freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课
报告 专辑
行业服务
政 府
CNCERT CNNVD
会员体系(甲方) 会员体系(厂商) 产品名录 企业空间
知识大陆

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

六月行业新闻回顾
  • 关注
六月行业新闻回顾
2019-07-17 14:52:07

六月大事件

网络时间安全(Network Time Security ,NTS)最终可以为经过身份验证的网络时间提供支持。 

作为加密周的一部分,Cloudflare公司最近宣布,它将运行一个时间服务器,支持网络时间协议(NTP)的网络时间安全(NTS)扩展。这解决了在安全协议环境中长期存在的时间问题。

如今,大多数计算机和其他联网设备都将时钟与来自互联网的时间源同步。然而,传统的网络时间协议(the Network Time Protocol)在默认情况下不支持对数据进行身份验证。这意味着对于中间人攻击者来说,传递错误的时间是很容易的。

这可能会产生安全后果,因为许多其他安全协议(包括具有有效期的X.509证书和具有生命周期的HSTS等特性)都假定工作时钟是有效的。针对HSTS的实际攻击在过去已经出现过。

在过去,TLS时间戳被用作tlsdate工具的替代品,但它不再被维护,TLS 1.3删除了时间戳。OpenNTPD有一个特性,它可以使用TLS提供经过身份验证的时间限制,但是它依赖于LibreSSL,因此不能在许多系统上使用。谷歌的Adam Langley开发了Roughtime协议作为NTP的替代方案,但是它并没有得到广泛的应用。

NTP过去曾试图通过一个名为Autokey的程序来提供身份验证,但它被证明是不安全的。它还支持使用对称密钥进行身份验证,但这并不适合广泛使用。

NTS是解决这个问题的一个新尝试。它在经过身份验证的TLS通道上交换密钥,并使用密钥来保护NTP本身。它已经开发了一段时间了,现在它似乎很快就完成了,如何实现也可以开始着手处理了。有一个NTS的参考实现,NTPsec刚刚发布了一个支持NTS的新版本,Chrony有一个NTS支持的实验性分支,更多的实现有望很快到来。

有可能最终会提供一个广泛支持的选项,以一种安全且经过身份验证的方式在internet上同步时间。

 

本月短新闻

  • ☞ Cloudflare启动了一项服务,证书颁发机构可以使用该服务支持多路径域验证。这里的想法是,证书的域验证是在不安全的网络上进行的,因此容易受到各种攻击。在internet上的多个点上检查域会大大降低此类攻击成功的可能性。

  • 一篇研究论文调查了链接文字当前TLS实现中的填充or链接文字acle漏洞。我们在之前的时事通讯中提到过这项研究。该论文将在即将召开的USENIX大会上正式发表。

  • Jonathan Leitschuh报告说,许多Java项目引用了与HTTP URLs的依赖关系,这使得它们很容易受到中间人攻击。

  • 两篇论文分析了CSIDH密钥交换算法的后量子安全性。这些论文还导致了对NIST后量子邮件列表的更长的讨论。

  • YubiKey FIPS系列设备存在漏洞,其中ECDSA算法可以在启动后使用一个熵减小的随机数。在ECDSA中,如果对两个不同的签名使用相同的随机值两次,则使用不良随机性很容易导致对私钥的完全攻击。

  • 苹果(apple)宣布了iOS 13和macOS 10.15的证书要求,特别指出弃用SHA-1签名。大多数其他浏览器已取消对SHA-1的支持。

  • Curl的Windows版本有一个bug,在这个bug中,没有特权的用户可以通过OpenSSL的引擎功能注入代码。同样的错误也在Stunnel中被发现并修复。Curl开发人员Daniel Stenberg说,这个问题在使用OpenSSL的Windows应用程序中非常普遍。

  • 克罗地亚的the Summer School on Real-World Cryptography and Privacy今年6月就TLS和密码学举行了各种讲座。它的网页上有相关的幻灯片。
  • Filippo Valsorda和Ben Cartwright-Cox正在研究age,这是一种简单的文件加密工具和格式。它现在只是一个设计文档,还没有代码。

  • OpenSSH实施了一些更改,试图通过加密密钥保护内存,使其免受潜在的硬件侧通道攻击。

  • Cloudflare宣布将与Google合作测试后量子密钥交换算法。HRSS-SXY和SIKE将是Cloudflare服务器和Google Chrome浏览器测试的一部分。这两种算法都将通过结合TLS 1.3中的X25519密钥交换来实现。

  • Cloudflare宣布发布CIRCL,这是一个用Go编写的加密库,也支持一些后量子算法。

  • PolarProxy是一个新工具,它允许拦截TLS连接以进行调试,并创建解密流量的PCAP文件。

  • RAMBleed是一种类似于Rowhammer的侧通道攻击。作为演示,作者从另一个进程中提取了RSA密钥。

  • Hardenize扩展了其公共仪表板的功能,以显示受监控站点上的PKI和证书统计数据。


【来自SSL China】

# https # openssl # CloudFlare # Google Chrome
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者