SSL enkrypce používaná milióny stránek prolomena

28 Sep

Badatelé objevili díru v prakticky všech stránkách používajících HTTPS, která dovoluje útečníkovi tiše decryptovat komunikaci mezi webserverem a konečným uživatelem.

Tato díra existuje ve verzích 1.0 TLS (transport layer security), neboli SSL. Přestože verze 1.1 a 1.2 TLS nejsou zranitelné, jsou stále prakticky nepodporované jak v prohlížečích tak na serverech.

Je to první útok, co boří enkrypci místo obejití certifikátů. Tento útok se nazývá BEAST a spoléhá na návaznost rozházených bloků dat. V současnosti vyžaduje BEAST asi dvě sekundy pro každý bajt zacryptované sušenky, ale toto číslo se rapidně zkracuje.

Jak Mozilla, tak populární knihovna OpenSSL ještě neimplementovali TLS 1.2. Nové TLS je ovšem podporované v Internet Exploreru a na IIS webserveru. Opera také podporuje 1.2, ale ne deaultně.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

%d bloggers like this: