解读《关于OPENSSL加密组件存在重大安全隐患的预警通报》
2019年11月30日,首都网警发布《关于OPENSSL 加密组件存在重大安全隐患的预警通报》,内容如下:
据国家网络与信息安全信息通报中心监测发现,互联网SSL协议实现组件OPENSSL部分版本存在重大安全隐患,可能导致信息泄露等风险。SSL(Secure Socket Layer)协议是一种为网络通信提供安全以及数据完整性的安全协议,该协议在传输层对网络进行加密。OPENSSL是实现SSL协议的一款开源软件,其提供了多种密码算法、常用密钥以及数字证书封装管理等功能。
一、基本情况
此次事件发现:一是众多RSA数字证书密钥存在被破解的可能性,二是部分低版本的OPENSSL组件存在内存泄露漏洞。
二、影响范围
以上问题涉及电信、金融、能源、医疗等多个重要行业部门,以及部分高校、企业邮件系统和多款网络设备。在通信数据被截获的情况下,攻击者可利用上述漏洞获取用户账号口令、业务系统数据、邮件内容等敏感信息。
针对首都网警的网络安全预警通报,安信证书进行了深入的分析和解读:
1.RSA是SSL数字证书使用的一种公钥密码加密算法,其密钥长度决定了被加密的信息的安全性。密钥长度越长,安全性就越高,被破解的可能性就越低。然而随着计算机技术的发展,以前被认为是安全的密码会被破解,这种情况称为密码劣化。根据美国国家标准与技术研究院NIST的预测,1024比特的RSA已经不再安全,2048比特的RSA在2030年之前是安全的,4096比特的RSA在2031年之后是安全的。
目前国内很多重要行业部门以及高校等依然使用1024比特RSA的SSL证书,具有十分严重的安全隐患。在这里,安信证书建议所有使用RSA1024证书的企业,尽快将证书更换为RSA2048证书。
2.OPENSSL是一种被广泛应用的开源软件,用于管理证书,比如证书的申请、安装以及密钥管理等。2014年OPENSSL被发现存在灾难性的“心脏出血”漏洞,攻击者可以从内存中读取私钥、用户名与密码、电子邮件等通信等数据。漏洞影响1.0.1-1.0.1f版本,随后OPENSSL在其1.0.1g版本修复这一漏洞。虽然漏洞最终得到修复,但是这次事件造成了严重的影响,众多部署https的网站的加密数据可能遭到窃取。
目前最新的OPENSSL稳定版本是1.1.1,此前的主流版本1.0.2将会在2019年12月31日之后不再提供安全维护和更新,1.0.1或更早的版本均不安全。所以,安信证书建议所有部署SSL证书的企业,立即检查服务器上OPENSSSL的版本,尽快升级到安全的1.1.1。
安信证书专注于互联网信息安全领域,为企业、组织或政府机构提供安全可靠的SSL证书,免费为您提供证书安装与部署、加密协议与密码套件升级、安全策略优化等服务,确保您的网站与移动应用的安全。
声明:本文由“安信证书”原创发布,原文链接:https://www.anxinssl.com/8996.html,内容未经允许不得转载,或转载时需注明出处!