OpenSSL修复加密漏洞、增强Logjam防护

来源：TechTarget中国做者：Michael Heller翻译：张程程

OpenSSL项目团队为其密码库发布补丁以修复一个严重的漏洞（该漏洞可能容许攻击者解密HTTPS通讯），同时强化对Logjam的防护。

解密攻击漏洞是在OpenSSL处理某些特定状况下DH密钥交换时发现的。一般，OpenSSL只使用所谓的“安全”质数，但在OpenSSL1.0.2中，生成参数文件的新方式将从新启用一个质数。理论上讲，攻击者就可使用这个值来解密加密的安全通讯。

不过有咨询师指出这种攻击很难执行，由于它须要“攻击者在同一我的使用相同的DH指数时完成多个信号交换”。

Micro Focus解决方案架构师Garve Hays称该风险是有限的，由于能接触到主要是提供Forward Secrecy的服务，诸如Gmail、Twitter以及Facebook等。

“好消息是这些企业勤于打补丁，于是风险很快会被控制，”Hays表示。“Forward Secrecy其协议特性是不容许用私钥解密消息。所以当获取到私钥时，它并不能用于倒回并恢复旧有通讯。”

OpenSSL1.0.1不容易遭到这种攻击，而使用1.0.2版本的用户须要尽早安装OpenSSL1.0.2补丁。

新补丁同时添加一些新的特性以进一步下降Logiam攻击的影响。Logiam可容许中间人攻击者让易被攻击的TLS链接更加脆弱。以前的OpenSSL补丁经过拒绝参数在768位如下的信息交换来防护该攻击，新的补丁强化了该协定，拒绝参数在1024位如下的信息交换。