OpenSSL修复加密漏洞、加强Logjam防御

来源：TechTarget中国作者：Michael Heller翻译：张程程

OpenSSL项目团队为其密码库发布补丁以修复一个严重的漏洞（该漏洞可能允许攻击者解密HTTPS通信），同时强化对Logjam的防御。

解密攻击漏洞是在OpenSSL处理某些特定情况下DH密钥交换时发现的。通常，OpenSSL只使用所谓的“安全”质数，但在OpenSSL1.0.2中，生成参数文件的新方式将重新启用一个质数。理论上讲，攻击者就可以使用这个值来解密加密的安全通信。

不过有咨询师指出这种攻击很难执行，因为它需要“攻击者在同一个人使用相同的DH指数时完成多个信号交换”。

Micro Focus解决方案架构师Garve Hays称该风险是有限的，因为能接触到主要是提供Forward Secrecy的服务，诸如Gmail、Twitter以及Facebook等。

“好消息是这些企业勤于打补丁，因而风险很快会被控制，”Hays表示。“Forward Secrecy其协议特性是不允许用私钥解密消息。因此当获取到私钥时，它并不能用于倒回并恢复旧有通信。”

OpenSSL1.0.1不容易遭到这种攻击，而使用1.0.2版本的用户需要尽早安装OpenSSL1.0.2补丁。

新补丁同时添加一些新的特性以进一步降低Logiam攻击的影响。Logiam可允许中间人攻击者让易被攻击的TLS连接更加脆弱。之前的OpenSSL补丁通过拒绝参数在768位以下的信息交换来防御该攻击，新的补丁强化了该协定，拒绝参数在1024位以下的信息交换。