记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

SSL和TLS部署实践指南

在TLS中,所有安全性都以服务器的加密身份开始,这就需要一个强大的私钥来防止攻击者进行模拟攻击。同样重要的是拥有一个有效和强大的证书,它会授予私钥来代表一个特定的主机名。对于大多数网站都来说,由2048位RSA密钥提供的安全性就已经足够了。 由于RSA公钥算法应用广泛,从而使得它成为安全的默认选择。对于2048位的RSA密钥来说,能够提供大约112位密钥。如果你想要更高的安全性, RSA密钥则不能很好地进行扩展。比如,要获得128位的密钥,就需要3072位的RSA密钥,这显然运行较慢。椭圆曲线数字签名算法ECDSA显示为你提供了更好的安全性和更好的性能。以ECDSA256为例,,ECDSA密钥提供了128位的密钥。如何
发布时间:2019-03-07 12:20 | 阅读:65053 | 评论:0 | 标签:Web安全 SSL TLS

CDN工程师:是时候升级到 TLS 1.3 了

如果还没升级到 TLS 1.2,准备好直接跨越式升级吧。 迟迟不愿在网站上应用 TLS 1.2 的公司企业,现在有借口可以再推迟一些时候了:TLS 1.3 加密协议将于今年晚些时候最终定版,其早期部署也已展开。作为SSL的继任者,TLS被用于与Web或邮件服务器交涉安全连接,在传输过程中对数据加密。长达6年的酝酿过程中,TLS 1.2 加入了新的更强的加密选项,但在向下兼容的名义下,也保留了所有老旧脆弱的加密方案。很不幸,这意味着中间人攻击往往能在用户不知情的情况下,将连接降级到更弱的加密系统。其他一系列攻击,比如DROWN、SLOTH和POODLE,也能对SSL下手。系统和密码学工程师菲利波·瓦尔索达在内容交付网络Cloudflare上部署了 TLS 1.3 系统。他认为,上述攻击就是升级到 TLS
发布时间:2017-07-01 00:35 | 阅读:125292 | 评论:0 | 标签:牛闻牛评 TLS 加密协议

系统管理员如何快速高效的部署SSL和TLS?

SSL/TLS是一种简单易懂的技术,很容易部署,也很容易运行。不过存在主要的问题是加密不太容易部署,为了确保TLS提供必要的安全性,系统管理员和开发人员必须花费很大的精力来正确配置其服务器并开发相应的应用程序。
发布时间:2017-06-06 17:15 | 阅读:118516 | 评论:0 | 标签:技术 SSL TLS

TLS 1.3如何用性能为HTTPS正名

序•魔戒再现 几天前,OpenSSL官方宣布即将发布的新版本 (OpenSSL 1.1.1) 将会提供 TLS 1.3 的支持,而且还会和之前的 1.1.0 版本完全兼容,这当然是个好消息。如果说 HTTP/2 是当前互联网 Web 发展的讨论热点之一,那么下一个热点应该就是 TLS 1.3 了。 谈到 TLS 那么就不得不说回 HTTPS,2016 年应该算是国内站点使用 HTTPS 激增的一年,从 Google Trend 上也可以看出该关键词的搜索热度从 2016 年开始飙升。不光如此,所有从事互联网 Web 技术相关的开发人员,也应该能够明显感受到,身边使用 HTTPS 的网站越来越多了。 为什么近两年来 HTTPS 被大家更广泛的应用? 一方面得益于「中国特色」的网络安全环境,运营商层出不穷的各种劫
发布时间:2017-05-29 09:05 | 阅读:168411 | 评论:0 | 标签:WEB安全 其他 tls

吐槽TLS:能用和能用好之间差别很大

互联网,正是因为有加密技术,尤其是TLS(传输层安全,原名SSL安全套接字),才呈现出今天这种如我们所知的景象。没有了这一关键技术提供在线私密通信方法,电子商务可能根本不会出现,互联网也可能仅仅是分享冷笑话的全球联欢热线。尽管SSL/TLS至关重要,却一直备受忽视,甚至还不断被削弱。在出口算法上,政府监管部门任由FREAK和各种降级攻击肆虐。不过,因研究方面忽视而直到实际攻击出现的例子也不少。上个月的AusCERT上,研究员汉诺就用一张幻灯片很好地总结了一下:幻灯片中是一张针对SSL/TLS漏洞所做研究的列表,以及研究发表后数年才暴露出来的攻击事件。这些攻击,本可以用研究中描述的缓解方法避免掉的。从上述这些例子中我们可以看出,问题暴露在安全社区眼皮底下的年限通常都有12年左右,但缓解措施却经历了这漫长的12年都
发布时间:2016-07-19 05:25 | 阅读:110128 | 评论:0 | 标签:牛闻牛评 MD5 TLS 加密 网络攻击

Drown跨协议攻击TLS漏洞分析

北京时间 2016年3月2日,OpenSSL官方发布了新的安全公告。公告中提及修复了一个高危漏洞——DROWN跨协议攻击TLS漏洞。百度云安全威胁管理团队联合百度安全应急响应中心第一时间对事件触发应急响应和全网感知,深度分析了漏洞的危害和影响范围。经分析,攻击者利用该漏洞可突破目前广泛使用的依赖SSL和TLS安全加密体系,互联网中有大约1100万站点或者服务受到此漏洞影响。一、Drown跨协议攻击TLS漏洞分析1. 漏洞危害攻击者通过中间人攻击等手段截获和解密用户和服务器之间的加密通信,包括但不限于用户名和密码、信用卡号、电子邮件、即时消息,以及敏感文件。在一些常见的场景,攻击者还可以冒充一个安全的网站拦截或篡改用户看到的内容。2. 攻击原理DROWN漏洞主要利用SSLv2协议的脆弱性对T
发布时间:2016-03-07 11:15 | 阅读:165212 | 评论:0 | 标签:漏洞 Drown tls

互联网安全日:Google为Gmail推出非TLS加密连接与防钓鱼提醒

为了迎接“互联网安全日”(Safer Internet Day)的到来,Google也宣布了多项可以让通讯更加安全的新功能。首先要介绍的是一个新的通知,当访问不支持TLS加密的站点的时候,你会收到一个弹出式通知、并在右上角看到一个开了锁的图标提示(本周已经推出)。第二件事与减少钓鱼和欺诈邮件有关,如果发件人未经认证,Gmail会在头像上显示一个问号图标。 与去年一样,Google给予了哪些绕过其安全检查工具的人们2GB的免费存储空间,如果你再次或将,那就可以再获得额外的2GB(Google Apps for Work / Education用户除外)。
发布时间:2016-02-11 02:45 | 阅读:136967 | 评论:0 | 标签:业界 Gmail TLS 加密 谷歌

关于“堵塞”你需要知道的三件事

近两天“堵塞”(Logjam)漏洞的信息已在业内传播开来,但漏洞发现人员撰写的技术报告非常学术难懂,对于业内非专业技术人员来说,想了解这个漏洞只需明白以下三个问题即可: 一、什么是迪菲-赫尔曼(Diffie-Hellman)?DH是一种密钥交换协议,用来在通信双方建立会话密钥。像HTTPS、SSH、IPSec、SMTP以及基于TLS的安全连接协议都可以使用DH会话密钥来安全传输数据。比较普遍的DH应用的例子:网上银行交易、电子邮件收发和VPN连接等。二、研究人员发现了什么?许多使用DH的网站服务器使用脆弱的加密参数。依据“堵塞”的技术分析报告,攻击者可以通过这个漏洞读取或更改网站的“安全”连接数据。世界排名前100万的网站约有8.4%受此漏洞影响。我们发现了一种针对TLS连接的新型攻击,可通过发动中间人攻击把连
发布时间:2015-05-22 15:55 | 阅读:133411 | 评论:0 | 标签:动态 Diffie-Hellman logjam TLS

CVE-2014-0160 Heartbleed分析报告

2014年4月7日OpenSSL发布了安全公告,在OpenSSL1.0.1版本中存在严重漏洞(CVE-2014-0160)。OpenSSL Heartbleed模块存在一个BUG,问题存在于ssl/dl_both.c文件中的心跳部分,当攻击者构造一个特殊的数据包,满足用户心跳包中无法提供足够多的数据会导致memcpy函数把SSLv3记录之后的数据直接输出,该漏洞导致攻击者可以远程读取存在漏洞版本的OpenSSL服务器内存中多达64K的数据。1、漏洞说明OpenSSL Security Advisory [07 Apr 2014]========================================TLS heartbeat&n
发布时间:2014-04-18 14:25 | 阅读:133792 | 评论:0 | 标签:WEB安全 heartbleed openssl ssl tls

TLS反调试的前世今生

#冷夜 文章已发表至《黑客防线》2012.11期,转载请注明出处! From http://www.bhst.org & http://nightx.info ps:原谅今天才想起来这篇文章分享出来… 0×00 TLS简述 Thread Local Storage(TLS),是Windows为解决一个进程中多个线程同时访问全局变量而提供的机制。TLS可以简单地由操作系统代为完成整个互斥过程,也可以由用户自己编写控制信号量的函数。当进程中的线程访问预先制定的内存空间时,操作系统会调用系统默认的或用户自定义的信号量函数,保证数据的完整性与正确性。 而当Coder选择使用自己编写的信号量函数时,在应用程序初始化阶段,系统将要调用一个由用户编写的初始化函数以完成信号量的初始化以及其他的一些
发布时间:2013-03-18 21:25 | 阅读:299367 | 评论:0 | 标签:逆向破解 TLS 反调试

推广

标签云