Objavljeno: 14.12.2017 05:00

TLS ranljiv kakor pred 19 let

Številne priljubljene spletne strani, ki uporabljajo TLS in šifriranje RSA, so ranljive zaradi luknje, ki je na las podobna pred 19 leti odkriti ranljivosti v tedanjem SSL. Zaradi sporočil o napakah strežnika, ki razkrivajo več, kot bi smela, lahko napadalec analizira šifrirano komunikacijo in jo tudi brez poznavanja zasebnega ključa razvozla.

Gre za ranljivost, ki je zelo podobna tisti iz leta 1998, ki jo je odkril Daniel Bleichenbacher. Zato se tudi nova luknja imenuje ROBOT, kar pomeni Return of Bleichenbacher’s Oracle Threat. Čeprav je od odkritja minilo 19 let, zelo podobno luknjo najdemo v 27 straneh izmed prve stoterice najbolj obiskanih, med njimi tudi Facebook in PayPal.

Ko so leta 1998 odkrili ranljivost, je nisi popravili tako, da bi zakrpali RSA, temveč so se ji poizkusili izogniti. SSL je dobil cel kup obvodov, ki so poizkušali preprečiti, da bi napadalec s pametnim spraševanjem strežnika ugotovil, kako dešifrirati komunikacijo. Toda ker je ta obvod obsežen in grd, je v osmih implementacijah SSL napačen. F5, Citrix, Radware, Cisco, Bouncy Castle, Erlang, WolfSSL, MatrixSSL in Java/JSSE so vse ranljive platforme.

Za te je popravek že na voljo, morda pa je ranljiva še kakšna platforma, a je raziskovalci do objave popravke ne bodo imenovali. Najbolj zanesljiva rešitev pa je seveda blokada RSA, saj šifriranje z eliptičnimi krivuljami deluje bolje in nima te luknje.

ROBOT

Več novic

Naroči se na redna tedenska ali mesečna obvestila o novih prispevkih na naši spletni strani!

Komentirajo lahko le prijavljeni uporabniki

Najbolj brano

  • Google poskrbel, da se telefonov ne bo več splačalo krasti

    Google bo okrepil zaščito pametnih telefonov Factory Reset Protection (FRP), tako da bo ukradene telefone v praksi nemogoče ponovno uporabiti. Že obstoječi Android 15 prinaša nekaj varovalk, novi FRP pa bomo dobili v Androidu 16.

    Objavljeno: 15.5.2025 05:00
  • Kitajci obrnili hrbet iPhonom

    Kitajski trg pametnih telefonov, ki tudi za zahodne znamke predstavlja izjemno pomemben delež, je letos doživel pravi pretres. Prodaja Applovih iPhonov je na primer padla za 50 odstotkov, podobno se godi tudi drugim tujim znamkam, ki nikoli niso imele zares opaznih deležev. Kitajski potrošniki so namreč začeli čedalje bolj kupovati domače izdelke.

    Objavljeno: 16.5.2025 05:00
  • Način, da vam umetna inteligenca ne bo lagala

    Vsi modeli umetne inteligence halucinirajo, včasih kakšen novejši celo bolj kot starejši, a obstajajo načini za zmanjšanje tega problema. Odpraviti ga za zdaj še ne moremo, lahko pa se mu v veliki meri izognemo, če pravilno sprašujemo. Najnovejša primerjava je pokazala, da je eden preprostejših načinov zahtevati daljše odgovore.

    Objavljeno: 14.5.2025 07:00
  • Windows dobil nov urejevalnik besedil v ukazni vrstici - Edit

    V ukazni vrstici v Windows vse od izida 64-bitnih inačic Windows nismo imeli pravega urejevalnika datotek. Starejše verzije so imele še stari MS DOS Edit, v novejših pa te funkcionalnosti ni bilo. Microsoft je zato napisal novi Edit, ki ga lahko obravnavamo kot ekvivalent za vim v Linuxu.

    Objavljeno: 20.5.2025 05:00
  • Papež svoje ime izbral zavoljo umetne inteligence

    Ko je Robert Prevost postal novi papež, si je izbral ime Leon XIV. Eden izmed razlogov za izbiro tega imena je tudi umetna inteligenca, je dejal v nagovoru kardinalskemu zboru. Leon XIII, eden izmed njegovih vzornikov, je bil papež v letih 1878-1903, torej na vrhuncu industrializacije.

    Objavljeno: 12.5.2025 05:00
  • Končno pravi internet na letalu

    Pri ameriški letalski družbi United Airlines so opravili prvi testni let z vgrajenim brezžičnim internetom Starlink. 

    Objavljeno: 12.5.2025 08:00
 
  • Polja označena z * je potrebno obvezno izpolniti
  • Pošlji