OpenSSL-安全套也不安全了

原創(chuàng) 贊4 收藏評論1

舉報(bào) 2014-04-10

掃描,分享朋友圈

北京時間4月9日多家網(wǎng)站及媒體平臺曝出了一條重大消息：研究人員發(fā)現(xiàn)流行網(wǎng)絡(luò)加密開源軟件OpenSSL存在一處巨大漏洞.新聞一出,各國各地的程序員小伙伴兒們都忙的不可開交了.究竟誰在使用openssl呢?下面為你一一解答:

百度百科給出定義:

openssl是為網(wǎng)絡(luò)通信提供安全及數(shù)據(jù)完整性的一種安全協(xié)議，囊括了主要的密碼算法、常用的密鑰和證書封裝管理功能以及SSL協(xié)議，并提供了豐富的應(yīng)用程序供測試或其它目的使用。

SSL是Secure Socket Layer（安全套接層協(xié)議）的縮寫，可以在Internet上提供秘密性傳輸。Netscape公司在推出第一個Web瀏覽器的同時，提出了SSL協(xié)議標(biāo)準(zhǔn)。其目標(biāo)是保證兩個應(yīng)用間通信的保密性和可靠性,可在服務(wù)器端和用戶端同時實(shí)現(xiàn)支持。已成為Internet上保密通訊的工業(yè)標(biāo)準(zhǔn)。安全套接層協(xié)議能使用戶/服務(wù)器應(yīng)用之間的通信不被攻擊者竊聽，并且始終對服務(wù)器進(jìn)行認(rèn)證，還可選擇對用戶進(jìn)行認(rèn)證。SSL協(xié)議要求建立在可靠的傳輸層協(xié)議(TCP)之上。SSL協(xié)議的優(yōu)勢在于它是與應(yīng)用層協(xié)議獨(dú)立無關(guān)的，高層的應(yīng)用層協(xié)議(例如：HTTP，F(xiàn)TP，TELNET等)能透明地建立于SSL協(xié)議之上。SSL協(xié)議在應(yīng)用層協(xié)議通信之前就已經(jīng)完成加密算法、通信密鑰的協(xié)商及服務(wù)器認(rèn)證工作。在此之后應(yīng)用層協(xié)議所傳送的數(shù)據(jù)都會被加密，從而保證通信的私密性。

通過以上敘述，SSL協(xié)議提供的安全信道有以下三個特性：

1、數(shù)據(jù)的保密性信息加密就是把明碼的輸入文件用加密算法轉(zhuǎn)換成加密的文件以實(shí)現(xiàn)數(shù)據(jù)的保密。加密的過程需要用到密鑰來加密數(shù)據(jù)然后再解密。沒有了密鑰，就無法解開加密的數(shù)據(jù)。數(shù)據(jù)加密之后，只有密鑰要用一個安全的方法傳送。加密過的數(shù)據(jù)可以公開地傳送。

2、數(shù)據(jù)的完整性加密也能保證數(shù)據(jù)的一致性。例如:消息驗(yàn)證碼（MAC），能夠校驗(yàn)用戶提供的加密信息，接收者可以用MAC來校驗(yàn)加密數(shù)據(jù)，保證數(shù)據(jù)在傳輸過程中沒有被篡改過。

3、安全驗(yàn)證加密的另外一個用途是用來作為個人的標(biāo)識，用戶的密鑰可以作為他的安全驗(yàn)證的標(biāo)識。SSL是利用公開密鑰的加密技術(shù)（RSA）來作為用戶端與服務(wù)器端在傳送機(jī)密資料時的加密通訊協(xié)定。

OpenSSL包含一個命令行工具用來完成OpenSSL庫中的所有功能，更好的是，它可能已經(jīng)安裝到你的系統(tǒng)中了。

OpenSSL是一個強(qiáng)大的安全套接字層密碼庫，Apache使用它加密HTTPS，OpenSSH使用它加密SSH，但是，你不應(yīng)該只將其作為一個庫來使用，它還是一個多用途的、跨平臺的密碼工具。

如何安裝?

linux下安裝openssl:

cd /usr/local/src

wget http://www.openssl.org/source/openssl-0.9.8c.tar.gz

tar -zxvf openssl-0.9.8c.tar.gz

cd openssl-0.9.8c

./config --prefix=/usr/local/ --openssldir=/usr/local/openssl -g3 shared zlib-dynamic enable-camellia

make && make install

cd /usr/local

ln -s ssl-0.9.8l ssl

openssl version

顯示 OpenSSL 0.9.8c 05 Sep 2006 即為安裝成功.

誰在使用openssl?

自從互聯(lián)網(wǎng)進(jìn)入2.0時代，用戶開始參與互聯(lián)網(wǎng)網(wǎng)站的的交互，"人"在互聯(lián)網(wǎng)中占據(jù)了主動地位，人們可以發(fā)博客，發(fā)照片，以及社交等等。所以網(wǎng)站出現(xiàn)了注冊和登錄功能，普通常規(guī)的記錄登錄的方法是使用cookie 和session來記錄用戶登錄信息，cookie是使用在客戶端,信息主要存儲在用戶使用的計(jì)算機(jī)瀏覽器里面。相對來說不是很安全,因?yàn)橛脩艨梢酝ㄟ^偽造來模擬登錄網(wǎng)站，而session是記錄在服務(wù)器端,用戶登錄會在服務(wù)器端產(chǎn)生一個session用來記錄用戶登錄信息,此方法不易被偽造，但同時給服務(wù)器增加了負(fù)擔(dān),而且會存在session丟失的情況。

后來非關(guān)系性數(shù)據(jù)庫開始興起，有一部分網(wǎng)站開始將用戶信息單獨(dú)隔離開來，登錄信息存入數(shù)據(jù)庫，主要代表的有新浪微博等一些著名的設(shè)計(jì)網(wǎng)站.他們主要采用token來做三次握手來驗(yàn)證用戶信息，然后記錄用戶登錄狀態(tài).這里就使用了openssl。

另外還有網(wǎng)絡(luò)銀行, 電子商務(wù)網(wǎng)站, 政府服務(wù)平臺,證券股票交易平臺...等等。其中牽扯到用戶安全信息的地方基本上都會采用openssl。如果你看到了一個鏈接地址開頭是https那么就證明了這個網(wǎng)站在使用openssl。

漏洞名稱?

專家指出此次漏洞名稱為:心臟流血(Heartbleed)漏洞。

工作原理：SSL標(biāo)準(zhǔn)中包含了一個心跳選項(xiàng)，它可以允許處于SSL連接一端的電腦發(fā)送短信息，確認(rèn)另一臺電腦仍然在線，并給與回應(yīng)。研究人員發(fā)現(xiàn)，OpenSSL存在的一處漏洞可以使得SSL連接一端的電腦發(fā)送虛假心跳信息，欺騙另一端的電腦泄露機(jī)密信息。通俗地講，一臺存在漏洞的電腦可以被欺騙傳輸服務(wù)器內(nèi)存內(nèi)容。

網(wǎng)民怎么辦？

1.注意觀察相關(guān)事件進(jìn)展，目前尚無法準(zhǔn)確評估黑客利用OpenSSL漏洞獲得了多少數(shù)據(jù)。

2.對重要服務(wù)，盡可能開通手機(jī)驗(yàn)證或動態(tài)密碼，比如支付寶、郵箱等，登錄重要服務(wù)，不僅僅需要驗(yàn)證用戶名密碼，最好綁定手機(jī)，加手機(jī)驗(yàn)證碼登錄。這樣就算黑客拿到帳戶密碼，登錄還有另一道門檻。

3.如果隨著事件進(jìn)展，可能受累及的網(wǎng)絡(luò)服務(wù)在增加或更明確，建議用戶修改重要服務(wù)的登錄密碼。安全專家的建議是，一個密碼的使用時間不宜過長，超過3個月就該換掉了。

本文系作者授權(quán)數(shù)英發(fā)表，內(nèi)容為作者獨(dú)立觀點(diǎn)，不代表數(shù)英立場。
未經(jīng)授權(quán)嚴(yán)禁轉(zhuǎn)載，授權(quán)事宜請聯(lián)系作者本人，侵權(quán)必究。