Heartbleed漏洞会泄露用户敏感数据 也会泄露网站私钥

Heartbleed漏洞会泄露用户敏感数据 也会泄露网站私钥

黑客专题访客2021-10-12 9:15:008031A+A-

  OpenSSL的Heartbleed漏洞会泄露用户敏感数据,也会泄露网站私钥。
  云计算公司CloudFlare的挑战赛证明窃取私钥是可能的。
  剑桥大学计算机实验室安全团队的博士生Rubin Xu在Ars上发表文章,介绍他如何利用Heartbleed漏洞窃取网站的私钥。
  Rubin Xu解释说,2048位的N是两个随机生成的大素数p和q的乘积,N是公开的,而p和q是保密的。
  要发现p或q以获取密钥,一种方法是因式分解N,但这非常困难。
  有了Heartbleed漏洞,攻击就变得简单多了:因为Web服务器需要内存中的私钥签名TLS握手,因此p和q必须保留在内存中,所以可尝试利用 Heartbleed数据包获取它们。
  我们知道p和q是1024位,而OpenSSL在内存中是以小端格式储存数据,窃取密钥的暴力攻击方法是将Heartbleed包中每一个连续的128位字节看作小端数,测试它们是否能被N相除。

点击这里复制本文地址 以上内容由黑资讯整理呈现,请务必在转载分享时注明本文地址!如对内容有疑问,请联系我们,谢谢!
  • 1条评论
  • 泪灼柚笑2022-05-29 04:06:24
  • SSL在内存中是以小端格式储存数据,窃取密钥的暴力攻击方法是将Heartbleed包中每一个连续的128位字节看作小端数,测试它们是否能被N相除。

支持Ctrl+Enter提交

黑资讯 © All Rights Reserved.  
Copyright Copyright 2015-2020 黑资讯
滇ICP备19002590号-1
Powered by 黑客资讯 Themes by 如有不合适之处联系我们
网站地图| 发展历程| 留言建议| 网站管理