Старые алгоритмы шифрования защитят от уязвимости в TLS/SSL

image

Теги: SSL, TLS, эксплоит

Эксперты компании PhoneFactor рекомендуют использовать протокол шифрования RC4, так как он не подвержен уязвимости в TLS 1.0.

Эксперты в области информационной безопасности нашли простой способ обхода системы дешифрования защищенного SSL трафика. Напомним, что исследователи Таи Дуонг (Thai Doung) и Джулиано Риццо (Juliano Rizzo) обнаружили уязвимость в протоколе TLS 1.0 и более ранних версиях, которая позволяет злоумышленникам расшифровывать данные, передаваемые от сервера конечному пользователю.

Сотрудники службы двухфакторной аутентификации PhoneFactor рекомендуют интернет-компаниям применять для шифрования алгоритм RC4. Это менее защищенный алгоритм, чем современные AES и DES, но на него не распространяются обнаруженные уязвимости.

По данным компании Qualys, web-серверы Google уже настроены на работу с RC4. Представитель Google заявил, что данный алгоритм используется компанией «уже годами».

По словам разработчиков BEAST, их инструмент нацелен на использование давно описанной уязвимости в алгоритмах шифрования, эксплуатация которых ранее считалась невозможной.

Уведомление компании PhoneFactor можно просмотреть здесь.


или введите имя

CAPTCHA
вантуз
26-09-2011 10:44:37
до-до, используйте RC4... к нему все еще можно ключ сбрутить за разумное время
0 |
MonocleSpyer
26-09-2011 20:11:43
A major vulnerability in SSL authentication was discovered in August of 2009 by security analysts at PhoneFactor.А почему об этом сейчас вдруг вспомнили?
0 |