|
|
Socat漏洞显示加密后门很难发现 灰鸽子下载,远程控制软件
一年,一个非素数工具中使用的加密密钥交换的实现,使其容易受到伤害
Socat网络工具的开发人员有固定密码缺陷导致通讯窃听一年多了。错误是如此严重,安全社区的成员认为这可能是一种有意的后门。
Socat更复杂和功能丰富的重新实现netcat,跨平台的网络服务,可以建立出站和入站连接在不同的端口和协议。它也是一个受欢迎的网络调试的工具。
Socat可以使用diffie - hellman创建加密的连接(DH)密钥交换机制,从根本上依赖于一个质数,推导出交流共享的秘密密钥。
原来使用的1024位DH参数Socat实际上并不是一个质数。
“密钥交换的有效加密强度使用这些参数是弱于一个人能得到通过使用' p,“Socat开发人员在一个顾问说。“此外,由于目前没有迹象表明,这些参数是如何选择,活板门的存在使得窃听者可以恢复使用的共享密钥的密钥交换的可能性不能排除。”
问题是固定版本1.7.3.1和2.0.0-b9 Socat,与2048位取代旧的DH参数实际上是一个质数。然而,这引发了一场争论在安全社区是否这个加密实现错误是有意为之。
非优质的参数被追踪到一块2015年1月提交由一位名叫中国的开发者Wang和Socat开发者所接受。
基于补丁评论,中国想要修复工具的不符合联邦信息处理标准(FIPS),要求使用1024位的DH参数。当时,Socat是使用一个512位的DH '。
缺陷是否故意与否,它的存在并突出显示的密码维护人员没有注意到后门可以引入项目。
检查是否一个1024位的数是质数是可行的,但并不简单。因为这不是会改变通常开发人员不添加自动检查。 |
|
加载中...
发表于 2016-2-3 23:22:51