错误消息解锁互联网支付协议

日期:2019-02-08 03:15:08 作者:东门匐 阅读:

Will Knight已发现用于保护在线信用卡交易和其他通信的技术的根本缺陷 Serge Vaudenay和他的团队在洛桑的瑞士联邦理工学院发现,他们可以通过利用安全套接字层(SSL)协议的错误消息方案来解锁加密的消息 SSL协议保护Web浏览器或电子邮件程序与Web服务器之间的链接成千上万的网站使用它来允许在线信用卡付款当SSL消息发送到服务器时,服务器的SSL程序会对消息进行解密,以检查消息是否正确,并且已正确加密如果出现问题,将发回错误消息 Vaudenay的团队发现,通过拦截消息并以特定方式修改它们,它们可能导致服务器生成显示部分纯文本消息的错误消息他们通过拦截和修改发送到电子邮件服务器的加密密码来证明实验室中的攻击通过生成160条更改的消息并分析它们提示的错误消息,他们成功地计算出密码长度为8个字符 “这是我们第一次发现SSL本身的问题,而不仅仅是它的使用方式,”Vaudenay告诉“新科学家”杂志但他承认,他的团队设计的攻击在实践中难以实现这是因为攻击者需要能够拦截加密的消息,这需要访问网络的安全部分此外,修补此问题的最新版本的SSL于周三发布安全顾问Eric Rescorla同意这个漏洞并不构成重大问题他指出,追踪这种类型的攻击可能很容易 “主动攻击涉及产生错误,因此肯定会留下足迹,