2。“DROWN”使得攻击者可以通过发送probe到支持SSLv2的使用相同密钥的服务端和客户端解密TLS通信。例如:将相同的私钥同时用在Web服务端和Email服务端,如果Email服务支持S
发布时间:2016-03-05 02:30 | 阅读:104259 | 评论:0 | 标签:业界 DROWN OpenSSL WoSign CA 漏洞

OpenSSL CVE-2016-0800 和 CVE-2016-0703 漏洞修复细节拾趣

*原创作者:au2o3t@360 CloudSec Team(360信息安全部)1. 引子本来最近和360 Nirvan Team的DQ430愉快的参加某加密厂商的年度大会,结果openssl也出来碰热闹,也许真是为了DH兄弟送大礼,苦了我们这些安全运维的。感谢Shawn的指点!hf! 2. 细节360在内部信息安全实践历程中,“360信息安全部”逐步秉承最佳安全实践,在https等ssl领域逐渐做出了明显的变化。比如重要系统中禁止不安全的加密套件使用,来减少ssl的攻击面。我们在今天的内部运维修复中发现了个有趣的现象或者说尝试,我们想去确定禁止不安全的加密套件会对今天的两个高危漏洞有什么影响。CVE-2016-0800CVE-2016-07030800漏洞官方已经描述了如果是c
发布时间:2016-03-03 15:15 | 阅读:80212 | 评论:0 | 标签:漏洞 CVE-2016-0703 CVE-2016-0800 openssl

OpenSSL又出新漏洞,超过1100万https站点受影响

据了解,最近有研究人员在OpenSSL中发现了一个新的安全漏洞,这个漏洞将会对SSL(安全套接层)安全协议产生巨大的影响,而且攻击者还有可能利于这个漏洞来对现代的Web网络站点进行攻击。影响超过1100万网站我们将利用这一漏洞来进行攻击的行为称为“DROWN攻击”( DecryptingRSA with Obsolete and Weakened eNcryption),即“利用过时的脆弱加密算法来对RSA算法进破解”。根据研究人员的预测,这种类型的攻击将很有可能使目前至少三分之一的HTTPS服务器瘫痪。发现这一漏洞的相关研究人员表示,受影响的HTTPS服务器数量大约为1150万左右。那么,DROWN到底有多么恐怖呢?在Alexa网站排名中排名靠前的网站都将有可能受到DROWN的影响,攻击
发布时间:2016-03-02 23:55 | 阅读:80896 | 评论:0 | 标签:漏洞 openssl

OpenSSL的drown漏洞:超过1100万的OpenSSL的HTTPS网站存在风险

前言:OpenSSL的drown漏洞允许攻击者破坏加密体系,读取或偷取敏感通信,包括密码,信用卡帐号,商业机密,金融数据等。安妮儿紧急的翻译了Swati Khandelwal的这篇文章,希望对伙伴们有所帮助,由于时间紧急,翻译不足之处请见谅。 OpenSSL的drown漏洞 OpenSSL爆出了一种新的致命的安全漏洞,影响超过1100万的网站和SSLv2,SSLv2一个古老的协议,虽然现在许多客户端已经不支持使用SSLv2。 之所以被称为drown,是因为drown影响HTTPS和其他依赖SSL和TLS的服务,SSL和TLS协议保证用户上网冲浪,购物,即时通信而不被第三方读取到。drown允许攻击者破坏这个加密体系,读取或偷取敏感通信,包括密码,信用卡帐号,商业机密,金融数据等。 安全研究人
发布时间:2016-03-02 13:10 | 阅读:78080 | 评论:0 | 标签:安全 OpenSSL 漏洞

OpenSSL高危漏洞:允许黑客解密HTTPS通信流量(CVE-2016-0701)

OpenSSL加密代码库的维护者们宣布修复了一个高危漏洞。该漏洞能让黑客获取在HTTPS和其他安全传输层,对加密通信进行解密的密钥。OpenSSL漏洞细节当各种条件满足时,该漏洞就可以被利用。首先,这个漏洞存在于OpenSSL v1.0.2。依赖它的应用,必须是使用数字签名算法生成基于DH密钥交换的临时key。默认情况下,该类服务器将复用相同的DH私钥,这会让它更易受到密钥覆盖攻击。基于DSA的DH(Diffie Hellman)配置(依赖于静态DH加密套件),也是会受影响的。幸运的是,许多主流应用的配置并不是OpenSSL+基于DSA的DH。比如Apache服务器,就开启了SSL_OP_SINGLE_DH_USE选项,这会使用不同的私钥。由OpenSSL衍伸出的BoringSSL 代码库
发布时间:2016-02-02 00:45 | 阅读:95965 | 评论:0 | 标签:WEB安全 数据安全 漏洞 https openssl 加密流量

OpenSSL的过去、现在和未来

极少有什么事物在其发展历程中有确定的转折点——那种唯一的日子,人们可以明确指出并感叹:“这就是所有的一切都改变了的那天!”作者:迈克尔·米莫索,前TechTarget安全频道主编译者:nana对OpenSSL而言,那一天是2014年4月7日,“心脏滴血”进入安全词典的日子。心脏滴血是历史悠久的加密库中的一个高危漏洞。OpenSSL应用广泛,成千上万的商业和自用软件项目都有应用。心脏滴血的爆出意味着,这个全互联网范围的漏洞能泄露足够的内存供黑客挖掘出从登录凭证到加密密钥的任何东西。对全世界的服务器管理员来说那是非常糟糕的一天,对维护OpenSSL的小团队而言那同样是地狱般的一天。就像现实世界中的自然灾害,人们总是要到一场地震或是一阵飓风撕裂整座城镇才会意识到一直以来平和的生活是建立在多么脆弱的基础之上。这种情况显
发布时间:2015-05-14 23:45 | 阅读:78254 | 评论:0 | 标签:动态 OpenSSL 开源软件 心脏出血

“心脏出血”漏洞一周年全球普查#知道创宇#

概述 2014 年 4 月 7 日,开源安全组件 OpenSSL 爆出重大漏洞(CVE-2014-0160),可造成敏感信息泄露。该漏洞是由 Codenomicon 和谷歌安全工程师独立发现并提交,最终由程序员 Sean Cassidy 将详细利用机制发布出来的。其成因是 OpenSSL Heartbleed 模块存在一个 Bug,攻击者可以构造一个特殊的数据包获得存在该漏洞的服务器长达 64KB 的内存数据,而这段数据中可能包含用户的用户名、密码、密钥等敏感信息,因此该漏洞获得了一个名副其实的名字“心脏出血(OpenSSL Heartbleed)”漏洞。 ZoomEye 团队在“心脏出血”漏洞爆发一周年的时间节点,对全网 IP 进行了回归性普查,发现,虽然受影响 IP 已经降低到了 1 年前的 14.6%,但
发布时间:2015-04-08 21:55 | 阅读:98188 | 评论:0 | 标签:技术 OpenSSL zoomeye 知道创宇 漏洞

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云