- 调查结果
- 专家要说什么?
- 你能做什么?
如果您认为您的数据是安全的,那么请再想一想。 因为根据学术研究,发现由于TLS 1.3漏洞,黑客现在可以利用安全通道并可以收集数据以达到恶意目的。
该研究论文由特拉维夫大学,阿德莱德大学和密歇根大学以及魏茨曼研究所出版。 此外,NCC Group和Data61也得出了类似的结论。
调查结果
该攻击是实际Bleichenbacher oracle攻击的修改版本,该攻击过去能够使用公钥加密解码RSA加密消息。
然而,这一新浪潮试图对抗TLS 1.3,这是TLS协议中的最新版本。 当局认为它是安全的,但显然它不是,而且令人担忧!
由于TLS 1.3不支持RSA密钥交换,研究人员认为最好继续使用降级版本即TLS 1.2来评估攻击。
因此,降级缓解措施,例如一个服务器端和两个客户端,可以绕过降级攻击。 从而得出结论,如果存在更大的RSA密钥,则可以防止这些攻击,并且还可以缩短握手超时。
研究了九种不同的TLS实现; OpenSSL,亚马逊s2n,MbedTLS,Apple CoreTLS,Mozilla NSS,WolfSSL和GnuTLS,BearSSL和Google的BoringSSL都是安全的。 所有其他人仍然很脆弱。
专家要说什么?
就攻击次数而言,Venafi的高级主管Broderick Perelli-Harris认为,自1988年以来,他们已经在Bleichenbacher的变种中出现。 因此,TLS 1.3也易受攻击也就不足为奇了。
ESET UK的网络安全专家Jake Moore认为,加密性质的攻击不是第一次,也不会是最后一次。 他也认为它类似于Whac-A-Mole游戏 - 每次应用安全修复程序时,都会弹出另一个安全修复程序。
你能做什么?
总而言之,这个缺陷是TLS加密协议的原始构成。 但是现在由于协议的设计,修补是前进的唯一途径。
在此期间你可以做些什么来保护自己? 采用双因素身份验证(2FA),保持您的软件更新,如反恶意软件/防病毒,设置更强的密码,以及像Ivacy这样的体面VPN服务。
